Stetige Wachsamkeit – oder wie eine einzige Unachtsamkeit fatale Folgen haben kann!
Zertifizierte Kompetenz, um Angriffe abzuwehren und Werte zu schützen auf der Basis von BSI/ISO. Darum geht es in 15 intensiven Tagen unseres Lehrgangs. Neben Risikoanalysen, Security Frameworks und einem Deep Dive in Cybersecurity-Technologien, schreiben unsere Absolventinnen und Absolventen einen Blogbeitrag. Dieser ist von Reto Haile.
Wir kennen sie wahrscheinlich alle aus Filmen. Die meist in einem dunklen Raum sitzenden, einen schwarzen Kapuzenpulli – einen Hoodie – tragenden Gestalten, die wie wild auf einer Tastatur herumtippen, während sie auf einen Bildschirm starren. Das Getippte erscheint in für den Laien unverständlichen Zeilen mit grünen oder weissen Buchstaben, die sich auf dem ansonsten schwarzen Bildschirm nur so überschlagen und innert Sekundenfrist auch wieder aus dem Bildschirm rausgeschoben werden, weil neue hinzukommen. Wichtiges Merkmal dabei ist häufig, dass der Hacker ein System spontan angreift und dieses ad hoc ohne jegliche Vorbereitung nur mit seinen Fähigkeiten hackt.
In der Realität sieht die Hackerwelt anders aus. Es sind hochprofessionell organisierte Banden, die sich teilweise Stunden bis Monate intensiv mit ihren künftigen Opfern – in der Regel Unternehmen – auseinandersetzen, bevor ein Angriff erfolgt. Sie fragen sich «Was für Geschäftsprozesse hat unser Opfer?», «Mit welchen Partnern, Lieferanten oder Kunden hat unser Opfer zu tun?», «Wer arbeitet für dieses Unternehmen?» und «Was für Informationen hat mein Opfer, die uns in eine Position bringen, aus der wir massiv Profit schlagen können?».
Hackerangriff geschieht hochprofessionell
Der eigentliche Angriff erfolgt nach Abschluss der Recherchen dann nicht wie im Film auf ein System des Unternehmens, sondern auf dessen Mitarbeitende. Ziel ist es, dass jemand unbeabsichtigt eine Schadsoftware installiert oder durch geschicktes Phishing seine persönlichen Zugangsdaten preisgibt. Beide Methoden ermöglichen es danach den Angreifern, sich in der IT-Infrastruktur des Unternehmens einzunisten und sich von dort aus unbemerkt auszubreiten.
So zum Beispiel geschehen letztes Jahr bei dem Schweizer Bürobedarf-Grossisten Offix[1]. Durch einen Mitarbeiter wurde unbeabsichtigt Malware installiert. Nach ein paar Tagen hatten die Angreifer die IT von Offix soweit infiltriert und ausgekundschaftet, dass sie zu einem günstigen Zeitpunkt gezielt losschlagen konnten und fast sämtliche Systeme in ihre Gewalt brachten. Die Angreifer forderten 350’000 Franken Lösegeld in Form von Bitcoins. Nur dann würden sie die Systeme wieder freigeben.
Mitarbeiter sensibilisieren
Und damit sind wir bei der aus meiner Sicht aktuell grössten Herausforderung der Cybersecurity: «Wie verhindere ich, dass meine Mitarbeitenden in eine solche Falle tappen?» Neben den üblichen technischen Massnahmen wie Endpoint Protection, Firewall, Email Scanning sowie Backups der Systeme, müssen die Mitarbeitenden immer und immer wieder auf die Gefahren und aktuell am meisten verbreiteten Methoden der «bösen Jungs» aufmerksam gemacht werden. Awareness, wie es im Neudeutschen heisst.
Wir versenden dazu mehrmals im Jahr, oder wenn es die aktuelle Situation erfordert, Infomails an unsere Mitarbeitenden, in denen auf diese Gefahren und Methoden hingewiesen wird. Zusätzlich wurde Ende des letzten Jahres mit Hilfe eines externen, auf Cybersecurity spezialisierten, Dienstleisters eine Phishing-Simulation durchgeführt.
Das simulierte Phishing-Mail ging an alle Mitarbeitenden mit einem Emailkonto und war, zugegebenermassen, ziemlich perfide aber durchaus noch im realistischen Bereich. Dem Empfänger wurde eine Mitarbeiterumfrage vorgegaukelt, an der er nur teilnehmen konnte, wenn er sich mit seinen Benutzerdaten auf einer Webseite einloggt. Für diese wurde eigens eine Domain registriert und eingerichtet, die unserer echten sehr ähnlich ist. Natürlich wurde auch unser Logo prominent auf der fiktiven Umfrageseite platziert, um zusätzlich Vertrauen zu schaffen.
Das Ergebnis brachte Erfreuliches und weniger Erfreuliches zu Tage. Äusserst positiv war die Reaktion eines Mitarbeiters, der den Phishing-Versuch gleich erkannte und sofort seinerseits ein Email zur Warnung an alle Mitarbeitenden versendete. Weniger erfreulich war, dass auch noch nach der Warnung Mitarbeiter dem Phishing-Versuch erlagen und ihre Benutzerdaten auf der fingierten Webseite eingaben.
Die Simulation hat zudem gezeigt, dass sogar sonst eher als übervorsichtig bekannte Mitarbeiter plötzlich zu den Opfern gehören können, wenn vielleicht der Anreiz im Phishing-Mail passt oder ein Moment der Unachtsamkeit erwischt wurde. Es ist deshalb unerlässlich, die Mitarbeiter darauf zu sensibilisieren, zu jeder Zeit ein hohes Mass an Misstrauen gegenüber Allem zu haben, was nicht alltäglich ist. Lieber einmal mehr beim Absender oder beim Service Desk nachfragen, ob es sich um ein legitimes Email handelt.
Wer denkt, unsere Simulation sei jenseits von dem, was in realer Wildbahn vorkommt, dem sei gesagt, dass im vorher angegebenen Fall von Offix sich die Angreifer in einen realen Emailverkehr mit einem realen Kunden eingeklinkt haben. Sie brachten den Offix-Mitarbeiter über diese bestehende Beziehung und dem damit verbundenen Vertrauen dazu, die Schadsoftware über ein präpariertes Office-Dokument unbeabsichtigt zu installieren. Eine Antivirus-Software war installiert, entdeckte den Schädling aber nicht, da sich dieser ständig leicht abwandelt und damit unauffindbar wird. Es ist also durchaus realistisch, dass die Angreifer bei Aussicht auf mehrere Hunderttausend Franken Beute, auch einmal eine Fake-Webseite inklusive ähnlich lautender Domain einrichten.
Fazit: Mitarbeitende sind stärkste Cybersecurity-Verteidigung
Es ist heutzutage neben den technischen Massnahmen also unerlässlich, dass jeder einzelne Benutzer von Informationssystemen in einem Unternehmen über die Risiken Bescheid weiss. Es soll von ihm stets eine gewisse Vorsicht angewandt werden, speziell im Umgang mit Emails, und in der IT muss eine Kultur herrschen, in der keine Anfrage betreffend Sicherheit auf die leichte Schulter genommen oder gar belächelt wird. Betrachten Sie Ihre Mitarbeitenden als Ihre stärkste Cybersecurity-Verteidigung und nicht als schwächstes Glied in der Kette. Gelingt dies, wird das Risiko Opfer zu werden zwar nicht gänzlich eliminiert, aber es sinkt beträchtlich.
[1] https://www.nzz.ch/wirtschaft/cyber-angriff-auf-schweizer-firma-offix-ein-kampf-ums-ueberleben-ld.1492862
CAS Cybersecurity und Information Risk Management
Beim nächsten CAS Cybersecurity und Information Risk Management dabei sein?
Persönliche Beratung
Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)
Kommentare
Keine Kommentare erfasst zu Stetige Wachsamkeit – oder wie eine einzige Unachtsamkeit fatale Folgen haben kann!