Warum Technologien beim Schutz vor Social-Engineering-Angriffen gescheitert sind

Das menschliche Element in der Security-Entwicklung
Kommentare

In der Vergangenheit war die Beziehung zwischen den Herstellern von Antivirus-Software und deren Kunden im Entwicklungsbereich simpel: die Kunden entwickeln, was immer sie benötigen und die Antivirus-Hersteller sorgen dafür, dass sie ausreichend Schutz für ihre Produkte erhalten. Schaut man heutzutage auf die steigende Anzahl von Cyberangriffen und Social-Engineering-Hacks wird schnell klar, dass diese Beziehung so nicht mehr funktioniert.

Es ist also an der Zeit, Änderungen beim Verständnis von „Sicherheit“ vorzunehmen und so den User von der Sicherheitslast, die er auf seinen Schultern trägt, zu befreien. Zum einen stellt sich die Frage, gegen was wir uns eigentlich schützen. Zum anderen, ob wir dabei nicht den menschlichen Aspekt vergessen – und die Tatsache, dass auch die beste Technologie uns nicht vor Sicherheitsverletzungen bewahren kann.

Sicherheit: ein menschliches Problem?

Nicht nur in Deutschland sind Cyberangriffe derzeit in aller Munde, auch andernorts schaffen es umfangreiche Sicherheitsverletzungen in die Schlagzeilen, wie etwa der Breach des Office of Personnel Management (OPM). In der darauffolgenden Analyse fiel erwartungsgemäß der Begriff Social Engineering – allerdings eher in einem Nebensatz im letzten Absatz.

Glaubt man John McAfee, zeigt das ein typisches Fehlen von Verständnis für die „Kunst“ des Social Engineerings und weist auf ein noch viel größeres Problem hin: dass Technologie allein nicht unsere Security-Probleme lösen kann. Stattdessen ist Security ein menschliches Problem, bei dem wir uns gegen die Täuschungen und Ambitionen unserer Mitmenschen schützen. Oder anders gesagt:

It is a human issue and if we forget the human element then we have blinded ourselves.

Und genau hier liegt der Hase im Pfeffer begraben. Die immer neuen Sicherheitsverletzungen und Cyberangriffe zeigen deutlich, dass die bestehende Technologie an dem Versuch, Sicherheit zu bieten, scheitert – ein Fakt, den wir laut McAfee akzeptieren müssen. Gründe dafür gibt es einige, etwa dass  sich die Technologie so schnell weiterentwickelt hat, dass das menschliche Element bei der Entwicklung vernachlässigt wurde. Und das, obwohl es eigentlich eine zentrale Rolle spielen sollte.

Es bleibt nicht mehr viel Zeit

Was heißt das also für den Umgang mit Technologien, insbesondere unter dem Aspekt Sicherheit? Es heißt vor allem, dass Antivirus-Software, so wie wir sie kennen, ihre Relevanz verloren hat. Einerseits, weil die Beziehung zwischen Hersteller und Kunde nicht mehr funktioniert, andererseits, weil durch die Einführung von Smartphones fast jeder fast überall ein Device mit sich trägt, das nur eine Absicht verfolgt: seinen Nutzer auszuspionieren oder ihn zumindest einer ganzen Reihe Malware auszusetzen. Dazu sagt McAfee:

This paradigm cannot be allowed to continue, because this design supports hacking as if it was designed by hackers for hackers, and every human within the workplace carries one.

Software-User müssen darum sowohl in der Bedienung ihrer Software, als auch im Schutz gegen Social-Engineering-Attacken trainiert werden. Dafür braucht es spezielle Security-Coaches.

Noch viel wichtiger ist es aber, dass Applikations-Entwickler, Designer von Betriebssystemen und Kommunikations- und Netzwerk-Entwickler anfangen, dieses menschliche Element in ihren Entwicklungsprozess einzubeziehen. Konkret sieht McAfee den Weg darin, Entwickler eng mit Social-Engineering-Hackern zusammenarbeiten zu lassen. Ob sich Unternehmen darauf einlassen, ist allerdings fraglich – nicht nur wegen der Kosten. Wünschenswert wäre es aber wohl, denn diese Änderung des Entwicklungs-Paradigmas im Sicherheitsbereich ist dringend notwendig – und es scheint, als bleibe dafür nicht mehr viel Zeit.

Aufmacherbild: Mythological Atlas in pure Gold, a man carries the world on his shoulders von Shutterstock / Urheberrecht: diez artwork

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -