Sicherheitsrisiko Mensch

IT-Sicherheitssysteme sind immer nur so stark wie ihr schwächstes Glied – und dabei geht es nicht nur um Technologien und Softwarelösungen, sondern auch um den Risikofaktor Mensch. Die Minimierung dieser potenziellen Schwachstelle ist ein essenzieller Baustein einer Sicherheitsstrategie.

Die IT-Security-Strategie eines Unternehmens kann noch so gut sein – wenn Angreifer durch cleveres Social-Engineering oder -Hacking, also durch „soziale Manipulation“ der Mitarbeiter, Zugang zu Passwörtern und anderen vertraulichen Informationen erhalten, sind die besten technischen Sicherheitslösungen nutzlos.

Anzeige

Im Fokus von solchen sozialen Angriffen steht vor allem die oberste Management-Ebene, also der gesamte C-Level eines Unternehmens. Diese Personen verfügen aufgrund von Funktion und Verantwortungsbereich über mehr sensible Informationen als der „normale“ Mitarbeiter; dadurch ergibt sich eine hohe Attraktivität für Hacker. Unter Sicherheitsaspekten problematisch ist zudem, dass für die Management-Ebene oft „Sonderregeln“ mit Privilegien gelten. So werden von der IT Sicherheitsrichtlinien und -Standards ausgesetzt oder aufgelockert, um zum Beispiel das Login zu vereinfachen. Führungskräfte sind – zugespitzt formuliert – meistens keine Freunde einer umfassenden, durchgängigen und restriktiven Security Policy. In ihren Augen stört die IT-Sicherheit eher die Arbeitsprozesse und leistet keinen Beitrag zur Wertschöpfung des Unternehmens.

Die Konsequenzen einer solchen Einschätzung sind fatal. So hat die geringe Sensibilisierung für das Thema Sicherheit auch Social-Engineering-Angriffe wie Phishing zu den beliebtesten Waffen für Cyber-Kriminelle werden lassen.

Eine sinnvolle Abwehrmaßnahme gegen Social-Engineering-Angriffe ist die Förderung einer positiven Security-Awareness-Kultur im Unternehmen. Neben Security-Awareness-Trainings un-terstützen verschiedene Angriffssimulationen dabei, die Mitarbeiter und die Führungsebene für verschiedene Angriffsmuster zu sensibilisieren – zum Beispiel durch Social-Engineering-Techniken wie Phishing und personalisiertes Spear-Phishing in Kombination mit Malware- oder Brute-Force-Angriffen auf Passwörter.

Die Simulation eines Social-Engineering-Angriffs kann in folgenden Schritten erfolgen:

  • Aufbau einer Phishing-Webseite, die eine Kunden- oder eine dem Kunden bekannte Webseite simuliert
  • Gestaltung einer Phishing-Mail, die auf die Phishing-Webseite lei-tet
  • Versand der Phishing-Mails an das Management
  • Nach Öffnung der Phishing-Mail durch die Zielperson Möglichkeit zum Abfangen von grundlegenden Systeminformationen wie Login-Daten

Für die Simulation einer Malware-Attacke bietet sich folgender Ablauf an:

  • Entwicklung einer „gutartigen“ Software (Test-Malware) 

  • Gestaltung einer professionellen Business-E-Mail mit enthaltener Test-Malware oder mit Link zur Test-Malware 

  • Versand der Phishing-E-Mail an eine zuvor definierte Mitarbeiter- beziehungsweise Management-Gruppe oder einzelne Zielpersonen
  • Bei Öffnung der Phishing-Mail durch die Zielperson Installation von Test-Malware mit der Möglichkeit zur Durchführung schadhafter Aktionen

Auf Basis solcher Simulationen hat NTT Security bereits mehrere „Management Hack“-Projekte in Skandinavien durchgeführt. Das Unternehmen konnte dabei vielfach in nur zehn Minuten Zugriff auf unternehmenskritische Systeme und Daten erlangen, etwa Business-Pläne, M&A-Szenarien, Warenwirtschaftssysteme, Domain-Controller, User-Namen oder Passwörter. Auch administrative Zugangsdaten konnten herausgefunden werden. Die damit verbunde-nen Gefahren für ein Unternehmen liegen auf der Hand: So kann sich ein Angreifer mit Administratorrechten frei im Netzwerk bewegen und oft für lange Zeit unbemerkt auf kritische Informationen zugreifen.

Mit simulierten Social-Engineering- und Malware-Attacken sollte sich schnell das Sicherheitsbewusstsein auf Unternehmensseite erhöhen lassen – letzten Endes geht es aber um weit mehr, und zwar um die Etablierung einer neuen Sicherheitsstrategie und -kultur im gesamten Unternehmen.

Und an diesem Punkt zeigt sich schon die erste Herausforderung. In den meisten Unternehmen ist nämlich die Auffassung verbreitet, dass Sicherheit die Sache der IT ist, aber die Unternehmensführung nichts angeht. Diese Einstellung macht es wiederum schwer, umfassende Sensibilisierungsmaßnahmen und Trainingsprogramme für die gesamte Belegschaft anzustoßen. Wenn IT-Sicherheit auf der Führungsebene nur unzureichend berücksichtigt wird, steht die IT mit ihren Ideen allzu oft auf verlorenem Posten. Der richtige Ansatz ist, Sicherheitsinitiativen auch und vor allem im Management-Board zu verankern. Man kann sogar noch einen Schritt weiter gehen und es zur Aufgabe des Top-Managements machen, an vorderster Front beim Aufbau einer Sicherheitskultur zu stehen und Sicherheitsinitiativen aktiv voranzutreiben.

Eines darf dabei allerdings nicht unterschlagen werden: Der Aufbau einer Sicherheitskultur und die Schaffung eines Sicherheitsbewusstseins allein führen noch nicht zur Datensicherheit. Parallel dazu müssen Unternehmen auch entsprechende Budgets zur Implementierung der technischen IT-Sicherheit bereitstellen – und auch hier muss noch ein Umdenken stattfinden.

Kai GrunwitzKai Grunwitz ist Senior Vice President EMEA bei NTT Security

 

 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.