Anzeige

Anzeige

VERANSTALTUNGEN

ACMP Competence Days Wien
15.05.19 - 15.05.19
In WAGGON-31, Wien

e-Commerce Day
17.05.19 - 17.05.19
In Köln, RheinEnergieSTADION

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

ACMP Competence Days Zürich
11.06.19 - 11.06.19
In Stadion Letzigrund, Zürich

Anzeige

Anzeige

Security Hacking Detected Shutterstock 726866794 700

IT-Sicherheitssysteme sind immer nur so stark wie ihr schwächstes Glied – und dabei geht es nicht nur um Technologien und Softwarelösungen, sondern auch um den Risikofaktor Mensch. Die Minimierung dieser potenziellen Schwachstelle ist ein essenzieller Baustein einer Sicherheitsstrategie.

Die IT-Security-Strategie eines Unternehmens kann noch so gut sein – wenn Angreifer durch cleveres Social-Engineering oder -Hacking, also durch „soziale Manipulation“ der Mitarbeiter, Zugang zu Passwörtern und anderen vertraulichen Informationen erhalten, sind die besten technischen Sicherheitslösungen nutzlos.

Im Fokus von solchen sozialen Angriffen steht vor allem die oberste Management-Ebene, also der gesamte C-Level eines Unternehmens. Diese Personen verfügen aufgrund von Funktion und Verantwortungsbereich über mehr sensible Informationen als der „normale“ Mitarbeiter; dadurch ergibt sich eine hohe Attraktivität für Hacker. Unter Sicherheitsaspekten problematisch ist zudem, dass für die Management-Ebene oft „Sonderregeln“ mit Privilegien gelten. So werden von der IT Sicherheitsrichtlinien und -Standards ausgesetzt oder aufgelockert, um zum Beispiel das Login zu vereinfachen. Führungskräfte sind – zugespitzt formuliert – meistens keine Freunde einer umfassenden, durchgängigen und restriktiven Security Policy. In ihren Augen stört die IT-Sicherheit eher die Arbeitsprozesse und leistet keinen Beitrag zur Wertschöpfung des Unternehmens.

Die Konsequenzen einer solchen Einschätzung sind fatal. So hat die geringe Sensibilisierung für das Thema Sicherheit auch Social-Engineering-Angriffe wie Phishing zu den beliebtesten Waffen für Cyber-Kriminelle werden lassen.

Eine sinnvolle Abwehrmaßnahme gegen Social-Engineering-Angriffe ist die Förderung einer positiven Security-Awareness-Kultur im Unternehmen. Neben Security-Awareness-Trainings un-terstützen verschiedene Angriffssimulationen dabei, die Mitarbeiter und die Führungsebene für verschiedene Angriffsmuster zu sensibilisieren – zum Beispiel durch Social-Engineering-Techniken wie Phishing und personalisiertes Spear-Phishing in Kombination mit Malware- oder Brute-Force-Angriffen auf Passwörter.

Die Simulation eines Social-Engineering-Angriffs kann in folgenden Schritten erfolgen:

  • Aufbau einer Phishing-Webseite, die eine Kunden- oder eine dem Kunden bekannte Webseite simuliert
  • Gestaltung einer Phishing-Mail, die auf die Phishing-Webseite lei-tet
  • Versand der Phishing-Mails an das Management
  • Nach Öffnung der Phishing-Mail durch die Zielperson Möglichkeit zum Abfangen von grundlegenden Systeminformationen wie Login-Daten

Für die Simulation einer Malware-Attacke bietet sich folgender Ablauf an:

  • Entwicklung einer „gutartigen“ Software (Test-Malware) 

  • Gestaltung einer professionellen Business-E-Mail mit enthaltener Test-Malware oder mit Link zur Test-Malware 

  • Versand der Phishing-E-Mail an eine zuvor definierte Mitarbeiter- beziehungsweise Management-Gruppe oder einzelne Zielpersonen
  • Bei Öffnung der Phishing-Mail durch die Zielperson Installation von Test-Malware mit der Möglichkeit zur Durchführung schadhafter Aktionen

Auf Basis solcher Simulationen hat NTT Security bereits mehrere „Management Hack“-Projekte in Skandinavien durchgeführt. Das Unternehmen konnte dabei vielfach in nur zehn Minuten Zugriff auf unternehmenskritische Systeme und Daten erlangen, etwa Business-Pläne, M&A-Szenarien, Warenwirtschaftssysteme, Domain-Controller, User-Namen oder Passwörter. Auch administrative Zugangsdaten konnten herausgefunden werden. Die damit verbunde-nen Gefahren für ein Unternehmen liegen auf der Hand: So kann sich ein Angreifer mit Administratorrechten frei im Netzwerk bewegen und oft für lange Zeit unbemerkt auf kritische Informationen zugreifen.

Mit simulierten Social-Engineering- und Malware-Attacken sollte sich schnell das Sicherheitsbewusstsein auf Unternehmensseite erhöhen lassen – letzten Endes geht es aber um weit mehr, und zwar um die Etablierung einer neuen Sicherheitsstrategie und -kultur im gesamten Unternehmen.

Und an diesem Punkt zeigt sich schon die erste Herausforderung. In den meisten Unternehmen ist nämlich die Auffassung verbreitet, dass Sicherheit die Sache der IT ist, aber die Unternehmensführung nichts angeht. Diese Einstellung macht es wiederum schwer, umfassende Sensibilisierungsmaßnahmen und Trainingsprogramme für die gesamte Belegschaft anzustoßen. Wenn IT-Sicherheit auf der Führungsebene nur unzureichend berücksichtigt wird, steht die IT mit ihren Ideen allzu oft auf verlorenem Posten. Der richtige Ansatz ist, Sicherheitsinitiativen auch und vor allem im Management-Board zu verankern. Man kann sogar noch einen Schritt weiter gehen und es zur Aufgabe des Top-Managements machen, an vorderster Front beim Aufbau einer Sicherheitskultur zu stehen und Sicherheitsinitiativen aktiv voranzutreiben.

Eines darf dabei allerdings nicht unterschlagen werden: Der Aufbau einer Sicherheitskultur und die Schaffung eines Sicherheitsbewusstseins allein führen noch nicht zur Datensicherheit. Parallel dazu müssen Unternehmen auch entsprechende Budgets zur Implementierung der technischen IT-Sicherheit bereitstellen – und auch hier muss noch ein Umdenken stattfinden.

Kai GrunwitzKai Grunwitz ist Senior Vice President EMEA bei NTT Security

 


 

GRID LIST
Tb W190 H80 Crop Int C643b2c4d7af3e5bf9a53fb7d888e4a0

Phishing kann auch kleine Unternehmen treffen

Kürzlich wurde bekannt, dass sich diverse Restaurants sogenanntem „Dynamit-Phishing“…
Tb W190 H80 Crop Int 02a732366428f0b008fcb6021edc948f

Warum sich die Welt bereits im Cyberwar befindet

Obwohl einige Experten wie der Politikwissenschaftler Thomas Rid glauben, dass ein…
Trojaner

Der Trojaner Emotet ist weiterhin nicht zu stoppen

Der gefährliche Trojaner „Emotet“ hält Unternehmen, Behörden und Privatpersonen auf Trab.…
Tb W190 H80 Crop Int 97c30d94fa4781aa0faf0e0519d1928e

TajMahal: Spionageplattform mit 80 schädlichen Modulen

Die Experten von Kaspersky Lab haben ein technisch ausgereiftes Cyberspionage-Framework…
Scam Alert

Scam-Welle - Sex sells?

Cyberkriminelle versuchen derzeit im großen Stil, mit Fake-Mails Geld von ahnungslosen…
Hacker WhatsApp

Trojaner nutzt Android-Schwachstelle und liest bei WhatsApp mit

Die Virenanalysten von Doctor Web haben den gefährlichen Trojaner Android.InfectionAds.1…