Human Firewall Best Practice Beispiele

Human Firewall

Wer zum ersten Mal auf den Fachbegriff Human Firewall aufmerksam wird, könnte auf den Gedanken kommen, dass es sich hierbei um eine neue Technik bzw. um eine neue Technologie handelt. Im Cyber-Security Umfeld hat sich die Human Firewall als einfacher Bewusstmacher und Leitfaden durchgesetzt, um den zuvor oder heute weiterhin parallel genutzten Fachbegriff „Security Awareness“ zu ergänzen.

Warum ist der Fokus auf die Human Firewall wichtig?

Cyberschutz Schwächen mit einer Human Firewall lösen

Der Mensch ist das schwächste Glied im Cyberschutz!

Bekanntlich ist eine Kette so stark wie ihr schwächstes Glied. Eine Vielzahl von Cyber-Security Studien hat ergeben, dass das am meisten genutzte Einfallstor für Cyber-Security Angriffe der Mensch durch unbewusstes, unbeabsichtigtes jedoch bedrohliches Fehlverhalten ist.

Selbst bei umfangreichen und überdurchschnittlichen technischen Sicherheitsmaßnahmen für den Cyberschutz, bleibt ein großes Gefahrenpotenzial bestehen – das menschliche Verhalten. Daher wurde der Fachbegriff Human Firewall gewählt, um das Bewusstsein und die Sensibilität, der unbeabsichtigten und nicht böswilligen Ursachen für den Erfolg eines Cyberangriffes zu reduzieren.

Wenn Böswilligkeit oder gezielte Social-Engeneering-Angriffe nicht die Ursache für offene Türen im Cyberschutz sind, was ist dann die Ursache? Kurz und knapp: Das fehlende Wissen!

Aufgrund des fehlenden Wissens fehlt es an ausreichender Beurteilungskraft, ob eine Aktion mit unbekannten Dritten gefährlich oder ungefährlich ist (z.B. das Öffnen von eingehenden Bewerbungsunterlagen oder Rechnungen)

Dieser Artikel macht auf die Gefahren aufmerksam, die durch das Handeln der Menschen unbewusst und nicht bösartig entstehen. Allerdings möchten wir auch darauf hinweisen, dass es gezielte Social-Engineering-Attacken gibt, bei denen menschliche Schwachstellen genutzt werden, um Mitarbeiter zu motivieren, durch beispielsweise böswillige Installationen oder durch die Herausgabe von sicherheitsrelevanten Informationen, den Angreifern einen Zugang zum Unternehmensnetzwerk zu verschaffen.

Was ist der Kern einer Human Firewall?

Sinnbildlich möchten wir zur Vereinfachung zwischen Hard- und Softskills unterscheiden, wobei wir mit Hardskills die Brücke zur Hardware und somit IT-Infrastruktur bauen möchten. Da Cyberangriffe immer innovativer und intelligenter werden, reicht es heutzutage nicht mehr aus, lediglich Investitionen in Hardware und Technologie für den Cyberschutz zu tätigen. Schließlich haben wir es im Cybermarkt nicht nur auf der Seite der IT-Administratoren und Lösungsanbieter mit Experten zu tun, sondern auch auf der gegnerischen Seite mit erfahrenen und intelligenten Angreifern, die das schwächste Glied der IT-Sicherheitskonzepte kennen und anvisieren – den Menschen!

Human Firewall Aufgaben

Die Unternehmen müssen Ihren Mitarbeitern Tools zur Verfügung stellen, um Cyberangriffe zu erkennen. Viel wichtiger ist jedoch das Trainieren des richtigen Sicherheitsverhaltens. Hierbei ist es nicht mit einer einmaligen Grundlagenschulung in puncto IT-Sicherheit getan, sondern um einen kontinuierlichen Update-Prozess, da sich die Angriffstechniken und -Strategien stetig und in immer kürzeren Intervallen verändern.

Gelingt es einem Unternehmen, einen Schutzschirm gegen Cyberangriffe über das menschliche Verhalten zu spannen – so spricht man von dem gelungenen Aufbau einer Human Firewall. Dieser Aufbau beinhaltet eine strukturierte Vorgehensweise im täglichen Umgang mit den Geräten und Softwarelösungen, als auch begleitende Bewusstseins-fördernde Schulungsmaßnahme, inklusive der Lernkontrolle in Form von z.B. Phishing-Tests.

In welchen Fällen erhöht eine Human Firewall die Sicherheit?

Die Erhöhung des Sicherheitsstandards eines Unternehmens, indem nicht nur auf eine hardware- oder softwarebasierte Firewall gesetzt wird, sondern in die menschliche Firewall, hilft bei der Prävention folgender Klassiker der Cyberangriffen:

1. Fallbeispiel: Human Firewalls reduzieren Phishing-Angriffe

Bei Phishing-Angriffen werden die Cyberopfer dazu verleitet Nachrichten zu öffnen, damit diese böswillige Links klicken oder gefährliche Anhänge herunterladen. Heutzutage überlisten diese Phishing-Mails selbst feinjustierte Spamfilter und Anti-Virenschutz-Programme und wirken beim Lesen auf die Empfänger harmlos. Clevere Formulierungen, Ideen und Beweggründe zur unbewussten Handlungsaufforderung, führen immer noch dazu, dass die Angreifer Zugriff auf das Firmennetzwerk und somit auf die Daten des Unternehmens erhalten.

Wichtiger Hinweis: Phishing-Angriffe erfolgen nicht nur per E-Mail, sondern auch über Messaging-Apps

Die zuverlässigste Lösung zum Schutz von Phishing-Angriffen ist eine kontinuierliche Schulung und Ausbildung in puncto IT-Security. Das Ziel ist es, den Mitarbeitern beizubringen, alle Nachrichten zu überprüfen, bevor es zu einem gefährlichen Klick oder Download kommt.

In einer GDV-Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft wurden im Jahr 2020 von 543 Unternehmen Daten im Darknet gefunden. Es handelte sich dabei um Passwörter für 6.500 E-Mail-Benutzerkonten von Mitarbeitern. Untersucht wurden 1.019 kleine und mittlere Unternehmen, wodurch 53 % der Unternehmensdaten im Darknet gefunden wurden. 

Ein schon fast fahrlässiges Sicherheitsverhalten zeigte die Studie parallel auf: Manche Mitarbeiter meldeten sich mit ihrer beruflichen E-Mail-Adresse für Dating-Portale oder erotische Internetportale an, wodurch diese, z.B. zur Unterstützung bei Social-Engineering-Attacken, potenziell erpressbar wurden.

2. Fallbeispiel: Verlust von Firmengeräten

Geschäftlich genutzte Hardware enthält oft vertrauliche Informationen über das Unternehmen und kann bei Verlust Angreifern Zugriff auf das Firmennetzwerk ermöglichen. Der Trend zur Nutzung von BYOD-Konzepten oder die Akzeptanz der privaten Nutzung von geschäftlicher Hardware, beispielsweise im Homeoffice, erhöht die Gefahren des Datendiebstahls und der Cyberangriffe.

Sensibilisieren Sie Ihre Mitarbeiter dahingehend, welche Verantwortung aus sicherheitstechnischer Sicht die Nutzung, aber auch der Verlust von Firmenhardware, beispielsweise auf Messen oder Veranstaltungen mit sich bringt. Treffen Sie Vorsorge, damit verloren gegangene Geräte im Idealfall wieder auffindbar sind oder zumindest durch die entsprechenden Sicherheitsmaßnahmen, nicht von Dritten genutzt werden können.

3. Fallbeispiel: Verkauf und Entsorgung von gebrauchter Hardware

Die Datenschutzgrundverordnung (DSGVO) schreibt es zwar vor, dennoch nutzen längst nicht alle Unternehmen professionelle Entsorgungswege oder Verkaufswege, wie es z.B. ein professionelles IT-Remarketing anbietet. Auf einer Veranstaltung wurde unserer Business-IT-Community vorgestellt, auf wie viele wichtige Details man zu achten hat, und an welchen Stellen IT-Sicherheitsrisiken bei gebrauchter Hardware bestehen.

Wer hätte das gedacht? Hätten Sie z.B. gewusst, dass IT-Experten sich von einem gebrauchten IT-Router, wichtige Informationen beschaffen können, um in ein Firmennetzwerk einzudringen? Daher ist die nachhaltige Löschung von Daten auf IT-Komponenten ein absolutes Muss!

4. Fallbeispiel: Passwortweitergabe

Der kurze Dienstweg ist allseits in Unternehmen ein positiver Ausdruck. Ganz im Gegenteil, bei der Passwortweitergabe unter Kollegen, doch leider gehört dies oft zur gängigen Praxis. Folgende Beispiele können wir hierzu auflisten:

  • Gemeinsam genutzte Cloud-Speicherplätze
  • Das gleiche Passwort für mehrere Arbeitskonten und Softwarelösungen
  • Unsichere Passwortspeicherung wie z.B. in Google Docs, Messenger, Whatsapp-Gruppen oder Notizen
  • Social-Media-Account-Betreuung von mehreren Mitarbeitern oder gemeinsamen mit Agenturen
  • Unsichere Passwortweitergabe

Laut einem verizon Report erfolgen 80 % der Hacking-Vorfälle mithilfe schwacher oder gestohlener Passwörter. Lesen Sie daher unsere Tipps für sichere Passwörter.

Auch wenn der schnelle Datenzugriff unter Kollegen ab und an darunter leidet, empfehlen Sie Ihren Mitarbeitern die Passwörter nicht mit Kollegen zu teilen! Stattdessen empfiehlt sich der Einsatz einer Passwortverwaltungssoftware, um längere und komplexere Passwörter zu erstellen und einfach nutzbar zu machen.

5. Fallbeispiel: Zugriff auf vertrauliche Informationen in der Öffentlichkeit

Sie sind unterwegs und haben gerade eine Stunde Zeit, um in einem öffentlichen Café wichtige Arbeiten zu erledigen? Die Versuchung ist groß, doch haben Sie auch Ihr VPN eingeschaltet, um Daten nur innerhalb Ihres Firmennetzwerks abgeschottet vom öffentlichen Internet auszutauschen? Auf einer Live-Hacking-Veranstaltung wurde unserer Business-IT-Community erklärt, wie einfach ein Peilsender aufgebaut werden kann. Mit einer solchen simplen Strategie kann vorgetäuscht werden, dass Sie in einem vertrauenswürdigen WLAN eingeloggt sind, wie beispielsweise dem allseits bekannten ICE-WLAN. Während Sie im empfundenen sicheren Netzwerk sind, können Ihnen jedoch persönliche und geschäftliche Informationen abhandenkommen.

Wichtige mobile Vorsichtsmaßnahme: Schaffen Sie Verantwortungsbewusstsein beim Zugriff auf persönliche und geschäftliche Informationen in einem öffentlichen Bereich. Nicht nur die digitale Vorsorge ist erforderlich, sondern auch die analoge Schutzmöglichkeiten. Ein Beispiel hierfür ist ein Sichtschutz, um zu verhindern, dass Fremde die Bildschirminhalte sehen können.

Empfehlungen zur Implementierung der menschlichen Firewall

Kompakte Checkliste zum Aufbau einer Human Firewall Strategie

Eine menschliche Firewall muss auf einer umfassenden und zuverlässigen Strategie basieren, die darauf ausgelegt ist, alle Mitarbeiter in die Human Firewall einzubeziehen, um potenzielle Bedrohungen zu bekämpfen. Folgende Schritte empfehlen wir als Leitfaden zur Integration und Umsetzung:

  1. Beziehen Sie die Mitarbeiter in Human Firewall Konzeption ein
  2. Starten Sie mit einer Initialschulung zur Vermittlung der wichtigen IT-Sicherheitsgrundlagen und Verhaltensregeln
  3. Testen Sie das erlernte Wissen und die Anwendung der vermittelten Erkennungstechniken
  4. Reduzieren Sie das Risiko durch fortlaufende Sicherheits-Updates anhand z.B. neuer Fallbeispielen im Cybermarkt
  5. Erstellen Sie eine unternehmensweit verbindliche Sicherheitsrichtlinie hinsichtlich des Verhaltens im Internet

Tipps zur erfolgreichen Human Firewall Integration

Folgende Punkte gilt es besonders beim Aufbau einer Human Firewall zu berücksichtigen:

  • Motivieren Sie unternehmensweit für eine sicherheitsbewussten und organisatorischen Denkweise
  • Einmal ist keinmal! Arbeiten Sie daher mit einem kontinuierlichen Weiterbildungs- und Updateplan
  • Konzentrieren Sie sich auf die häufigsten Bedrohungen mit größtem Risiko- und Schadenspotenzial
  • Schaffen Sie sichere Lösungen für individuelle Unternehmensprozesse im Vorfeld, um Ausnahmen zu vermeiden
  • Führen Sie regelmäßig Phishing-Tests durch, um das Sicherheitslevel Ihres Unternehmens hochzuhalten
  • Arbeiten Sie mit aktiven Lernmethoden und mit Lernbeispiele aus der Praxis
  • Nutzen Sie den Cyberschutz-Fortschritt und die entwickelten Technologien wie z.B. Predictive Analytics
  • Geben Sie im Alltag Echtzeit-Feedback zur Vertiefung und nachhaltigen Bewusstseinsschaffung.

Besuchen Sie Fachkongresse und tauschen Sie sich mit Anwendern aus

Immer wieder besteht die Möglichkeit zum Erfahrungsaustausch, in unserer Business-IT Community oder auch auf Fachkongressen und Veranstaltungen. Besonders interessant sich praxisbeispielorientierte Impulse von Lösungsanbietern und Vorträge, in denen Anwender ihre Erfahrungen teilen.

The human firewall: Eine Kultur der Cybersicherheit schaffen

Ein schönes Beispiel hierfür war der Vortrag, welcher im Rahmen des Cyber Security Fairevents 2022 angeboten wurde. Der Chief Information Security Officer von Vorwerk, Florian Jörgens, teilte seine Erfahrungen beim Aufbau einer Human Firewall in folgenden Vortrag, aus Anwendersicht:

Cyber Security Fairevent Vortrag Human Firewall
Florian Jörgens, Chief Information Security Officer von Vorwerk
  • Warum steht der Faktor Mensch immer noch so hoch im Kurs?
  • Wie gelingt ein didaktischer Faden?
  • Wie werden hohe Teilnahmequoten erreicht?
  • Was sind wesentliche Inhalte, was gehört nicht dazu?
  • Welche Stakeholder müssen abgeholt werden?