Mitarbeiter in Unternehmen greifen zunehmend extern auf vertrauliche Firmendaten zu, häufig sogar über persönliche Geräte mit Zugriff auf zahlreiche soziale Netzwerke. Einfache Ziele für Cyber-Kriminelle? Das denken zumindest die Mitglieder des Konsortiums DOGANA und haben einen Risikobewertungsrahmen entwickelt, der Unternehmen dabei unterstützen soll, diese Bedrohung zu mindern.

Digitale Wirtschaft

Sicherheit

Immer und überall arbeiten. Dies könnte ebenso ein Werbeslogan für Telearbeit sein, die zunehmend Einzug in unsere heutige Unternehmenskultur hält. Und warum auch nicht? Von zu Hause aus arbeiten reduziert die Ausgaben des Unternehmens, erhöht die Produktivität, sorgt für zufriedenere Mitarbeiter und hilft sogar bei der Bewältigung von Problemen wie Staus und CO2-Emissionen. Diese neue Philosophie wirft jedoch auch einige Fragen bezüglich der Sicherheit auf. Obwohl die Industrie schon immer anfällig für Cyber-Angriffe war, hat sich das Risiko durch die Vermischung von Privat- und Arbeitsgeräten und der großen Beliebtheit sozialer Netzwerke erheblich erhöht. Wie Francesca Giampaolo, Koordinatorin des Projekts DOGANA erläutert, spielen hier verschiedene Faktoren eine Rolle. „Nicht nur nutzen wir zunehmend persönliche Geräte für Arbeitszwecke, sondern wir kombinieren diese Nutzung auch häufig mit der von sozialen Netzwerken, deren Geschäftsmodell darin besteht, die Nutzer zu ermutigen, persönliche Informationen preiszugeben und auszutauschen. Diese Plattformen bieten keine zuverlässigen Authentifizierungsmechanismen. Was die Situation allerdings noch verschärft ist, dass es viele Nutzer zu geben scheint, die sich unnötigen Risiken aussetzen und nicht wissen, wie sie ihre Geräte effizient schützen können.“ DOGANA begegnet diesem Problem mit einem Rahmen für „fortschrittliches Social Engineering und eine erweiterte Schwachstellenanalyse“, um das Risiko sozialer Schwachstellen zu messen und zu mindern. Vor dem Hintergrund, dass alle Branchen betroffen sind, ermöglicht das System die Quantifizierung der tatsächlichen Risiken auf der Grundlage der IKT-Abhängigkeit der jeweiligen Unternehmen, der potenziellen Auswirkungen eines Angriffs, des damit verbundenen Risikos und anderer Parameter. Der Rahmen besteht aus einer quelloffenen Sammlung von Programmierwerkzeugen für die Schwachstellenanalyse (Datenerfassung, Vorbereitung und Durchführung des Cyber-Angriffs sowie Berichterstattung); einem Schulungsprogramm inklusive Sensibilisierungsmethoden, einer Reihe von Instrumenten zur automatisierten Risikominderung; und einer Strafverfolgungskomponente. Eine der wichtigsten Innovationen von DOGANA ist laut Giampaolo der „Datenerfassungsrahmen“, der die Tester beim Sammeln der Daten entlastet, was wiederum die Fehlerquote verringert und die Effizienz verbessert. Weitere Innovationen umfassen den „Sensibilisierungsrahmen“, der eine Reihe von Sensibilisierungsmethoden bietet, die auf die Bedürfnisse eines bestimmten Unternehmens zugeschnitten werden können; sowie den „organisationspolitischen Rahmen“, der eine Reihe von Richtlinien und Anforderungen speziell für europäische Unternehmen enthält. DOGANA ist vollständig konform zur DSGVO. „Der Rahmen zielt darauf ab, allgemeine gesellschaftsorientierte Schwachstellenanalysen bereitzustellen. Dennoch sind bestimmte Teile auf die vier Anwendungsbereiche der Anwendungen zugeschnitten, die in der Testphase erprobt wurden (Verteidigung, Regierung, Verkehr und Notfall)“, erklärt Giampaolo. „Darüber hinaus wurde DOGANA für zwei unterschiedliche Klassen von Endnutzern entwickelt, die jeweils ihren eigenen Einschränkungen und Verpflichtungen unterliegen: Tester, die für alle Aufgaben im Zusammenhang mit der Vorbereitung und Durchführung von gesellschaftsorientierten Schwachstellenanalysen verantwortlich sind; und Unternehmensvertreter, die auf Statistiken und Berichte zu den Ergebnissen dieser Schwachstellenanalysen zugreifen können.“ DOGANA richtet sich an Unternehmen, deren Mitarbeiter täglich mit einem Computer arbeiten, und bietet ihnen eine Lösung, mit der sie den prozentualen Anteil der Mitarbeiter überwachen können, die besonders anfällig für Phishing- und Social-Engineering-Angriffe sind. „Wir werden diesen Unternehmen dabei helfen, Schulungsprogramme anzubieten, um sicherzustellen, dass ihre Mitarbeiter nicht auf E-Mails hereinfallen, die auf unerfahrene Nutzer sehr glaubwürdig wirken“, so Giampaolo. Das Marktangebot von DOGANA wird Beratungsdienstleistungen und Schulungen umfassen, und jedes Konsortiumsmitglied wird den Rahmen in seinen bevorzugten Netzwerken und unter seinen Partnern bekannt machen.

Schlüsselbegriffe

DOGANA, soziale Medien, Sicherheit, persönliches Gerät, Firmendaten, Schwachstellenanalyse, Rahmen