Interview mit Lance Spitzner, SANS Institute
Verteiltes Arbeiten braucht Sicherheitsschulungen
Fortsetzung des Artikels von Teil 1
KI und ML sind kein Allheilmittel
LANline: In der IT-Security-Branche setzen viele derzeit große Hoffnungen auf KI und maschinelles Lernen (ML) als Wunderwaffe zur Abwehr von Angriffen. In welchem Maße können KI und ML tatsächlich Druck von den Schultern der Beschäftigten nehmen, ständig auf die Sicherheit achten zu müssen?
Lance Spitzner: Sicherheit ist eine Kombination aus Technologie und Menschen. Maschinelles Lernen ist ein Fortschritt auf der Technologieseite. Aber für jede KI, die wir zur Verteidigung einsetzen, können Bedrohungsakteure KI für Angriffszwecke nutzen. Wird KI also auf lange Sicht helfen? Nein. Es wird weiterhin ein Wettrüsten bleiben.
LANline: Zu den alltäglichen Probleme bei der Förderung des Sicherheitsbewusstseins kommen in zahlreichen Organisationen die Herausforderungen einer multinationalen oder multikulturellen Belegschaft. Worauf sollten diese Unternehmen besonders achten, um ihre Sicherheitslage zu verbessern?
Lance Spitzner: Selbst in einem globalen und sehr vielfältigen Unternehmen sind die grundlegenden Verhaltensweisen die gleichen. Aber wie man sich engagiert und kommuniziert, ist zum Beispiel in Lateinamerika anders als in Deutschland. Jede Kultur hat ihre eigenen Nuancen, und auch der Humor unterscheidet sich von Land zu Land. Unternehmen müssen also lokale Fachleute beschäftigen und lokalisiertes Material für den jeweiligen Kontext erstellen, zum Beispiel die lokale Währung oder Stadt verwenden, wenn sie Beispielmaterial erstellen.
LANline: Wie beurteilen Sie den Wert generischen Security-Awareness-Materials, wie in manche Anbieter offerieren?
Lance Spitzner: Wirklich kleine Organisationen werden wahrscheinlich das nehmen, was der Anbieter ihrer Wahl vorschlägt. Große Organisationen hingegen arbeiten eher mit Anbietern zusammen, um grundlegende Schulungen anzubieten, und erstellen dann ihr eigenes Material.
LANline: Ihr aktueller Report zeigt, dass bei Security Awareness noch Luft nach oben ist. Deshalb abschließend die Frage: Was ist Ihrer Ansicht nach die wichtigste Erkenntnis aus dem Bericht?
Lance Spitzner: Wir müssen Awareness ernst nehmen. Wir haben so viel in Verteidigungstechnologie investiert, dass wir die Angreifer praktisch dazu drängen, Menschen ins Visier zu nehmen. Es geht also um das menschliche Risiko. Wenn man das menschliche Risiko in den Griff bekommen will, muss man in das Sicherheitsbewusstsein investieren! Unsere Erfahrung zeigt, dass das funktioniert. Unternehmen, die aktive Phishing-Simulations- und -Schulungsprogramme durchführen, haben zum Beispiel eine Klickrate von einem bis zwei Prozent bei Phishing-E-Mails und zudem eine hohe Melderate bei Phishing-Versuchen. Andere Unternehmen haben im Durchschnitt eine Phishing-Klickrate von 20 bis 30 Prozent. Es ist also durchaus möglich, das menschliche Risiko drastisch zu reduzieren. Das langfristige Ziel muss es sein, über das Verhalten hinauszugehen und die Unternehmenskultur zu beeinflussen. Werden Beschäftigte einen Vorfall melden? In einer guten Unternehmenskultur ja, in einer Bestrafung ausgerichteten Kultur aber nicht.
LANline: Herr Spitzner, vielen Dank für das Gespräch.
- Verteiltes Arbeiten braucht Sicherheitsschulungen
- KI und ML sind kein Allheilmittel
Lesen Sie mehr zum Thema
