Security Awareness sei überbewertet Marc Ruef | 06.08.2012 Ich war grad im Urlaub in Kroatien, als ich in meinem RSS-Reader einen Blog Post mit dem Titel Why you shouldn't train employees for security awareness (http://www.csoonline.com/article/711412/why-you-shouldn-t-train-employees-for-security-awareness) (link=http://www.pcworld.com/businesscenter/article/259461/why_you_shouldnt_train_employees_for_security_awareness.html Kopie/link) entdeckt habe. Mehr oder weniger skeptisch, aber dennoch interessiert, begann ich den Beitrag zu lesen. In diesem sollte dagegen argumentiert werden, warum Geld in Awareness-Trainings von Mitarbeitern gesteckt werden sollte. Das Hauptargument der Ausführungen ist, dass erfolgreiche Angriffe - vor allem im Rahmen von Advanced Persistant Threats (APT) - sowieso früher oder später erfolgreich ausfallen würden. Und bekanntgewordene Angriffe auf RSA, Google und eBay würden zudem beweisen, dass dies selbst bei besser ausgebildeten Technologieunternehmen der Fall ist. Ergo: Man könne sich den Aufwand auch gleich sparen und mit entsprechenden Incidents anfangen zu leben. So konnte ich mir es dann nicht verkneifen, auf Twitter eine harsche Kritik (https://twitter.com/mruef/status/226277186175377408) zu dieser Konklusion zu veröffentlichen. Ich habe mir angewöhnt, Beiträge ohne Rücksichtnahme auf Quelle und Autor zu lesen. Mir ist es wichtig, dass ich den Inhalt unvoreingenommen auf mich wirken lassen kann. Erst wenn ich im Verlauf oder nach dem Durchlesen des Artikels die Tendenz meiner Meinung zu festigen beginne, schaue ich nach, aus welcher Quelle der Beitrag stammt und wer ihn verfasst hat. In diesem Fall sollte es Dave Aitel sein - Aufgrund seiner Position als CSO beim renommierten Unternehmen Immunity Inc. eine bekannte Grösse in der Branche. Ich habe schon so manches von ihm gelesen und in den letzten Jahren auch flüchtigen Kontakt mit ihm gehabt. Umso mehr war ich erstaunt, welche Position er da vertreten sollte. Und tatsächlich tat sich im Internet regen (http://blogs.securiteam.com/index.php/archives/1802) link=http://www.infosecblog.org/2012/07/yet-another-aitel-security-awareness-response/ Widerstand/link gegen (http://krypt3ia.wordpress.com/2012/07/20/throwing-out-the-baby-with-the-bath-water-dave-aitels-approach-to-infosec/) seine (http://nakedsecurity.sophos.com/2012/07/20/is-security-training-futile/) Aussage (http://www.infosecisland.com/blogview/21990-You-Shouldnt-Train-Employees-for-Security-Awareness-Rebuttal.html) auf (http://pciguru.wordpress.com/2012/07/19/security-awareness-training/). Die meistete warteten, so wie ich, mit grossem Unverständnis auf. Man konnte seine Position und seine Absichten schlichtweg nicht nachvollziehen. Ich kenne seine Position, habe sie schon bei so einigen Kunden gehört. Das letzte Mal bei einer kleinen Schweizer Privatbank, deren Mitarbeiter an der Zahl kaum die 50 überschreitet. Nachdem wir in Kombination von Social Engineering und technischen Angriffen über das Internet erweiterte Zugriffe in sensiblen Bereichen erlangen sollten, ging es an die Abschlussbesprechung. Die Mitglieder der Geschäftsleitung waren gar nicht erfreut ab unseren Resultaten. Das Gespräch sollte sich fortan darauf konzentrieren, ob es denn für solche Attacken überhaupt eine Gegenmassnahme gibt. Schliesslich würde immer irgendeiner der 50 Mitarbeiter einen Fehler machen - Und 1 Fehler sei genug. Diesen Gedanken kann man weiterspinnen: Sollen Entwickler bezüglich sicherer Programmierung (http://twitter.com/#!/jeremiahg/status/226692744410714112) ausgebildet werden? Fehler passieren sowieso. Soll ein Hardening umgesetzt werden? Gewisse Schwachstellen existieren sowieso. Sollen Patches installiert werden? 0-Days existieren sowieso. Was Dave scheinbar zu missverstehen scheint ist die Tatsache, dass im Rahmen des Risikomanagements die Schwächen reduziert und im besten Fall eliminiert werden sollen. Doch nur weil sich eine Schwachstelle nicht gänzlich eliminieren lässt, muss man nicht gleich auf eine Risikominimierung verzichten. Denn nimmt man es genau, dann ist jede Massnahme schlussendlich nur um die Verringerung von Risiken bemüht. Neue Risiken tun sich ständig auf. Wer das nicht in Kauf nehmen will, der sollte konsequenterweise am besten keinen Computer besitzen (und auch nicht mehr aus dem Haus gehen). Ich gehe mit Dave einer Meinung, dass die Sicherheit einer Umgebung nicht ausschliesslich auf dem Sicherheitsverständnis der Benutzer beruhen sollte. Selbstverständlich müssen technische Massnahmen etabliert werden, um das gewünschte Mass an Sicherheit durchsetzen zu können. Das Schulen der Mitarbeiter kann jedoch dabei helfen, dass auch die verbleibenden Schwachstellen angegangen und damit eine erhöhte Sicherheit erlangt werden kann. Denn eine sichere Umgebung ist auf das Zutun sämtlicher Akteure angewiesen.