Anzeige

Cybercrime Code

Immer mehr IT-Abteilungen vertrauen auf Penetrationstests oder Bug-Bounty-Programme und simulieren Cyberattacken, um ihre Mitarbeiter zu sensibilisieren. Grund dafür ist der explosionsartige Anstieg von Cyberbedrohungen. 

Egal ob man nun die Sicherheitsmaßnahmen oder die digitalen Reflexe der Angestellten prüfen möchte: Die Simulation von Cyberattacken trägt zu einer erhöhten Wahrnehmung von Cyberrisiken bei.

Kennen Sie Jeremy aus dem Marketing-Team? Den Neuen im Team aus dem ersten Stock? Sie halten ihn für harmlos? In Wahrheit ist Jeremy ein sehr erfahrener Hacker, der vom Unternehmensleiter eingestellt wurde, um vor Ort einen Penetrationstest durchzuführen. Ihm wurde freie Hand gelassen, und seine Kollegen werden dies bald entdecken. Diese Geschichte könnte geradezu aus einem Thriller stammen, findet sich jedoch in der 36. Folge des Cybersicherheits-Podcasts Darknet Diaries, die „Jeremy from Marketing“ getauft wurde. Hierbei geht es um einen internen Angriff, der möglichst viele Schwachstellen aufdecken und somit das Sicherheitsniveau der Infrastrukturen und Netzwerke einstufen soll.

Das Simulationsgeschäft boomt

Heute bieten immer mehr Unternehmen Penetrationstests sowie praktische Übungen für Mitarbeiter an. Rollenspiele, simulierte Cyberattacken – die Entwicklung der Cybersicherheitskultur in Unternehmen wird immer immersiver. Ob man nun die Sicherheitsmaßnahmen oder die digitalen Reflexe der Mitarbeiter prüfen möchte, solche Aktivitäten können tatsächlich zur erhöhten Wahrnehmung potentieller Bedrohungen beitragen.

Pentesting oder Bug-Bounty-Programme, mit denen man ein Produkt oder eine Netzwerkinfrastruktur angreift, um ihre Stabilität oder Sicherheit zu beweisen, sind in der Cyberwelt mittlerweile gängig. Häufig greifen Unternehmen sogar auf externe Anbieter zurück, um ihre Sicherheitsvorkehrungen prüfen zu lassen.

Uwe Gries„Beim Black-Box-Pentesting hat die beauftragte Person Zugriff auf realen Daten und wird versuchen, das Netzwerk von außen anzugreifen“, erklärt Uwe Gries (im Bild), Country Manager DACH bei Stormshield. „Andererseits kann man besagter Person auch Zugriff auf Code und Ablaufregeln gewähren, damit sie durch Korrekturlesen des Codes versucht, die Schutzmechanismen zu umgehen. Dies nennt man dann White-Box-Pentesting.“

Einer Berücksichtigung würdig sind ebenfalls Wettkämpfe zwischen Red und Blue Teams. Dabei testet das Red Team die Sicherheit eines Betriebs, eines IT-Netzwerks oder einer Anlage durch Hacking-Techniken, während das Blue Team versucht, die Attacke abzuwehren. Im Juni 2019 hatte das französische Verteidigungsministerium beispielsweise eine solche Simulation mit dem Ziel vorgenommen, „den Handlungen des Gegners vorzugreifen“. Solch eine Simulation einer Cyberattacke soll also die Schwachpunkte eines Unternehmens kenntlich machen. Weitere Teams, wie in der sogenannten BAD-Pyramide (Build, Attack, Defend“) erwähnt, können zusätzlich hinzugezogen werden, wenn man die Übung noch effizienter gestalten möchte.

Fallen können zur Sensibilisierung beitragen

Eine vor Kurzem durchgeführte IBM-Studie, die im Blog usecure genannt wird, unterstreicht, dass menschliches Versagen 95 % der Sicherheitslücken eines Unternehmens ausmacht. Anders ausgedrückt: Die korrekte Handhabung des menschlichen Faktors könnte die meisten Lücken ausmerzen, da die reine Absicherung des Perimeters unzureichend sein und jede Person ein Angriffsvektor werden kann. 30.000 Mitarbeiter des französischen Wirtschaftsministeriums gerieten in die Falle, die von ihrer eigenen Sicherheitsabteilung mit dem Ziel gestellt wurde, die den Phishing-Risiken ausgesetzten Mitarbeiter zu sensibilisieren und ihnen beizubringen, wie sie mit potenziellen Angriffen und den daraus resultierenden Schäden umgehen können. Und das mit Erfolg!

Aufgrund des Kostenfaktors solcher Vorgänge kann sich jedoch nicht jedes kleine oder mittlere Unternehmen leisten, solche Cyber-Übungen umzusetzen. Aus diesem Grund entscheiden sich die CISOs dann eher dafür, sich vom Prinzip des Red- und Blue-Team- Rollenspiels in kleinerem Umfang inspirieren zu lassen. Um realitätsnahe Bedingungen zu schaffen, sollten die zu attackierenden Mitarbeiter möglichst nichts von der Übung wissen. So könnte beispielsweise einem Mitarbeiter der Personalabteilung unwissentlich eine Falle gestellt werden, um die ordnungsgemäße Umsetzung der notwendigen Schutzmaßnahmen für eine Datei mit personenbezogenen Daten zu prüfen. Andere müssten dabei versuchen, mittels verschiedener technischer oder sozialer Methoden auf diese Datei zuzugreifen. Damit kann der CISO Parallelen zwischen der simulierten Cyberattacke und den wesentlichen Grundsätzen der IT-Sicherheit (etwa Schutz der Passwörter oder grundlegende Regeln für den Schutz vor verdächtigen E-Mails) ziehen.

„Eine gute praktische Übung ist sicherlich tausendmal so wirksam wie eine PowerPoint-Schulung“, betont Gries. Die Herausforderung besteht darin, die Übungen der Penetrationstests oder Rollenspiele mit effizienter Sensibilisierung zu verbinden. „Man muss sich also die Zeit nehmen, um die Übung in einen allgemeineren Kontext einzuordnen und die Cyberattacke schrittweise zu analysieren, um so alle Lehren hieraus ziehen zu können“, führt er fort. „Manchmal ist es sogar von Vorteil, einige Monate später die praktische Übung zu wiederholen, um zu sehen, ob sich das Verhalten der Mitarbeiter geändert hat und die Sicherheitsvorkehrungen für solche Angriffe auch verstanden wurden“, fügt Gries hinzu.

Wir sprachen bereits mehrmals über verschiedene Möglichkeiten zur Erreichung einer effizienten und resilienten Cybersicherheitskultur in den Unternehmen: vom Lehren der Cybersicherheit in Schulen bis hin zur Haftung der Mitarbeiter. Im Jahr 2020 sind die meisten IT-Abteilungen zwar noch auf der Suche nach der richtigen Sensibilisierungsmethode, doch kann man damit rechnen, dass die praktischen Übungen und sonstige simulierte Cyberattacken schon bald in ihren Katalog aufgenommen werden könnten.

www.stormshield.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!