Human Firewall Best Practice Beispiele

Human Firewall

Wer zum ersten Mal auf den Fachbegriff Human Firewall aufmerksam wird, k√∂nnte auf den Gedanken kommen, dass es sich hierbei um eine neue Technik bzw. um eine neue Technologie handelt. Im Cyber-Security Umfeld hat sich die Human Firewall als einfacher Bewusstmacher und Leitfaden durchgesetzt, um den zuvor oder heute weiterhin parallel genutzten Fachbegriff „Security Awareness“ zu erg√§nzen.

Warum ist der Fokus auf die Human Firewall wichtig?

Cyberschutz Schwächen mit einer Human Firewall lösen

Der Mensch ist das schwächste Glied im Cyberschutz!

Bekanntlich ist eine Kette so stark wie ihr schw√§chstes Glied. Eine Vielzahl von Cyber-Security Studien hat ergeben, dass das am meisten genutzte Einfallstor f√ľr Cyber-Security Angriffe der Mensch durch unbewusstes, unbeabsichtigtes jedoch bedrohliches Fehlverhalten ist.

Selbst bei umfangreichen und √ľberdurchschnittlichen technischen Sicherheitsma√ünahmen f√ľr den Cyberschutz, bleibt ein gro√ües Gefahrenpotenzial bestehen – das menschliche Verhalten. Daher wurde der Fachbegriff Human Firewall gew√§hlt, um das Bewusstsein und die Sensibilit√§t, der unbeabsichtigten und nicht b√∂swilligen Ursachen f√ľr den Erfolg eines Cyberangriffes zu reduzieren.

Wenn B√∂swilligkeit oder gezielte Social-Engeneering-Angriffe nicht die Ursache f√ľr offene T√ľren im Cyberschutz sind, was ist dann die Ursache? Kurz und knapp: Das fehlende Wissen!

Aufgrund des fehlenden Wissens fehlt es an ausreichender Beurteilungskraft, ob eine Aktion mit unbekannten Dritten gef√§hrlich oder ungef√§hrlich ist (z.B. das √Ėffnen von eingehenden Bewerbungsunterlagen oder Rechnungen)

Dieser Artikel macht auf die Gefahren aufmerksam, die durch das Handeln der Menschen unbewusst und nicht bösartig entstehen. Allerdings möchten wir auch darauf hinweisen, dass es gezielte Social-Engineering-Attacken gibt, bei denen menschliche Schwachstellen genutzt werden, um Mitarbeiter zu motivieren, durch beispielsweise böswillige Installationen oder durch die Herausgabe von sicherheitsrelevanten Informationen, den Angreifern einen Zugang zum Unternehmensnetzwerk zu verschaffen.

Was ist der Kern einer Human Firewall?

Sinnbildlich m√∂chten wir zur Vereinfachung zwischen Hard- und Softskills unterscheiden, wobei wir mit Hardskills die Br√ľcke zur Hardware und somit IT-Infrastruktur bauen m√∂chten. Da Cyberangriffe immer innovativer und intelligenter werden, reicht es heutzutage nicht mehr aus, lediglich Investitionen in Hardware und Technologie f√ľr den Cyberschutz zu t√§tigen. Schlie√ülich haben wir es im Cybermarkt nicht nur auf der Seite der IT-Administratoren und L√∂sungsanbieter mit Experten zu tun, sondern auch auf der gegnerischen Seite mit erfahrenen und intelligenten Angreifern, die das schw√§chste Glied der IT-Sicherheitskonzepte kennen und anvisieren – den Menschen!

Human Firewall Aufgaben

Die Unternehmen m√ľssen Ihren Mitarbeitern Tools zur Verf√ľgung stellen, um Cyberangriffe zu erkennen. Viel wichtiger ist jedoch das Trainieren des richtigen Sicherheitsverhaltens. Hierbei ist es nicht mit einer einmaligen Grundlagenschulung in puncto IT-Sicherheit getan, sondern um einen kontinuierlichen Update-Prozess, da sich die Angriffstechniken und -Strategien stetig und in immer k√ľrzeren Intervallen ver√§ndern.

Gelingt es einem Unternehmen, einen Schutzschirm gegen Cyberangriffe √ľber das menschliche Verhalten zu spannen – so spricht man von dem gelungenen Aufbau einer Human Firewall. Dieser Aufbau beinhaltet eine strukturierte Vorgehensweise im t√§glichen Umgang mit den Ger√§ten und Softwarel√∂sungen, als auch begleitende Bewusstseins-f√∂rdernde Schulungsma√ünahme, inklusive der Lernkontrolle in Form von z.B. Phishing-Tests.

In welchen Fällen erhöht eine Human Firewall die Sicherheit?

Die Erhöhung des Sicherheitsstandards eines Unternehmens, indem nicht nur auf eine hardware- oder softwarebasierte Firewall gesetzt wird, sondern in die menschliche Firewall, hilft bei der Prävention folgender Klassiker der Cyberangriffen:

1. Fallbeispiel: Human Firewalls reduzieren Phishing-Angriffe

Bei Phishing-Angriffen werden die Cyberopfer dazu verleitet Nachrichten zu √∂ffnen, damit diese b√∂swillige Links klicken oder gef√§hrliche Anh√§nge herunterladen. Heutzutage √ľberlisten diese Phishing-Mails selbst feinjustierte Spamfilter und Anti-Virenschutz-Programme und wirken beim Lesen auf die Empf√§nger harmlos. Clevere Formulierungen, Ideen und Beweggr√ľnde zur unbewussten Handlungsaufforderung, f√ľhren immer noch dazu, dass die Angreifer Zugriff auf das Firmennetzwerk und somit auf die Daten des Unternehmens erhalten.

Wichtiger Hinweis: Phishing-Angriffe erfolgen nicht nur per E-Mail, sondern auch √ľber Messaging-Apps

Die zuverl√§ssigste L√∂sung zum Schutz von Phishing-Angriffen ist eine kontinuierliche Schulung und Ausbildung in puncto IT-Security. Das Ziel ist es, den Mitarbeitern beizubringen, alle Nachrichten zu √ľberpr√ľfen, bevor es zu einem gef√§hrlichen Klick oder Download kommt.

In einer GDV-Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft wurden im Jahr 2020 von 543 Unternehmen Daten im Darknet gefunden. Es handelte sich dabei um Passw√∂rter f√ľr 6.500 E-Mail-Benutzerkonten von Mitarbeitern. Untersucht wurden 1.019 kleine und mittlere Unternehmen, wodurch 53 % der Unternehmensdaten im Darknet gefunden wurden. 

Ein schon fast fahrl√§ssiges Sicherheitsverhalten zeigte die Studie parallel auf: Manche Mitarbeiter meldeten sich mit ihrer beruflichen E-Mail-Adresse f√ľr Dating-Portale oder erotische Internetportale an, wodurch diese, z.B. zur Unterst√ľtzung bei Social-Engineering-Attacken, potenziell erpressbar wurden.

2. Fallbeispiel: Verlust von Firmengeräten

Gesch√§ftlich genutzte Hardware enth√§lt oft vertrauliche Informationen √ľber das Unternehmen und kann bei Verlust Angreifern Zugriff auf das Firmennetzwerk erm√∂glichen. Der Trend zur Nutzung von BYOD-Konzepten oder die Akzeptanz der privaten Nutzung von gesch√§ftlicher Hardware, beispielsweise im Homeoffice, erh√∂ht die Gefahren des Datendiebstahls und der Cyberangriffe.

Sensibilisieren Sie Ihre Mitarbeiter dahingehend, welche Verantwortung aus sicherheitstechnischer Sicht die Nutzung, aber auch der Verlust von Firmenhardware, beispielsweise auf Messen oder Veranstaltungen mit sich bringt. Treffen Sie Vorsorge, damit verloren gegangene Geräte im Idealfall wieder auffindbar sind oder zumindest durch die entsprechenden Sicherheitsmaßnahmen, nicht von Dritten genutzt werden können.

3. Fallbeispiel: Verkauf und Entsorgung von gebrauchter Hardware

Die Datenschutzgrundverordnung (DSGVO) schreibt es zwar vor, dennoch nutzen längst nicht alle Unternehmen professionelle Entsorgungswege oder Verkaufswege, wie es z.B. ein professionelles IT-Remarketing anbietet. Auf einer Veranstaltung wurde unserer Business-IT-Community vorgestellt, auf wie viele wichtige Details man zu achten hat, und an welchen Stellen IT-Sicherheitsrisiken bei gebrauchter Hardware bestehen.

Wer hätte das gedacht? Hätten Sie z.B. gewusst, dass IT-Experten sich von einem gebrauchten IT-Router, wichtige Informationen beschaffen können, um in ein Firmennetzwerk einzudringen? Daher ist die nachhaltige Löschung von Daten auf IT-Komponenten ein absolutes Muss!

4. Fallbeispiel: Passwortweitergabe

Der kurze Dienstweg ist allseits in Unternehmen ein positiver Ausdruck. Ganz im Gegenteil, bei der Passwortweitergabe unter Kollegen, doch leider gehört dies oft zur gängigen Praxis. Folgende Beispiele können wir hierzu auflisten:

  • Gemeinsam genutzte Cloud-Speicherpl√§tze
  • Das gleiche Passwort f√ľr mehrere Arbeitskonten und Softwarel√∂sungen
  • Unsichere Passwortspeicherung wie z.B. in Google Docs, Messenger, Whatsapp-Gruppen oder Notizen
  • Social-Media-Account-Betreuung von mehreren Mitarbeitern oder gemeinsamen mit Agenturen
  • Unsichere Passwortweitergabe

Laut einem verizon Report erfolgen 80 % der Hacking-Vorf√§lle mithilfe schwacher oder gestohlener Passw√∂rter. Lesen Sie daher unsere Tipps f√ľr sichere Passw√∂rter.

Auch wenn der schnelle Datenzugriff unter Kollegen ab und an darunter leidet, empfehlen Sie Ihren Mitarbeitern die Passwörter nicht mit Kollegen zu teilen! Stattdessen empfiehlt sich der Einsatz einer Passwortverwaltungssoftware, um längere und komplexere Passwörter zu erstellen und einfach nutzbar zu machen.

5. Fallbeispiel: Zugriff auf vertrauliche Informationen in der √Ėffentlichkeit

Sie sind unterwegs und haben gerade eine Stunde Zeit, um in einem √∂ffentlichen Caf√© wichtige Arbeiten zu erledigen? Die Versuchung ist gro√ü, doch haben Sie auch Ihr VPN eingeschaltet, um Daten nur innerhalb Ihres Firmennetzwerks abgeschottet vom √∂ffentlichen Internet auszutauschen? Auf einer Live-Hacking-Veranstaltung wurde unserer Business-IT-Community erkl√§rt, wie einfach ein Peilsender aufgebaut werden kann. Mit einer solchen simplen Strategie kann vorget√§uscht werden, dass Sie in einem vertrauensw√ľrdigen WLAN eingeloggt sind, wie beispielsweise dem allseits bekannten ICE-WLAN. W√§hrend Sie im empfundenen sicheren Netzwerk sind, k√∂nnen Ihnen jedoch pers√∂nliche und gesch√§ftliche Informationen abhandenkommen.

Wichtige mobile Vorsichtsma√ünahme: Schaffen Sie Verantwortungsbewusstsein beim Zugriff auf pers√∂nliche und gesch√§ftliche Informationen in einem √∂ffentlichen Bereich. Nicht nur die digitale Vorsorge ist erforderlich, sondern auch die analoge Schutzm√∂glichkeiten. Ein Beispiel hierf√ľr ist ein Sichtschutz, um zu verhindern, dass Fremde die Bildschirminhalte sehen k√∂nnen.

Empfehlungen zur Implementierung der menschlichen Firewall

Kompakte Checkliste zum Aufbau einer Human Firewall Strategie

Eine menschliche Firewall muss auf einer umfassenden und zuverl√§ssigen Strategie basieren, die darauf ausgelegt ist, alle Mitarbeiter in die Human Firewall einzubeziehen, um potenzielle Bedrohungen zu bek√§mpfen. Folgende Schritte empfehlen wir als Leitfaden zur Integration und Umsetzung:

  1. Beziehen Sie die Mitarbeiter in Human Firewall Konzeption ein
  2. Starten Sie mit einer Initialschulung zur Vermittlung der wichtigen IT-Sicherheitsgrundlagen und Verhaltensregeln
  3. Testen Sie das erlernte Wissen und die Anwendung der vermittelten Erkennungstechniken
  4. Reduzieren Sie das Risiko durch fortlaufende Sicherheits-Updates anhand z.B. neuer Fallbeispielen im Cybermarkt
  5. Erstellen Sie eine unternehmensweit verbindliche Sicherheitsrichtlinie hinsichtlich des Verhaltens im Internet

Tipps zur erfolgreichen Human Firewall Integration

Folgende Punkte gilt es besonders beim Aufbau einer Human Firewall zu ber√ľcksichtigen:

  • Motivieren Sie unternehmensweit f√ľr eine sicherheitsbewussten und organisatorischen Denkweise
  • Einmal ist keinmal! Arbeiten Sie daher mit einem kontinuierlichen Weiterbildungs- und Updateplan
  • Konzentrieren Sie sich auf die h√§ufigsten Bedrohungen mit gr√∂√ütem Risiko- und Schadenspotenzial
  • Schaffen Sie sichere L√∂sungen f√ľr individuelle Unternehmensprozesse im Vorfeld, um Ausnahmen zu vermeiden
  • F√ľhren Sie regelm√§√üig Phishing-Tests durch, um das Sicherheitslevel Ihres Unternehmens hochzuhalten
  • Arbeiten Sie mit aktiven Lernmethoden und mit Lernbeispiele aus der Praxis
  • Nutzen Sie den Cyberschutz-Fortschritt und die entwickelten Technologien wie z.B. Predictive Analytics
  • Geben Sie im Alltag Echtzeit-Feedback zur Vertiefung und nachhaltigen Bewusstseinsschaffung.

Besuchen Sie Fachkongresse und tauschen Sie sich mit Anwendern aus

Immer wieder besteht die Möglichkeit zum Erfahrungsaustausch, in unserer Business-IT Community oder auch auf Fachkongressen und Veranstaltungen. Besonders interessant sich praxisbeispielorientierte Impulse von Lösungsanbietern und Vorträge, in denen Anwender ihre Erfahrungen teilen.

The human firewall: Eine Kultur der Cybersicherheit schaffen

Ein sch√∂nes Beispiel hierf√ľr war der Vortrag, welcher im Rahmen des Cyber Security Fairevents 2022 angeboten wurde. Der Chief Information Security Officer von Vorwerk, Florian J√∂rgens, teilte seine Erfahrungen beim Aufbau einer Human Firewall in folgenden Vortrag, aus Anwendersicht:

Cyber Security Fairevent Vortrag Human Firewall
Florian Jörgens, Chief Information Security Officer von Vorwerk
  • Warum steht der Faktor Mensch immer noch so hoch im Kurs?
  • Wie gelingt ein didaktischer Faden?
  • Wie werden hohe Teilnahmequoten erreicht?
  • Was sind wesentliche Inhalte, was geh√∂rt nicht dazu?
  • Welche Stakeholder m√ľssen abgeholt werden?