Anzeige

Cyber Security

Nachdem Twitter zuletzt vermehrt in den Medien kursierte, da das Unternehmen im Zuge der Corona-Krise all seinen Mitarbeitern Home-Office auf Lebenszeit gewähren wollte, machte es nun erneut Schlagzeilen. Von CEO-Fraud bis Spear-Phishing: Warum der aktuelle Twitter-Vorfall ein Warnschuss für viele Unternehmen ist und die Sicherheitslücke Mensch immer noch zu sehr unterschätzt wird.

Dieser Tag hat bei Twitter Geschichte geschrieben – leider im negativen Sinne. Am 16. Juli 2020 war es Hackern gelungen, den bisher größten Angriff auf eine Social Media Plattform durchzuführen. Der Vorfall war vor allem in seinem Ausmaß und Umfang schockierend – nicht nur prominente, sondern tausende Profile waren betroffen. Auch hatte Twitter noch Stunden später mit der Wiederherstellung und vor allem damit zu kämpfen, herauszufinden, was überhaupt passiert war. 

War Twitter nicht hinreichend geschützt?

Von komplexen Passwörtern bis hin zur Absicherung durch Zwei-Faktor-Authentifizierung mit einem zusätzlichen Code waren die Sicherheitsvorkehrungen der betroffenen Prominenten eigentlich überdurchschnittlich stark abgesichert.

Lag es dann also daran, dass bei Twitter zu viele Mitarbeiter Zugriff auf sicherheitskritische Daten und Konten hatten? Denn anscheinend konnten die Hacker interne Sicherheitsvorkehrungen aushebeln, um Datendiebstahl zu begehen. Nun hat Twitter in einem Blogbeitrag das Rätsel gelöst: Eine Mischung aus Social Engineering und Spear-Phishing auf einzelne Personen mithilfe von Telefonanrufen soll den Angreifern die virtuellen Tore geöffnet haben. 

Auch bei einem amerikanischen Pipelinebetreiber sorgte Spear-Phishing für zwei Ausfalltage, indem zuerst trotz interner Sicherheitsvorkehrungen das firmeneigene Netzwerk durch Ransomware kompromittiert wurde, um im nächsten Schritt an Zugangsdaten zu Steuerungsanlagen zu gelangen. Die besten Sicherheits-Systeme nützen eher wenig, wenn der User anfällig für Manipulation und Täuschungsversuche ist. 

IT-Sicherheit steht und fällt mit dem Mitarbeiter

Dies zeigt, dass trotz effektiver Systeme für Privileged Access und Account Management in Unternehmen ein essentieller Faktor zu sehr in den Hintergrund rücken kann – der gewöhnliche User, der zwar nicht direkt Zugriff auf wichtige Passwörter und Daten hat, aber trotzdem Bestandteil der Infrastruktur ist.

Er verwaltet also nicht den digitalen Tresor, aber vielleicht sitzt er an der Pforte im Eingangsbereich und winkt Hacker arglos durch. Haben diese erst einmal die erste Hürde ins Unternehmen genommen, ist es ein Leichtes, durch Spähattacken und Beobachtungen an notwendige Informationen zu gelangen und weiter vorzudringen.

Security Awareness als A und O

Fragt man Unternehmen, sehen zwar 67,6 % die interne IT-Sicherheit durch das menschliche Fehlverhalten ihrer Mitarbeiter gefährdet (Statista Studie 2019). Jedoch nur 22,9 % empfinden Social Engineering als große Cyberbedrohung. Unternehmen ist nicht klar, dass diese User dann als Einstiegstor genutzt werden können.

Die Schwachstelle Mensch beginnt bei Unwissenheit und Arglosigkeit im Umgang mit sensiblen Daten, führt über mangelndes technisches Know-how und endet mit fehlenden Anlaufstellen für deren Fragen und Belange. Nicht umsonst waren 2019 laut Bitkom 37 % der Angriffsmethoden auf digitales oder analoges Social Engineering zurückzuführen.

Dazu kommt, dass sich Hacker bei ihren Angriffen oft mehreren Methoden bedienen, um das bestmögliche Ergebnis zu erzielen. Die einzelnen Attacken sind hierbei bestens verzahnt und Social Engineering ist als explosive Zutat fast immer dabei.

Smart Work – eine neue Sicherheits-Challenge 

Nun kommt noch eine andere Komponente ins Spiel – Smart-Work-Konzepte, die Mitarbeitern das orts- und zeitunabhängige Arbeiten ermöglichen. Ob die Home-Office-Regelung bei Twitter ihren Teil zum Sicherheitsvorfall beigetragen hat, lässt sich an dieser Stelle nur mutmaßen. Sicher ist, dass Mitarbeiter auf solch einschneidende Prozesse vorbereitet werden müssen, da das Risiko für Social Engineering sonst gerade in ungewohnter Arbeitsatmosphäre steigen kann. Laut aktuellen Berichten von Interpol hat Human Hacking besonders seit dem Ausbruch von COVID-19 weltweit zugenommen.

Gut ersichtlich ist diese Entwicklung auch an gängigen Angriffsmethoden wie CEO-Fraud, auch Chef-Betrug genannt, die im Home-Office noch zugenommen haben. Hier werden Mitarbeiter manipuliert, hohe Geldsummen zu überweisen. Die Gefahr, auf diese Tricks hereinzufallen, ist gerade für Mitarbeiter, die isoliert im Home-Office sitzen, besonders relevant.

Denn durch die physische Distanz und mangelnden Prozesse ist es nicht möglich, den Chef mal eben auf dem Flur über die gewünschte Transaktion anzusprechen. Und da soziale Interaktionen durch die physische Distanz im Home-Office eher abnehmen, steigt auch die Wahrscheinlichkeit, Mitarbeiter durch das Ausüben von Druck oder das Entgegenbringen von Wertschätzung eher manipulieren zu können. Dies bestätigt auch eine Online-Ausstellerbefragung der it-sa 2020, laut dieser fast jeder dritte von Kunden gemeldete Sicherheitsvorfall auf Social Engineering zurückzuführen ist. 

Vom Risiko- zum Sicherheitsfaktor

Social Engineering wird also solange als sicherheitsrelevantes Thema bestehen bleiben, bis Unternehmen die Notwendigkeit erkennen, jeden Mitarbeiter aufzuklären, individuell zu schulen und besser in sicherheitskritische Prozesse miteinzubeziehen. Verantwortung für Systeme kann ein effizientes Werkzeug sein. Denn nur eine Kombination aus Security Awareness, regelmäßigen Schulungen und den notwendigen Tools und Prozessen zur Umsetzung der Inhalte kann die Sicherheitslücke Mensch nachhaltig schließen und das Unternehmen vor Datenmissbrauch schützen.

Human Hacking zeigt, dass sich jedes noch so gut durchdachte Sicherheitskonzept leicht aushebeln lässt, wenn Ihre Mitarbeiter freiwillig Passwörter oder andere Geheimnisse preisgeben. Da Hacker sich dabei immer neue Taktiken ausdenken, muss der Mensch als Schwachstelle immer wieder in den Mittelpunkt sicherheitskritischer Prozesse rücken, um sein Sicherheitsbewusstsein bestmöglich zu schärfen und Angreifern dadurch das Leben so schwer wie möglich zu machen.

Thomas Malchar, CEO
Thomas Malchar
CEO, Password Safe
Thomas Malchar ist CEO der im Jahre 2006 gründeten MATESO GmbH. Seine entwickelte Software Password Safe nutzen heute über 10.000 Firmenkunden.

Artikel zu diesem Thema

Login
Sep 23, 2020

Passwörter remote verwalten – sicher im Home-Office

Corona hat dem Home-Office allerorts enormen Auftrieb verschafft. Welche…
Trust
Sep 30, 2019

Verbraucher vertrauen weder Regierungen, noch Social Media Plattformen

Regierungsvertreter glauben in fast jedem Land, dass die Sicherheitsrisiken, die mit…

Weitere Artikel

Produktion

IT-Security - Digitalisierung - Mobile Office – für jede Branche die richtige Lösung für den Netzwerkschutz

Der Wandel der Arbeitswelt, der sich durch mobiles Arbeiten sowie in der fortschreitenden Digitalisierung, dem Internet of Things sowie dem Auslagern verschiedener Dienste in die Cloud immer weiter beschleunigt, sind Gründe dafür, dass Unternehmen in Bezug…
Cloud Identity

Cloud-Identitäten - ungenutzt und ungeschützt

Knapp die Hälfte aller Cloud-Identitäten werden nicht mehr genutzt – und stellen so ein enormes Risiko für die Datensicherheit von Unternehmen dar. Dies ist eines der Ergebnisse des 2021 SaaS Risk Report des Cloud Research Teams von Varonis Systems.
Cybersicherheit

Nach der Bundestagswahl – „Die Verantwortung für Cyber-Sicherheit verbleibt auch nach der Wahl bei den Unternehmen”

CyberDirekt – eine digitale Vertriebsplattform für Cyber-Versicherungen – hat anlässlich der bevorstehenden Bundestagswahl am 26. September in einer aktuellen Untersuchung die Inhalte der Wahlprogramme der großen Parteien – CDU/CSU, SPD, Bündnis90/Die Grünen,…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.