Anzeige

Schach

Social Engineering ist mit Abstand die Bedrohung Nummer eins, gefolgt von ungepatchter Software. Somit ist klar, dass Maßnahmen zum Schutz dieser Schwachstellen zu treffen sind. Erfahren Sie in diesem Beitrag, warum und wie ein Antiphishing-Konzept ihre letzte Verteidigungslinie stärkt.

Seit mehr als 30 Jahren werden Cybersicherheitsvorfälle untersucht. In den letzten 20 Jahren wurde der Fokus speziell auf die beliebtesten Trends bei Angriffsvektoren gelegt, die die Cybersicherheit bedrohen. In diesen letzten beiden Jahrzehnten belegten zwei Angriffsvektoren (aus einem Dutzend möglicher Vektoren) abwechselnd und mit Abstand die Spitzenreiterposition: Social Engineering und ungepatchte Software. Beiden Angriffsvektoren machen 70 bis 90 Prozent aller Cybersicherheitsvorfälle und böswilliger Datenschutzverletzungen aus. Heute stellt alles andere zusammengenommen rund 10 Prozent des Risikos dar.

Bis vor etwa sieben Jahren waren ungepatchte Software und insbesondere ungepatchtes Sun/Oracle Java für die meisten Angriffe verantwortlich. 2014 zeigte der Cisco 2014 Annual Security Report, dass ungepatchtes Java selbst 91 Prozent aller erfolgreichen Web-Exploits ausmachte. Und andere Anbieter gaben an, dass sie bei zusätzlicher Berücksichtigung ungepatchter Adobe-Produkte (z.B. Adobe Reader, Acrobat, Flash, usw.) für sich genommen 99 Prozent des Risikos ausmachten.

Automatisiertes Software-Patching

Automatisiertes Software-Patching hat sich jedoch in einem Maße verbessert, dass ungepatchte Software nun, obwohl sie noch zu den zwei Hauptbedrohungen gehört, Social Engineering und Phishing gegenüber ins Hintertreffen gerät. Einige Untersuchungen zufolge ist ungepatchte Software in rund 20 bis 40 Prozent aller böswilligen Datenverstöße involviert, obwohl sie oft auch Teil einer Social-Engineering-Kampagne ist.

Besucht ein Nutzer beispielsweise eine kompromittierte Webseite, prüft ein böswilliges „Web-Exploit-Kit“ den Computer des Nutzers auf ein oder mehrere ungepatchte Exploits. Wenn es eine ungepatchte Schwachstelle findet, versucht es, den Computer des Nutzers „stillschweigend“ zu infizieren (was als „Drive-by-Download“ bekannt ist). Findet es nicht, wonach es gesucht hat, wird es versuchen, den Nutzer, der die Seite besucht, durch Social Engineering dazu zu bringen, vertrauliche Informationen preiszugeben oder Trojaner-Inhalt auszuführen.

Zusammen sind und waren Social-Engineering-Methoden und ungepatchte Software über zwei Jahrzehnte lang für die überwiegende Mehrheit der Angriffe verantwortlich. Und scheinbar ist weit und breit nichts in Sicht, was diese Tatsache zeitnah ändern könnte, wobei diese Methoden eines Tages sicher entthront werden (z.B. von Cloud-Bedrohungen, Angriffen auf Quantenkryptographie, usw.). Wenn man diese entscheidende Tatsache erst einmal verstanden hat - nämlich dass Social Engineering mit Abstand die Bedrohung Nummer eins ist, gefolgt von ungepatchter Software - wird völlig klar, dass jedes System zum Schutz des Computers Maßnahmen zur Bekämpfung von Social Engineering und Patching beinhalten muss.

Technische und nicht-technische Kontrollen

Alle mit der Computer-Sicherheit verbundenen Probleme können durch Einsatz technischer und nicht-technischer Kontrollen verringert oder behoben werden. Da jedes Computer-Problem ein Problem mit Menschen, Tools und Prozessen ist, muss jeder einzelne Punkt verbessert werden, damit die Bedrohungen, zu deren Bekämpfung sie da sind, gestoppt werden können.

Jede Abwehrmaßnahme sollte mit der entsprechenden Richtlinie beginnen. Dazu gehört, dass eine jährliche Acceptable Use Policy (AUP) vorhanden ist, die jeder neue Mitarbeiter lesen und unterzeichnen muss, um zu bestätigen, dass er sie verstanden hat. Sie sollte aktualisiert und den Mitarbeitern jedes Jahr erneut zur Lektüre und Unterzeichnung zugesandt werden. Die AUP ist ein allgemeines Informations- und Richtliniendokument, das die Grundzüge der Dateninformationssicherheit sowie die Bedrohungen und Risiken der Cybersicherheit im Detail darlegt und Mitarbeitern eine grobe Richtschnur zu der Frage liefert, wie diese Risiken und Bedrohungen bekämpft werden können.

Acceptable Use Policy (AUP)

Falls Sie keine AUP-Richtlinie haben - das Internet ist voller Beispiele. In diesem PDF finden Sie eines davon.

Stellen Sie sicher, dass Ihre AUP einen Abschnitt zu Social Engineering (und Patching) enthält, so dass Nutzer gleich vom ersten Tag an die Gefährdung kennen und die entsprechenden Abwehrmaßnahmen zur Hand haben. Der AUP sollte ein Sicherheitsrichtliniendokument folgen, in dem alle Kontrollen und Verfahren aufgelistet sind, die Mitarbeiter befolgen müssen, um geschützt zu sein. Dazu gehört, sich auszuloggen, wenn man nicht an seinem Computer ist, kritische Software-Schwachstellen rechtzeitig zu patchen und keine unvorhergesehenen Dateianhänge anzuklicken.

Der AUP und dem Dokument zu den allgemeinen Sicherheitsrichtlinien sollte ein weiteres Dokument folgen, das speziell zur Bekämpfung von Social Engineering und Phishing erarbeitet wurde. Der Grund dafür ist die riesige Bedrohung, die diese Angriffsvektoren für die Umgebung darstellen. Das Dokument solle eine vernünftige Darlegung der Bedrohungen und Risiken durch Social Engineering enthalten, sowie Definitionen und Beispiele und alles andere, was Mitarbeiter wissen und tun müssen.

Sie müssen beispielsweise wissen, wie sie Social Engineering und Phishing erkennen können, was sie tun müssen, falls sie darauf stoßen, und welche Gegenmaßnahmen einzuleiten sind. Die speziellen Antiphishing-Dokumente sollten Links zu ausführlicheren Dokumentationen mit Richtlinien und Tools enthalten, die Organisationen zur Beseitigung dieser Risiken und Bedrohungen nutzen können. Darüber hinaus sollten sie auch die Frage behandeln, wie das Unternehmen Mitarbeiter in Bezug auf diese Bedrohungen und Risiken kontinuierlich schulen kann (z.B. simulierte Phishing-Emails, usw.). Für Leser, die nicht über eine spezielle Antiphishing-Dokumentation verfügen, halten viele Anbieter von Security Awareness-Training jede Menge Dokumentationen bereit.

Fazit

Da Social Engineering und Phishing im Zusammenhang mit Angriffen zu den größten Bedrohungsvektoren gehören, muss ihre Bekämpfung ein wesentlicher Teil der letzten Verteidigungslinie, oder besser noch, der ersten Verteidigungslinie einer jeden Organisation sein.

Roger Grimes, Data-Driven Defense Evangelist
Roger Grimes
Data-Driven Defense Evangelist, KnowBe4

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Cybercrime

Effizienter Schutz vor Credential Stuffing

Die globale Coronavirus-Pandemie hat das Problem von Credential Stuffing noch verschärft. Bei dieser Angriffsmethode probiert ein Cyberkrimineller eine große Anzahl gestohlener Anmeldedaten bei mehreren Websites aus. Damit möchte er sich unbefugten Zugang zu…
Weihnachten Kalender

Der Adventskalender für mehr IT-Sicherheit

Die Weihnachtszeit naht und für Viele ist das Öffnen von 24 Adventskalender-Türchen eines der am meisten geschätzten Dezember-Rituale. Passend dazu startet zum zweiten Mal die Aktion “Sicher im Advent”
Business Continuity Management

Business Continuity Management: Überlebenswichtig in Corona-Zeiten

Die Corona-Pandemie stellt zahlreiche Unternehmen auf eine harte Probe. In dieser unsicheren Wirtschaftslage können Systemausfälle oder Ähnliches nicht nur Zeit, Geld und die Reputation kosten, sondern auch die Existenz.
E-Mails

E-Mail-Kommunikation mittels Blockchain: totemomail Verified

Die E-Mail ist gerade im Geschäftsleben nach wie vor das universelle Kommunikationsmittel, obwohl ihren Vorteilen auch Nachteile wie Phishing-Risiken oder die fehlende Revisionssicherheit gegenüberstehen.
Netzwerk-Sicherheit

Das Netzwerk sichern wie den Firmen-Komplex

Ransomware-Angriffe nehmen mehr und mehr zu, nicht zuletzt begünstigt durch die fortschreitende Digitalisierung, Cloudmigration und breit angelegte Tele-Arbeit. Nun gilt es, die Strategie für Netzwerksicherheit ebenfalls zu adaptieren. Mehr Homeoffice. Mehr…
Endpoint Security Baum

Welche Strategie schützt den Endpunkt?

In einer perfekten Welt wäre Software vollkommen sicher und Angriffe wären unmöglich. Sie ist jedoch zu komplex, um perfekt entworfen oder programmiert werden zu können, jedenfalls, wenn Menschen im Spiel sind. Selbst die sichersten Anwendungen haben Fehler.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!