Ein Sicherheitsscanner für menschliche Schwäche

Das technisch sicherste System hilft Unternehmen wenig, wenn die Mitarbeiter Fehler machen. Eine neue Software soll deshalb prüfen, wie hoch die menschlichen Risiken im Haus sind.

Datenlecks wie Anfang August bei den E-Mail-Systemen des Pentagon beginnen oft damit, dass eine Person einen einfachen Fehler macht, also zum Beispiel eine Phishing-Mail öffnet. Die Computer-Sicherheitsbranche aber bietet hauptsächlich Werkzeuge, die nicht Menschen testen, korrigieren oder untersuchen, sondern Software.

Laura Bell, CEO der neuseeländischen Sicherheitsfirma SafeStack, glaubt einen Weg zur Auflösung dieses Widerspruchs gefunden zu haben. Sie entwickelt einen neuartigen Sicherheitsscanner für Menschen in Form einer Software namens Ava. Um herauszufinden, wie gut bestimmte Personen den Betrugsversuchen widerstehen können, die zu gravierenden Datenlecks führen können, schickt Ava ihnen gezielte E-Mails und Social-Media-Nachrichten.

"Wenn ich ein Angreifer bin, versuche ich es bei Menschen", sagt Bell, die Ava auf der Sicherheitskonferenz Black Hat präsentierte. "Menschen sind der Weg des geringsten Widerstands, und dagegen müssen wir etwas unternehmen."

Mit Daten aus den IT-Systemen eines Unternehmens stellt Ava fest, welche Zugriffsrechte die einzelnen Mitarbeiter haben und wie häufig sie miteinander kommunizieren. Außerdem wertet die Software Profile in Sozialen Medien und die Verbindungen zwischen ihnen aus. Denn daran lassen sich unter Umständen wichtige Beziehungen erkennen, die Angreifer für sich nutzen können.

Als Nächstes kann Ava dann Phishing-artige Nachrichten verschicken, um zu prüfen, wie die Empfänger damit umgehen. In den Nachrichten kann zum Beispiel eine Führungskraft einen untergeordneten Mitarbeiter nach einem Passwort fragen, oder ein entfernter Kollege erwähnt den Namen eines Freundes und bittet darum, ein berufliches Dokument bei Facebook einzustellen.

Die klassische IT-Sicherheitsbranche kennt durchaus einige Methoden, um solche so genannten Social-Engineering-Angriffe zu verhindern. Sicherheitsschulungen sind in vielen großen Unternehmen inzwischen Standard, und manche Unternehmen fingieren selbst Phishing-Attacken, um über die Risiken gefälschter E-Mails aufzuklären. Für Bell jedoch ist der nicht abreißende Strom von Datenlecks der Beweis dafür, dass Aufklärung nicht hilft. Zudem würden nur wenige Unternehmen Phishing-Tests vornehmen, und das meist nur einmalig und aufwändig von Hand.

Mit Ava dagegen sollen Unternehmen Kommunikationsmuster und wichtige Verbindungen kontinuierlich überprüfen können, sagt Bell. Das Ergebnis sei dann eine Art automatisches Abwehrsystem ähnlich wie eine Firewall. Auf diese Weise sei es möglich, die Entwicklung der Angreifbarkeit eines Unternehmens über menschliche Fehler zu verfolgen und mögliche Zusammenhänge mit Projekt-Deadlines oder Schulungsveranstaltungen zu entdecken.

Noch ist Ava nicht fertig. Bell hat die Software bei einigen Behörden und Unternehmen in Neuseeland getestet, und das Programmierteam wurde vergrößert. Ein neu gebildeter Rat für Ethik und Datenschutz soll sich zudem mit den schwierigen Fragen befassen, die sich auftun, wenn man Mitarbeiter absichtlich in die Irre führt. (sma)