Sicherheitsfaktor Mensch: Ich habe nichts zu verbergen!
Als einer der letzten Jahrgänge, die noch zur Generation Y gezählt werden, bin ich mit Technologie und deren Fortschritt aufgewachsen. Schon früh habe ich meine Affinität für all die spannenden Themen rund um Technik (insbesondere IT-Technik) erkannt. Eine Lehre als Informatiker und das nachfolgende Studium an der ibW Chur waren aber nur der Anfang. Neben meinen Erfahrungen im IT-Betrieb, lernte ich im Support den Umgang mit den Menschen. Das umfassende Thema IT-Sicherheit faszinierte mich dabei seit meinem ersten Arbeitstag. Der Schritt im Jahre 2020, bei goSecurity als Junior mit einer weiteren „Ausbildung“ zu starten, betrachte ich als logische Konsequenz meiner Fähigkeiten und Interessen. Ein sicheres Internet für Sie als Unternehmer, Mitarbeitende und Familien liegt mir besonders am Herzen.
«Wir haben keine wichtigen Daten!»
Dürfen alle Ihre Ferienfotos aus den Flitterwochen auf Hawaii sehen?
Die Fotos Ihrer minderjährigen Kinder?
Die Fotos der Party vom letzten Wochenende?
Die Noten Ihrer letzten Prüfung?
Das Resultat Ihrer letzten Untersuchung im Spital?
Die Kontostände oder Logindaten Ihrer Bankkonten?
Dürfen alle Personen auf Ihre Prozesse, Ihre Wissensdatenbanken zugreifen?
Oder auf Ihr neues Produkt und die Dienstleistungen, die noch nicht veröffentlicht wurden oder im Angebot stehen?
Darf intern jeder die Zielvereinbarungen und persönlichen Gespräche Ihrer Mitarbeitenden einsehen?
Data Leak riskieren?
Jede Person oder jedes Unternehmung hat Daten, die nicht öffentlich ersichtlich sein sollen. Der Umgang mit Informationen muss sich an deren Wert und Priorität orientieren. Stellen Sie sich einmal die Frage, was es für Auswirkungen haben könnte, würden bestimmte Daten aus Ihrer Unternehmung in falsche Hände geraten. Was ist, wenn persönliche Daten Ihrer Mitarbeitenden auf Social Media Tür und Tor für einen erfolgreichen Angriff auf Ihre Unternehmung ermöglichen? Wie würden allfällige Kunden auf ein Data Leak reagieren? Wie steht es da um Ihren Ruf? Solche Fragen sollten sich Unternehmer stellen, um ihre Daten zu klassifizieren. Den korrekten Umgang mit Informationen muss man lernen. Jeder sollte sich darüber Gedanken machen, welche Informationen nicht gleich bekannt sein sollten, entsprechend handeln und dies intern kommunizieren.
Spear-Phishing im Social Media Alltag
Ein Geschäftsleiter hat eine neue Assistentin eingestellt, die ihm einfache Arbeiten und unter anderem auch Zahlungen von Rechnungen abnehmen soll. Auf der internen und externen Webseite sowie auf den Infopanels innerhalb der Unternehmung, auf der hunderte unbekannte Personen ein- und ausgehen, wurde dies kommuniziert. Kurz nach der Einführung der neuen Mitarbeiterin besuchte der Geschäftsleiter einen Kongress in England für mehrere Tage. Während dieser Zeit postete er diverse Fotos von sich und von Personen, die er dort traf, auf verschiedenen Social Media Kanälen. Kurz darauf erhielt die neue Assistentin eine E-Mail vom Geschäftsleiter: er benötige mehrere tausend Pounds auf ein Konto überwiesen, da er hier gleich mit einem neuen Partner einen Deal abschliessen könne. Die Mail kam von einer privaten Mailadresse des Geschäftsleiters, welche zusätzlich den Namen der Unternehmung beinhaltete. (VornameNachnahmeFirmenname@gmail.com). Die arme neue Assistentin, die doch nichts falsch machen wollte, gerade auch während ihrer Einarbeitungszeit, hatte die Einzahlung ausgeführt. Zum Glück gingen alle Zahlung zuerst über die interne Buchhaltung und dort wurde man auf das unbekannte Konto des Geschäftsführers aufmerksam und konnte die Zahlung stornieren. Wie Sie bereits vermuten, handelte es sich um eine sehr raffinierte und gut recherchierte Spear-Phishing-Attacke, die direkt auf die neue Mitarbeiterin, welche noch nicht alle Prozesse ausreichend kannte, abgezielt hatte.
Faktor Mensch
Eine Unternehmung ist ein Puzzle von verschiedenen Fähigkeiten, Charakteren, von Stärken und Schwächen, Interessen und Desinteressen, Gefühlen, Meinungen, Erfahrungen, Zielen, Motivationen und Wissensständen. Eine IT-Infrastruktur kann auf dem neusten und sichersten Stand der Technik sein, die 100% in der Informationssicherheit erreicht sie dennoch nie. Das höchste Sicherheitsrisiko ist der Mensch. Die Bevölkerung der Schweiz ist es gewohnt, sich total auf die Technik zu verlassen, sodass sie kaum mehr hinterfragt wird. Auf Social Media werden diverse Ereignisse aus dem Leben der Mitarbeitenden und der Firma gepostet, ohne sich gross Gedanken zu machen, welche Wellen es schlagen könnte. Durch ein gezieltes Recherchieren (Information Gathering) auf Social Media können schon viele Informationen über eine Unternehmung herausgefunden werden. Möglicherweise steht auf der Firmenwebseite, wer der IT-Leiter ist. Dieser postet online, dass er gerade in Italien am Strand liege. Daraus könnte ein Angreifer schliessen, dass er nicht erreichbar ist und ein Mitarbeitender mit weniger Berechtigungen und Know-how als Stellvertreter einsteht. Nun könnte der Angreifer mit diesem Stellvertreter in Kontakt treten und diesen mit der Dringlichkeit eines Projekts unter Druck setzen. Da der Stellvertreter möglicherweise die Prozesse nicht gut kennt oder nicht die Ursache für einen Fehlschlag des Projekts sein möchte, könnte er dem Angreifer die Informationen, die er braucht, geben.
Klingt ein wenig weit hergeholt? Keineswegs! IT-Sicherheitsspezialisten werden permanent mit derartigen Szenarien konfrontiert. Social Media, wenn nicht genügend privatisiert, kann für Angreifer eine unerschöpfliche Quelle für Informationen zu einer Unternehmung sein.
Schwachstelle Mensch – Social Engineering
Gefahren sind in der weiten Welt des Internets genügend vorhanden. Das Ziel beim Social Engineering ist, eine Person im Unterbewusstsein zu manipulieren und zu etwas zu bringen, dass sie eigentlich gar nicht möchte. Der Trick dabei ist, den Menschen zu verstehen, zu verstehen was ihn bewegt und wie er tickt. So gelingt es Betrügern immer wieder, den Willen von Menschen für ihre Zwecke zu instrumentalisieren. Diese «Schwachstelle Mensch» ist ein ernst zu nehmender Faktor in jeder Risiko-Analyse jeder Unternehmung. Sicherheitslösungen sind heutzutage sehr stark, doch will jemand wirklich einbrechen, so ist ihm kein Aufwand zu gross. Wie einfach man Menschen manipulieren kann, zeigt uns Cedi Schild im Namen des izzy Magazins immer wieder neu. Einen Vogel hat er abgeschossen, als er sich 2018 als Major der Schweizer Armee ausgab und Soldaten telefonisch rumkommandieren konnte. https://www.youtube.com/watch?v=CCwi6fSXIUA
Wenn Sie immer noch denken, dies beträfe sie nicht, da sie nicht so hochsensible Daten besitzen, dann möchten wir Ihnen sagen: Überall, in staatlichen Einrichtungen, Behörden, Unternehmungen, bei Privatpersonen, wo Menschen der Schlüssel zu Geld oder interessanten Informationen sind, lohnt es sich zu manipulieren und Informationen auszulesen. Der Umsatz mit Cyberkriminalität soll höher sein, als der weltweite Umsatz mit Drogen (vdi-nachrichten.com). Es lohnt sich.
Regelmässige IT-Sicherheitsinputs
Obwohl das Thema IT-Sicherheit in tausenden Blogs und Webseiten behandelt wird, ist das Know-how vieler Mitarbeitenden in diesem Bereich absolut mangelhaft vorhanden. Regelmässig kommt es zu erfolgreichen Cyberattacken. Die Erfahrung hat gezeigt, dass Veränderungen im Denken der Menschen am besten mit einem Anstoss von aussen einhergehen. Ein jährliches Pishing-Audit für die Mitarbeitenden ist schon mal ein Anfang, reicht allerdings nicht aus. Direkt im Anschluss sollten die Teilnehmenden weiter geschult werden, um das Erlernte anzuwenden. Eine Schulung kann dann gezielter auf die Phishing-Thematik und Social Engineering eingehen und den Mitarbeitenden bewusst machen, welche Gefahren, ausserhalb von Malware, in der weiten Welt der Technik erwartet werden können. Zudem ermöglichen über das Jahr verteilte, regelmässige, kurze IT-Sicherheitsinputs (Videos und kurze Texte), aktive Selbststudien und E–Learnings mit Tests, angepasst auf die unterschiedlichen Lerntypen, eine permanente Sensibiliseirung für das Thema.
Fazit
Mein Fazit aus Situationen und Erfahrungen im IT-Alltag ist, dass unsere Gesellschaft die Technik und ihre Möglichkeiten durchaus liebt, aber das Gefahrenpotential im Umgang mit sensiblen Daten dabei massiv unterschätzt. Zudem verstärken diverse andere Aspekte dieses Verhalten, z.B. die Hektik im Alltag oder der Druck, ein gutes Bild zu geben. Fehler werden aus Angst vor Repressalien nicht sofort gemeldet oder die Illusion, genügend gesichert und informiert zu sein, überwiegt. Diese Blauäugigkeit ebnet den Weg für Kriminelle. Sicherheit ist schlussendlich ein Bedürfnis, das in jedem Menschen tief verankert ist. Alle schliessen die Fenster und die Haustüre, wenn es in die Ferien geht oder wenn man sich auf den Weg zur Arbeit macht. Aber wie sieht es mit dem Schliessen der Fenster und Türen der technischen Welt aus?
Schliessen Sie in Zukunft immer alle Türen und Fenster zu Ihren persönlichen Daten, meiden Sie Seiten, auf denen Malware verteilt wird und halten sich und Ihre Mitarbeitenden regelmässig mittels IT-Sicherheitsinputs auf dem aktuellen Stand.