Die Entscheidung zwischen technischen oder organisatorischen Lösungen

Die Kombination macht‘s: Welche Maßnahmen wirklich gegen Phishing helfen. Denn: tagtäglich wird jeder Mensch mit Phishing-Attacken konfrontiert. Dabei spielt es keine Rolle, ob er beruflich oder privat mit dem Internet verbunden ist. Phishing-E-Mails überfluten unser E-Mail-Postfach. 

Das Ziel der Kriminellen ist sehr unterschiedlich – Diebstahl von Anmeldeinformationen, Infizierung des Endgerätes durch das Klicken auf Links oder Anhänge sowie das Sammeln personenbezogener Daten stellen einen Bruchteil der illegalen Möglichkeiten durch Phishing dar.

Anzeige

Doch ist das größte ungelöste Cyberproblem der Unternehmen die steigende Anzahl von Phishing-E-Mails auf mobilen Geräten. Dieses ist im Vergleich zu den herkömmlichen Angriffen problematischer. Immer mehr Arbeitnehmer benutzen Mobilgeräte für ihre Arbeit. Die Phishing-Attacken zielen jedoch nicht nur auf geschäftliche E-Mail-Konten ab. Vielmehr stellen Angriffe via SMS, MMS und zum Beispiel WhatsApp oder auf private E-Mail-Konten, die im Firmennetzwerk genutzt werden, eine große Gefahr dar. Es müssen deshalb alle verbundenen Devices, besonders auch mobile, abgesichert sein. Zusätzlich ist es erforderlich, die Person zu schulen, die diese bedient und Konten nutzt. Letztlich ist es keine binäre Entscheidung zwischen „1“ und „0“, es gibt kein entweder oder, wenn es darum geht den Mitarbeiter zu sensibilisieren, also den Rahmen zu bestimmen und ihm geeignete Technologien zum Schutz zur Seite zu stellen.

Der BSI-Lagebericht 2019 zeigt auf, dass sowohl die durch Ransomware verursachten Produktionsausfälle und Datenverluste als auch die daher notwendige Bereinigung und Wiederherstellung der Systeme enorme Kosten verursachen. Dort steht unter anderem beschrieben: „Abhilfe kann die konsequente Nutzung von IT-Sicherheitsmaßnahmen nach dem Stand der Technik sowie eine Stärkung der digitalen Eigenverantwortung jedes einzelnen Nutzers schaffen“. Damit betont das BSI, dass eine Kombination aus Organisation und Technik notwendig ist, um die bestmögliche Cyber-Security-Infrastruktur zu besitzen. Auch das FBI folgt diesem Gedankengang und betont in ihrer Private Industry Notification die Bedeutung zum Schutz gegen Social Engineering und Cyberangriffen.

Spätestens mit dem Inkrafttreten der Datenschutzgrundverordnung am 25. Mai 2018 müssen die Verantwortlichen geeignete technische und organisatorische Maßnahmen (TOM) umsetzen, um sicherzustellen und nachzuweisen, dass die Verarbeitung der Daten DGSVO-konform erfolgt. Das erklärte Ziel ist es, ein für das Unternehmen angemessenes Schutzniveau zu erreichen.

Zu diesen Instrumenten gehören unter anderem:

a) Verschlüsselung von personenbezogenen Daten und Pseudonymisierung
b) Stetige Aktualisierung von Verarbeitungs-Systemen und -Diensten
c) Erstellen von Daten-Backups
d) Kontrolle der eingesetzten technischen und organisatorischen Maßnahmen
e) Gewährleistung der Verfügbarkeit der Daten und Belastbarkeit der Systeme
f) Natürliche Personen mit Zugriff auf Daten regulieren

Technische Maßnahmen

Sie gewährleisten die Sicherheit von IT-Systemen. Sie haben direkten Einfluss auf die technische Verarbeitung der Infrastruktur. Damit beziehen sie sich direkt auf den Datenverarbeitungsvorgang. Das sind neben der Verschlüsselung von Datenübertragungen und -trägern zum Beispiel die Einrichtung von Firewalls und Backups.

Organisatorische Maßnahmen

Diese hingegen besitzen keinen direkten Einfluss auf die zu schützenden IT-Systeme beziehungsweise den Datenverarbeitungsvorgang. Vielmehr regulieren sie die technische Verarbeitung und bilden damit die Rahmenbedingungen für technische Maßnahmen. Beispiele sind die Einführung eines „Vier-Augen-Prinzips“, Bestimmung der zu vergebenen Rechteinhaber für den Zugriff auf sensible Daten oder die Sensibilisierung von Mitarbeitern in Security Awareness Trainings.

Welche Maßnahmen ein reeller beziehungsweise virtueller Standort verwenden sollte, richtet sich nach den für das Unternehmen relevanten Kategorien zur Erreichung des Sicherheitsniveaus. Dazu zählen der aktuelle Stand der Technik, die Kosten für die Implementierung neuer IT-Security-Infrastruktur, die Eintrittswahrscheinlichkeit einer Gefahr für das Unternehmen sowie Art, Umfang und Zweck der Datenverarbeitung innerhalb der Firma. Ein örtlicher Bäcker hat aus diesen Gründen andere Cyber-Angriffe zu erwarten, als ein IT-Großkonzern. Jedes Unternehmen muss folglich einen individualisiertes Schutzniveau herstellen, indem es eine Risikobewertung jeden einzelnen Datenverarbeitungsvorgangs erstellt. Erschwerend wirkt die Dynamik der Online-Gefahren und -Risiken. Der aktuelle BSI-Lagebericht 2019 betont: „Wirksamer Schutz ist aber nur möglich, wenn die allgemeine wie auch die konkrete Gefährdungslage zumindest im Überblick bekannt sind“ und führt weiter aus, dass die dynamischen Entwicklungen der Cyber-Sicherheitslage eine regelmäßige Risikobewertung und daraus resultierende präventive und reaktive Maßnahmen voraussetzen. Besonders Multi-Faktor Authentifizierung (MFA) stellt einen direkten Schutz der Daten dar.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

MASA deckt Sicherheitslücken der MFA auf

Doch schützt eine MFA, beispielsweise mit einem zusätzlichen Code, welcher einmalig verwendbar auf das Smartphone geschickt wird, nicht vollumfänglich. Social Engineering und Cyberangriffe bilden die größten Gefahrenquellen. Kevin Mitnick, Chief Hacking Officer bei KnowBe4, zeigt innerhalb des Webinars zum Thema „Twelve Ways to Defeat Two-Factor Authentication“, wie er durch eine Phishing-E-Mail direkten Zugriff auf ein durch MFA geschütztes Konto bei LinkedIn erhält. Alles, was er dabei benötigte, war ein Man-in-the-Middle-Angriff. Das Opfer klickt auf einen Phishing-Link und wird auf die Login-Website von LinkedIn weitergeleitet. Der Angreifer ist nun jedoch unsichtbar zwischengeschaltet und erhält den Benutzernamen, das Passwort und nicht den einmaligen Token, sondern den Session-Cookie. Diesen muss er nun lediglich in den Konsolenbereich eines herkömmlichen Webbrowsers kopieren und wird automatisch eingeloggt.

Die Implementierung von MFA ist in der Regel eine Verbesserung gegenüber der Single-Faktor-Authentifizierung, aber wie jede Sicherheitslösung ist sie angreifbar. KnowBe4 setzt hier an und stellt den Unternehmen, neben ihrem Security Awareness Training, ein kostenloses Tool namens Multi-Factor Authentication Security Assessment (MASA) zur Verfügung. Dieses Tool basiert auf Umfragen, welche den Sicherheitsexperten der Unternehmen relevante Technologiefragen zur Funktionsweise ihrer MFA-Lösung beantworten. In diesem Prozess identifiziert sie die besonderen, auf das Unternehmen zutreffenden Risiken. Es erstellt einen Bericht, der die jeweiligen MFA-Schwachstellen aufzeigt und bereits Empfehlungen zum Schutz vor Angriffen ausspricht. Basierend auf dieser Analyse können die Sicherheitsbeauftragten der Unternehmen Handlungsschritte einleiten, um die Schwachstellen zu schützen.

Fazit

Die kriminelle IT-Infrastruktur wächst rapide. Die damit einhergehende Dynaxität macht es notwendig, die Gefahren und Risiken regelmäßig zu bewerten und sowohl technische als auch organisatorische Gegenmaßnahmen präventiv und reaktiv zu kombinieren. Besonders MFA erweckt den Eindruck der „Unhackbarkeit“, der Schein trügt jedoch. Unternehmen können mit speziellen Tools bewerten, welche Schritte für sie sinnvoll sind, um die MFA zu schützen. Hiermit verbundene Schwachstellen könnten durch die Sicherheitsexperten behoben werden.

 

Wieringa Jelle

KnowBe4 -

Security Awareness Advocate

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.