VERANSTALTUNGEN

USU World 2018
06.06.18 - 07.06.18
In World Conference Center Bonn

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

Fenster OnlineIn einer Umfrage geben Unternehmen zu, dass sie auf vergleichsweise simpel anmutende Social-Engineering-Versuche hereingefallen sind. Fakt ist, dass Firmen inzwischen Millionen in den Schutz ihrer IT-Infrastruktur investieren. Die meisten gehen zudem davon aus, dass diese Ausgaben 2014 weiter steigen.

Für Datendiebe gibt es jedoch auch einen einfachen Weg, um an lukrative Informationen zu gelangen. Im wahrsten Sinne des Wortes ein „Spaziergang“ durch Londons Finanzdistrikt ermöglicht eine ganz spezielle Form des Social Engineering. 

Eine von AppRiver (einem Unternehmen, das sich auf Cloud-basierte E-Mail- und Web-Sicherheitslösungen spezialisiert hat) unterstützte Studie förderte denn auch ziemlich erschreckende Ergebnisse zu Tage. In praktisch jeder der belebten Straßen in Londons Zentrum, das auch als „Square Mile“ bekannt ist, residieren renommierte Firmen. Nicht wenige aus dem Banken- und Finanzsektor. Was man unter diesen Bedingungen allerdings nicht unbedingt erwarten würde: fast überall war es über die großzügigen Fensterfronten möglich entweder einen direkten Blick auf die Computerbildschirme der Angestellten zu werfen, oder über eine Spiegelung im ersten Stock. 

Bei einigen Unternehmen konnte man die Bildschirme im ersten Stock gut erkennen. Bei anderen konnte man sogar gleich im Erdgeschoss einen Blick darauf werfen. Darunter Banken. Bei zwei weiteren Banken in der Nachbarschaft, waren zirka 150 Monitore von der Straße aus perfekt einzusehen. Einige so nah am Fenster, dass man das Namensschild des jeweiligen Mitarbeiters mühelos entziffern konnte. Im Zeitalter von Datenspionage und Datenklau ein wenig vertrauenerweckendes Szenario: Die Fenster sind sozusagen weit offen für den „Walk-by“-Datenklau. 

Datensammeln leicht gemacht

Und der kleine Spaziergang würde sich lohnen, denn wie die Studie skizziert, war so gut wie alles zu sehen, was nicht zu sehen sein sollte: Anmeldefenster, E-Mails, Felder diverser Datenbanken, Dokumente. Wohlgemerkt sichtbar schon mit dem bloßen Auge.

Auch wenn hier keine detaillierten Daten erhoben werden konnten, eines ist offensichtlich: kriminelle Absichten, genügend Zeit und ein Teleobjektiv reichen aus, um genau die Daten zu sammeln, die man für einen gezielten Angriff auf das jeweilige Unternehmen braucht. 

David Liberatore, Senior Director (Technisches Produktmanagement) bei AppRiver, sieht das so: „Wenn Sie früher vorhatten eine Bank auszurauben, mussten Sie sich physisch Zutritt verschaffen und die Angestellten auffordern, die Hände hochzunehmen. Im Zeitalter der Digitalisierung wird die überwiegende Zahl von sensiblen Finanztransaktionen online abgewickelt. Cyberkriminelle haben sich dieser Entwicklung schnell und sehr erfolgreich angepasst. Ja, die IT-Sicherheit hat sich stark verbessert, und mancher vormals virtuell zugängliche Weg ist inzwischen versperrt. Was liegt näher für einen Cyberkriminellen als nach neuen Einfallstoren zu suchen, um Attacken erfolgreich und gewinnbringend ans Ziel zu bringen. Die Fenster von Unternehmen und Institutionen stehen offensichtlich für den direkten Weg weit offen.“ 

Missbrauchtes Vertrauen

Ein Beispiel aus der Welt des Social Engineering, also der Welt, die sich typisch menschliche Verhaltensweisen und Eigenschaften bei einem Angriff zunutze macht. Das Bedürfnis zu vertrauen zum Beispiel. So beobachtet ein Scammer einen Mitarbeiter so lange bis er ausreichende Informationen über dessen Leben gesammelt hat. Die reichen, um die Person in einer Bar oder einem Straßencafé in ein unverfängliches Gespräch über Familie, Freunde etc. zu verwickeln. Meistens hat der Scammer den Namen des Angestellten und auch den des Unternehmens, bei dem er beschäftigt ist, bereits herausgefunden. Nun streut er nach Belieben die Informationen, die er aus E-Mails oder Dokumenten zusammengetragen hat in die zwanglose Alltagskommunikation ein. Ziel ist es, aufgrund dieses scheinbaren Wissens das Vertrauen des potenziellen Opfers zu gewinnen und sich so weitere Daten zu erschleichen. Nicht zwangsläufig wird dann das Unternehmen Opfer eines Angriffs. Geschickte Scammer sammeln genügend Informationen beispielsweise für einen Identitätsdiebstahl. Mit der gestohlenen Identität ist es für den Scammer ein Leichtes, weitere, gut getarnte Aktivitäten zu starten. 

Und auch die zweite Methode nutzt eine Schwachstelle in der menschlichen Wahrnehmung aus. Beispielsweise indem sie glaubhaft etwas (scheinbar) Bekanntes vortäuscht. Wie geht der Scammer dabei vor? Er überwacht und dupliziert das E-Mail-Design von Kommunikationen mit vertrauenswürdigen Absendern oder solchen, die man dafür hält, wie beispielsweise die großen Markennamen oder andere Quellen. Mit einer zielgerichteten Spear-Phishing-Kampagne versucht der Scammer das Opfer dazu zu bringen, auf einen Link in der E-Mail oder ein Attachment zu klicken. Dieser eine Klick hat für das Unternehmen oft verhängnisvolle Folgen. 

Die sattsam bekannte Attacke auf die RSA wurde genauso durchgeführt. Ein Beweis für ihre Schlagkraft.

David Liberatore fasst nochmals zusammen: „Wir wissen, das Kriminelle alle sozialen Netzwerke wie Facebook oder LinkedIn durchforsten, um genau die Informationen zu sammeln, die ihnen helfen solche Attacken zu entwickeln. Das sind beständig sprudelnde Datenquellen, aus denen sie nur schöpfen müssen. Aber wie unser Beispiel aus einem beliebigen Finanzdistrikt einer Metropole zeigt: unter Umständen sind Firmen über ihre Fensterfronten genauso verwundbar wie über einen Keylogger im System. Mit dem starren Blick auf die IT-Sicherheit wird nicht selten das physische Einfallstor einfach übersehen. Das heißt aber nichts anderes, als dass genau die Informationen, die man mühsam schützt, einfach so im Vorbeigehen mitgenommen werden. Etwas, dass sich definitiv ändern muss.“ 

 http://de.appriver.com

GRID LIST
Tb W190 H80 Crop Int Ece7bb343adc210e89b8ba448a8c7677

DSGVO – Schutz sensibler Daten

Bereits im Mai 2016 wurde die neue Datenschutzgrundverordnung (DSGVO) verabschiedet. Nun…
Tb W190 H80 Crop Int Ffc54940f3b5a5b27ea7e7e75ad38fbe

DSGVO Tipps zum Umgang mit Google Produkten

Das wahrscheinlich am meisten diskutierte Thema für diesen Monat, die…
Schloss vor Weltkugel

Verschlüsselung: Technik mit Herausforderungen

Bereits die alten Ägypter haben Texte so umgeschrieben, dass sie nur von Empfängern…
Tb W190 H80 Crop Int 38ee284605af848b87cf93447729f5b2

DSGVO: Last-Minute-Punkte für USB-Speicherlösungen

Weniger als ein Monat bis zum „DSGVO-Stichtag“ 25.05.2018: Unternehmen haben nun entweder…
Tb W190 H80 Crop Int 417ceee8e7f7783a566cf649947e9e6d

Mit diesen 9 Tipps sind eure Daten sicherer

Datenschutz geht jeden an – denn jeder einzelne kann dazu beitragen, dass seine…
Tb W190 H80 Crop Int C062476215dce13cdef3d663310bcd3d

Wie die richtige Technologie bei der DGSVO helfen kann

Die EU-Datenschutzgrundverordnung (DSGVO) kommt mit Riesenschritten näher. Obwohl der…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security