Anzeige

Cyber Security

Nachdem Twitter zuletzt vermehrt in den Medien kursierte, da das Unternehmen im Zuge der Corona-Krise all seinen Mitarbeitern Home-Office auf Lebenszeit gewähren wollte, machte es nun erneut Schlagzeilen. Von CEO-Fraud bis Spear-Phishing: Warum der aktuelle Twitter-Vorfall ein Warnschuss für viele Unternehmen ist und die Sicherheitslücke Mensch immer noch zu sehr unterschätzt wird.

Dieser Tag hat bei Twitter Geschichte geschrieben – leider im negativen Sinne. Am 16. Juli 2020 war es Hackern gelungen, den bisher größten Angriff auf eine Social Media Plattform durchzuführen. Der Vorfall war vor allem in seinem Ausmaß und Umfang schockierend – nicht nur prominente, sondern tausende Profile waren betroffen. Auch hatte Twitter noch Stunden später mit der Wiederherstellung und vor allem damit zu kämpfen, herauszufinden, was überhaupt passiert war. 

War Twitter nicht hinreichend geschützt?

Von komplexen Passwörtern bis hin zur Absicherung durch Zwei-Faktor-Authentifizierung mit einem zusätzlichen Code waren die Sicherheitsvorkehrungen der betroffenen Prominenten eigentlich überdurchschnittlich stark abgesichert.

Lag es dann also daran, dass bei Twitter zu viele Mitarbeiter Zugriff auf sicherheitskritische Daten und Konten hatten? Denn anscheinend konnten die Hacker interne Sicherheitsvorkehrungen aushebeln, um Datendiebstahl zu begehen. Nun hat Twitter in einem Blogbeitrag das Rätsel gelöst: Eine Mischung aus Social Engineering und Spear-Phishing auf einzelne Personen mithilfe von Telefonanrufen soll den Angreifern die virtuellen Tore geöffnet haben. 

Auch bei einem amerikanischen Pipelinebetreiber sorgte Spear-Phishing für zwei Ausfalltage, indem zuerst trotz interner Sicherheitsvorkehrungen das firmeneigene Netzwerk durch Ransomware kompromittiert wurde, um im nächsten Schritt an Zugangsdaten zu Steuerungsanlagen zu gelangen. Die besten Sicherheits-Systeme nützen eher wenig, wenn der User anfällig für Manipulation und Täuschungsversuche ist. 

IT-Sicherheit steht und fällt mit dem Mitarbeiter

Dies zeigt, dass trotz effektiver Systeme für Privileged Access und Account Management in Unternehmen ein essentieller Faktor zu sehr in den Hintergrund rücken kann – der gewöhnliche User, der zwar nicht direkt Zugriff auf wichtige Passwörter und Daten hat, aber trotzdem Bestandteil der Infrastruktur ist.

Er verwaltet also nicht den digitalen Tresor, aber vielleicht sitzt er an der Pforte im Eingangsbereich und winkt Hacker arglos durch. Haben diese erst einmal die erste Hürde ins Unternehmen genommen, ist es ein Leichtes, durch Spähattacken und Beobachtungen an notwendige Informationen zu gelangen und weiter vorzudringen.

Security Awareness als A und O

Fragt man Unternehmen, sehen zwar 67,6 % die interne IT-Sicherheit durch das menschliche Fehlverhalten ihrer Mitarbeiter gefährdet (Statista Studie 2019). Jedoch nur 22,9 % empfinden Social Engineering als große Cyberbedrohung. Unternehmen ist nicht klar, dass diese User dann als Einstiegstor genutzt werden können.

Die Schwachstelle Mensch beginnt bei Unwissenheit und Arglosigkeit im Umgang mit sensiblen Daten, führt über mangelndes technisches Know-how und endet mit fehlenden Anlaufstellen für deren Fragen und Belange. Nicht umsonst waren 2019 laut Bitkom 37 % der Angriffsmethoden auf digitales oder analoges Social Engineering zurückzuführen.

Dazu kommt, dass sich Hacker bei ihren Angriffen oft mehreren Methoden bedienen, um das bestmögliche Ergebnis zu erzielen. Die einzelnen Attacken sind hierbei bestens verzahnt und Social Engineering ist als explosive Zutat fast immer dabei.

Smart Work – eine neue Sicherheits-Challenge 

Nun kommt noch eine andere Komponente ins Spiel – Smart-Work-Konzepte, die Mitarbeitern das orts- und zeitunabhängige Arbeiten ermöglichen. Ob die Home-Office-Regelung bei Twitter ihren Teil zum Sicherheitsvorfall beigetragen hat, lässt sich an dieser Stelle nur mutmaßen. Sicher ist, dass Mitarbeiter auf solch einschneidende Prozesse vorbereitet werden müssen, da das Risiko für Social Engineering sonst gerade in ungewohnter Arbeitsatmosphäre steigen kann. Laut aktuellen Berichten von Interpol hat Human Hacking besonders seit dem Ausbruch von COVID-19 weltweit zugenommen.

Gut ersichtlich ist diese Entwicklung auch an gängigen Angriffsmethoden wie CEO-Fraud, auch Chef-Betrug genannt, die im Home-Office noch zugenommen haben. Hier werden Mitarbeiter manipuliert, hohe Geldsummen zu überweisen. Die Gefahr, auf diese Tricks hereinzufallen, ist gerade für Mitarbeiter, die isoliert im Home-Office sitzen, besonders relevant.

Denn durch die physische Distanz und mangelnden Prozesse ist es nicht möglich, den Chef mal eben auf dem Flur über die gewünschte Transaktion anzusprechen. Und da soziale Interaktionen durch die physische Distanz im Home-Office eher abnehmen, steigt auch die Wahrscheinlichkeit, Mitarbeiter durch das Ausüben von Druck oder das Entgegenbringen von Wertschätzung eher manipulieren zu können. Dies bestätigt auch eine Online-Ausstellerbefragung der it-sa 2020, laut dieser fast jeder dritte von Kunden gemeldete Sicherheitsvorfall auf Social Engineering zurückzuführen ist. 

Vom Risiko- zum Sicherheitsfaktor

Social Engineering wird also solange als sicherheitsrelevantes Thema bestehen bleiben, bis Unternehmen die Notwendigkeit erkennen, jeden Mitarbeiter aufzuklären, individuell zu schulen und besser in sicherheitskritische Prozesse miteinzubeziehen. Verantwortung für Systeme kann ein effizientes Werkzeug sein. Denn nur eine Kombination aus Security Awareness, regelmäßigen Schulungen und den notwendigen Tools und Prozessen zur Umsetzung der Inhalte kann die Sicherheitslücke Mensch nachhaltig schließen und das Unternehmen vor Datenmissbrauch schützen.

Human Hacking zeigt, dass sich jedes noch so gut durchdachte Sicherheitskonzept leicht aushebeln lässt, wenn Ihre Mitarbeiter freiwillig Passwörter oder andere Geheimnisse preisgeben. Da Hacker sich dabei immer neue Taktiken ausdenken, muss der Mensch als Schwachstelle immer wieder in den Mittelpunkt sicherheitskritischer Prozesse rücken, um sein Sicherheitsbewusstsein bestmöglich zu schärfen und Angreifern dadurch das Leben so schwer wie möglich zu machen.

Thomas Malchar, CEO
Thomas Malchar
CEO, Password Safe
Thomas Malchar ist CEO der im Jahre 2006 gründeten MATESO GmbH. Seine entwickelte Software Password Safe nutzen heute über 10.000 Firmenkunden.

Artikel zu diesem Thema

Login
Sep 23, 2020

Passwörter remote verwalten – sicher im Home-Office

Corona hat dem Home-Office allerorts enormen Auftrieb verschafft. Welche…
Trust
Sep 30, 2019

Verbraucher vertrauen weder Regierungen, noch Social Media Plattformen

Regierungsvertreter glauben in fast jedem Land, dass die Sicherheitsrisiken, die mit…

Weitere Artikel

Asset Management

Wie Sicherheitsteams nicht sichtbare Assets aufdecken können

Fünf Fragen und Antworten wie Sicherheitsteams nicht sichtbare Assets aufdecken können, beantwortet von Todd Carroll, CISO/VP CyberOperations bei CybelAngel.
Microsoft Exchange

Stellen Sie kritische Systeme niemals ungeschützt ins Internet!

Die Angriffswelle auf Microsoft Exchange Server ist der zweite Security Super-GAU nach dem SolarWinds-Hack. Zehntausende Systeme in Deutschland sind davon betroffen und wurden vermutlich schon kompromittiert. Ein Kommentar von Wolfgang Kurz, CEO bei indevis.
Microsoft Exchange

Microsoft Exchange - Neue Sicherheitslücken entdeckt und geschlossen

Am Dienstag - Patch Tuesday gab es wieder einige kritische Updates für Microsoft Exchange. Ebenso wie bei Hafnium raten Experten dringend zur Installation der Patches. Anders als bei Hafnium kam die Warnung jedoch von der amerikanischen NSA.
Log-In

Deutsche haben Angst vor dem Vergessen ihrer Log-Ins

LastPass veröffentlicht die Ergebnisse einer neuen Umfrage zum Passwortverhalten der Deutschen. Die Studie zeigt, dass die Deutschen noch immer große Angst davor haben, ihre Anmeldedaten zu vergessen und den Zugriff auf Webkonten, Onlineshops oder…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.