Jedes Jahr fallen hunderte Mitarbeiter auf interne Phishing-Tests rein und es werden kaum weniger. Tausende Phishing-E-Mails verschickte kürzlich das IT-Security-Team des Cern und sprach nach dem Test von einem "traurigen Ergebnis". Warum die Kampagnen trotzdem wichtig und als Erfolg zu werten sind, erklärt Stefan Lüders, Ciso beim Cern, im Gespräch.
War das die erste Kampagne dieser Art?
Nein, die machen wir jährlich. Die Klickrate bewegt sich jedes Jahr irgendwo zwischen 8 und 10%. Wer klickt und versucht, sein Passwort einzugeben, erhält eine Trainingsseite angezeigt, die aufklärt und Tipps gibt.
Aber warum sinkt die Klickrate nicht, ist das kein Ziel?
Weil wir eine hohe Fluktuation haben. Forschende kommen und gehen, weshalb es stets viele neue Mitarbeitende gibt, die noch sensibilisiert werden müssen. Viel mehr wollen wir die Leute trainieren, uns im Zweifel zu kontaktieren. Weil das immer besser klappt, sind die Kampagnen ein Erfolg.
Die Zahl ist und bleibt aber hoch …
… sie ist aber auch fiktiv. Wäre die Phishingmail echt, würden wir nach wenigen Minuten eingreifen. So lassen wir sie durchlaufen und die Mitarbeitenden absichtlich ins Messer laufen. Um es salopp auszudrücken. Ausserdem hängt die Zahl von der Qualität der Phishingmail ab: je gezielter, desto höher die Klickrate.
Was kostet Sie die Cybersicherheit im Cern?
Wenn ich eine Zahl nennen würde, wäre sie falsch. In meinem Team arbeiten 8 bis 10 Menschen, zusätzlich gibt es viele weitere Personen, die sich um unsere Cybersicherheit kümmern, beispielsweise Datenbankadministratoren, Webmaster und unser Identity Management Team. Cybersicherheit ist auf viele Teams verteilt, weshalb sich nicht klar beziffern lässt, was die Cybersicherheit insgesamt kostet.
Wie kann man Personen näher an die Phishing-Problematik heranführen?
Was ich immer wieder gerne mache, ist Folgendes: Ich wedle vor neuen Mitarbeitenden mit einem Plastiksäckchen, das ich mit Backpulver fülle und frage nach Freiwilligen, die es über die Grenze nach Frankreich schmuggeln. Logischerweise meldet sich niemand. Von klein auf ist uns antrainiert, dass das verboten und gefährlich ist.
Aber …
… aber in der digitalen Welt kommt eine E-Mail in der steht: "Klicken Sie hier." Und die Menschen klicken. Wir bringen unseren Kindern von klein auf Schwimmen bei und wie sie sicher über die Strasse gehen. Wie sie sich sicher im Internet bewegen, wird ausgeklammert. Das ist ein Fehler.
Sensibilisierung der Mitarbeitenden sehen Sie also als Ihre Hauptaufgabe an?
Ja, leider wird Multifaktor-Authentifizierung immer noch als Störfaktor gesehen, die Menschen das aber
beim E-Banking ohne zu Zucken akzeptieren. Bei uns wird immer die akademische Freiheit der Forscher betont, aber sie sollen auch bei der Nutzung der Computer anfangen nachzudenken. Sie sind ein Stück weit selbst verantwortlich für ihren Schutz.
Ist das nicht ein Abschieben von Verantwortung? Die Technik muss in erster Linie für den nötigen Schutz sorgen, damit solche Mails gar nicht erst bei den Menschen ankommen.
Nein, Computersicherheit ist ein soziologisches Problem, kein technisches. Autohersteller übernehmen auch nicht die Verantwortung, dass die Fahrer bremsen. Bis zu einem gewissen Masse kann Technik schon schützen, aber je mehr sie es tut, umso grösser sind die Einschränkungen. Es ist essenziell, dass ich in meiner Rolle eine ausgewogene und angepasste Balance zwischen akademischer Freiheit, dem operativen Geschäft des Cerns und der Cybersicherheit finde. Und diese sieht in meinem Umfeld nun mal anders aus als in einer Bank oder in der Industrie.