Sensibilisierung - Security AwarenessHeute widmen wir uns erneut dem Thema Awareness und konkret der Security Awareness.

In ein Unternehmensnetzwerk kann man auf verschiedene Art und Weise eindringen. Bei der herkömmlichen Vorgehensweise werden massenhaft E-Mails verschickt, und so gelangen Angreifer irgendwann in irgendein Unternehmensnetzwerk. Cyberkriminelle wollen jedoch gezielt in bestimmte Unternehmensnetzwerke eindringen. Effizienter ist es daher, direkt die Mitarbeiter eines Unternehmens zu attackieren. Hinzu kommt, dass die Abwehrtechnologien immer ausgefeilter und damit sicherer werden, so dass es für den Angreifer einfacher erscheint, den Mitarbeiter zu manipulieren. Wir möchten ein paar Angriffswege aufzeigen und damit Sensibilisierung durch Security Awareness schaffen.

Die E-Mail

In Unternehmen wird immer noch am häufigsten per E-Mail kommuniziert. Die Anzahl der neu angelegten E-Mail-Accounts und damit auch die Anzahl der verschickten E-Mails steigen stetig an. Die E-Mail ist daher der beliebteste Weg für Angriffe. Unterscheiden kann man hier zwischen sehr einfach gestalteten E-Mails, die durch die massenhafte Versendung als SPAM zu einem unvorsichtigen Klick verleiten sollen und auf eine relativ kleine Zielgruppe zugeschnittene E-Mails. Dabei wird immer auf die Neugier der Opfer gehofft, aber es wird auch gerne mit der Dringlichkeit zu einem Thema und über das Vertrauen zu einer Marke gearbeitet. Zusätzlich bekommt der Betreff einen Hinweis auf Antwort („AW:“) oder auf Weiterleitung („WG:“) vorangestellt. Das soll noch authentischer wirken.

CEO-Fraud

Diese Form des Angriffs nennen wir gerne auch den Cheftrick. In diesem Fall bekommen Mitarbeiter aus der Buchhaltung oder Mitarbeiter mit umfangreicher Prokura von ihrem angeblichen Vorgesetzten eine Aufforderung, ganz dringend sehr hohe Geldbeträge ins Ausland zu überweisen. Immer ist ein Zeitfaktor im Spiel und immer sei es vertraulich oder streng vertraulich. Die Angriffe passieren per E-Mail, aber auch getarnt als Geschäftsbrief oder gar in Kombination mit einem oder mehreren Anrufern, um die Dringlichkeit zu unterstreichen.

Angler-Phishing

Bei dieser vom Angeln und Fischen abgeleiteten Form legt der Angreifer einen Köder aus. Sollte ein Mitarbeiter eines Unternehmens ein Problem haben, oder gelingt es den Angreifern ein Problem zu initiieren, wird das Opfer auf eine schädliche Internetseite geleitet. Aber auch als Support getarnte angebliche Mitarbeiter eines bekannten Unternehmens verschaffen sich so einmal Zugriff auf den Computer des Opfers, um dann die Schadsoftware auszuführen. Geködert wird hier mit dem Versprechen Hilfe zu leisten.

Typosquatting

Was für ein sperriges Wort. Es geht darum, dass die Angreifer eine Art Markendiebstahl begehen. Dabei werden Internetadressen registriert, die denen bekannter Unternehmen und Marken ähneln. Es werden gerne ein paar Buchstaben weggelassen oder innerhalb des Markennamens vertauscht. Die Webseite, die sich jetzt öffnet, sieht der originalen Website täuschend ähnlich, so dass das Opfer nicht merkt, dass es auf einer gefälschten Seite gelandet ist. Erscheinen nun Login-Masken, passiert es immer wieder, dass Besucher solcher Seiten zu Opfern werden und Zugangsdaten preisgeben. In anderen Fällen findet eine Weiterleitung auf infizierte Webseiten statt.

Security Awareness & Fazit

Mitarbeiter stellen damit einen, wenn nicht sogar DEN, kritischen Faktor in Bezug auf IT-Sicherheit dar. Angreifer führen ihre Angriffe immer unauffälliger durch. Wir Mitarbeiter stehen unter einem stets vorhandenen Zeitdruck, unter dem wir alle einen Fehler begehen können. Dieser Gefahr können Unternehmen nur durch Sensibilisierung der Mitarbeiter vorbeugen. Dazu ist es notwendig, dass wir die typischen Angriffsszenarien kennen. Eine kleine Auswahl haben wir heute vorgestellt. Sensibilisierungen können als Besprechungspunkt in einem Meeting durchgeführt werden. Dabei stellt der IT-Sicherheitsbeauftragte und/oder der Datenschutzbeauftragte aktuelle Angriffsszenarien vor und beschreibt Abwehrmöglichkeiten. Darüber hinaus können Unternehmen mit ihren Mitarbeitern sogenannte Security Awareness-Kampagnen durchführen. Hierbei werden Angriffe auf die IT der eigenen Mitarbeiter simuliert und der jeweilige Umgang des einzelnen Mitarbeiters kann analysiert und ausgewertet werden. Nur das Zusammenspiel von Sicherheitstechnik und sensibilisierten Mitarbeitern schützt Unternehmen vor Schäden durch Cyberkriminelle.