Informations­sicherheits­vorfälle: Mitarbeiter als Erfolgsfaktor

INHALT

• Webseiten sind wie offene Bücher
• Einfach ist am gefährlichsten
• E-Mail-Adressen: Das „Kapital“ einer Phishing
• Security Awareness: Das Trojanische Pferd kommt ganz offiziell daher
• Informationssicherheitsvorfälle: Beispiel aus der Praxis
• Informationssicherheit: Mitarbeiter als Erfolgsfaktor
• Das A und O: Mitarbeiter für Angriffe sensibilisieren
• ISO 27001: Awareness als Teil des Maßnahmenkatalogs
• Ein Informationssicherheitsvorfall bedeutet meist Chaos
• Die Hintertür in Ihr System
• Mangelnde Awareness: perfekt für den gezielten Angriff
• Eintrittswahrscheinlichkeiten minimieren

Webseiten sind wie offene Bücher

IT-Sicherheit und Informationssicherheit sind zwar bekanntermaßen zwei ziemlich unterschiedliche paar Schuhe, dennoch können die Grenzen verschwimmen. Es liegt auf der Hand, dass IT-Sicherheitsvorfälle regelmäßig zu Informationssicherheitsvorfällen führen. Klar, wenn ich als Hacker ein Unternehmensnetzwerk kompromittiere, müsste ich schon sehr mit krampfhaft geschlossenen Augen vor dem Bildschirm sitzen, um nicht die eine oder andere Information aufzunehmen, die nicht für mich bestimmt ist.

Es kann aber durchaus auch passieren, dass Cyber-Kriminelle zunächst Informationen sammeln, die es ihnen langfristig überhaupt erst ermöglichen, die IT-Systeme ihres erwählten Opfers anzugreifen.

Bei der Plattform für Security Checks greenhats.com besteht unser Berufsalltag darin, Unternehmen zu hacken, Schwachstellen aufzuzeigen und zu beheben, bevor Kriminelle diese finden.

Frei nach dem Motto „wir reden einfach einmal darüber“ möchte ich Ihnen in diesem Beitrag eine Angriffsmethode im Detail erklären, die jeden betrifft. Und: Gemeinsam mit Ihnen möchte ich mich der Frage widmen: Warum erzähle ich Ihnen das eigentlich alles?

Informationssicherheitsvorfälle: Einfach ist am gefährlichsten

Die Rede ist selbstverständlich von der so genannten „Phishing-Attacke“ – keine Sorge, ich werde versuchen, Ihnen weitere Fremdwörter und IT-Vokabeln zu ersparen. Die brauche ich auch gar nicht, denn Phishing ist prinzipiell kein technischer Angriff, sondern eben ein Angriff auf das schwächste Glied der Kette eines (fast) jeden Sicherheitskonzeptes. Ein Angriff auf den Menschen.

Nehmen wir einmal an, ich möchte Sie angreifen. Dann setze ich mich nicht einfach planlos an mein Notebook und fange an, auf schwarzen Konsolen herumzutippen. Nein, zunächst brauche ich… genau! Informationen und personenbezogene Daten. Dazu gehören:

• E-Mail-Adressen Ihres Unternehmens
• Namen der Mitarbeiter Ihrer IT
• E-Mail-Signaturen
• Informationen über Ihre Corporate Identity
• ein Thema, welches für Ihre Mitarbeiter interessant ist

Den Fall vorausgesetzt, ich kenne außer dem Namen Ihres Unternehmens gar nichts, gehe ich natürlich zunächst auf die Website, lese und lerne alles, was es zu lernen gibt. Vor allem interessieren mich E-Mail-Adressen und Ansprechpartner Ihrer IT. Denn im folgenden Angriff möchte ich eine gefälschte E-Mail an möglichst viele Mitarbeiter versenden (deren Adressen ich benötige) und dabei so gut es geht vermeiden, sie auch an die IT zu schicken.

E-Mail-Adressen: Das "Kapital" einer Phishing-Attacke

Sobald ich einige wenige E-Mail-Adressen gefunden habe, leite ich das Muster ab. Beispielsweise „vorname.nachname@beispielunternehmen.de“. Ich versuche also, die Logik abzuleiten, wie sich aus dem Namen des Mitarbeiters auf dessen E-Mail-Adresse schließen lässt.

Anschließend verschlägt es mich schon wieder in das Internet – dieses Mal in die sozialen Netzwerke. Dabei rede ich nicht von den „bösen“ Playern wie Facebook & Co. Viel interessanter sind XING und LinkedIn.

Dort suche ich nach Ihrem Unternehmen und sehe mir an, welche Personen angeben, bei diesem Unternehmen zu arbeiten. Auf diese Weise erhalte ich eine Liste mit Namen, aus welchen wir mithilfe des identifizierten Musters Adressen ableiten können. Gleichzeitig entnehme ich den Profilen in den sozialen Netzwerken bereits, welche Ihrer Kollegen aufgrund ihrer Berufserfahrungen und IT-Interessen meinen kommenden Angriff potenziell erkennen könnten.

Diese Kollegen werden von mir keine gefälschte Mail erhalten. 

Security Awareness: Das trojanische Pferd kommt ganz offiziell daher

Nun, da ich mein Angriffsziel kenne, möchte ich mich selbst als ein Mitarbeiter Ihres Unternehmens ausgeben. Dazu trete ich zunächst in Kontakt mit Ihnen. Über offizielle Wege, zum Beispiel als potenzieller Kunde. Ich schreibe Ihnen eine E-Mail und bitte um ein Angebot. Sie antworten – bestenfalls mit einem Produktportfolio oder Ähnlichem.

Ihre Antwort bringt mir wertvolle Informationen:

• Wie sieht Ihre E-Mail-Signatur aus?
• Welche Schriftarten verwenden Sie?
• An welcher Stelle platzieren Sie ihr Logo in Dokumenten?
• Wie markieren Sie Überschriften?
• Welche farblichen Akzente werden gesetzt?
• Und, und, und …

Soweit alles kein Hexenwerk. Und passen Sie auf – jetzt kommt der Trick. Angenommen, Ihr Unternehmen hieße „Beispielunternehmen“ und wäre unter „beispielunternehmen.de“ im Internet zu finden. Dann suche ich mir jetzt eine Adresse im Internet, welche Ihrer Adresse sehr ähnlich sieht. Zum Beispiel „beispielunternehmen.eu“. Diese Adresse kaufe ich mir (das kostet wirklich nur wenige Euro) und kann nun darauf meinen Angriff aufbauen. Das hat dann nämlich den Effekt:, dass ich von „vorname.nachname@beispielunternehmen.eu“ E-Mails mit Ihrer Signatur versenden kann, die aussehen, als kämen sie direkt von Ihnen. Welche Namen oder Synonyme ich als Absender verwende ist mir gleich, da es technisch keinen Unterschied macht.

Informationssicherheitsvorfälle: Beispiel aus der Praxis

Ihr Geschäftsführer ist nicht Ihr Geschäftsführer

Das kann wirklich gefährlich werden, wenn ich mich beispielsweise als Admin Ihrer IT ausgebe. Ich schreibe eine E-Mail an Sie und alle Ihre Kollegen, in denen ich beispielsweise auf ein neues Video-Portal für Remote-Meetings aufmerksam mache, wo sich bitte einmal alle Mitarbeiter authentifizieren sollen, um zu prüfen, ob die bestehenden Kontakte übernommen wurden.

Oder wenn ich Ihnen als Assistenz Ihrer Geschäftsführung schreibe und erkläre, dass die Weihnachtsfeier aufgrund der Pandemie zwar ausfällt, dafür aber 5 nagelneue iPhones von der Geschäftsführung verlost werden. Damit jeder nur einmal im Lostopf landet, soll sich bitte jeder Mitarbeiter einmal beim beigefügten Portal authentifizieren – die Gewinner werden dann Ende Dezember bekanntgegeben.

Fake Login-Bereich: Kinderspiel in Zeiten der Digitalisierung

Egal, für welche Methode ich mich entscheide – ich muss Ihnen einen Link mitschicken, welcher zu besagtem „Portal“ führt. Das könnte dann „gewinnspiel.beispielunternehmen.eu“ sein oder „portal.beispielunternehmen.eu“.

Auch an dieser Stelle kann ich meiner Kreativität freien Lauf lassen. Da mir die entsprechende Seite ja gehört, muss ich dort nur noch etwas aufbauen, was für Sie und Ihre Kollegen vertrauenswürdig aussieht. Im Falle des Gewinnspiels zum Beispiel einen schönen Login-Bereich im Design Ihres Unternehmens, mit Ihrem Logo und vielleicht auch einem kleinen Weihnachtsmännchen. Oder ein paar Sternschnuppen.

Passwörter landen beim Angreifer – und zwar im Klartext

Selbstverständlich wird Sicherheit bei meinem Portal großgeschrieben! Alles ist exzellent verschlüsselt und es wird Dritten unmöglich gemacht, Ihre Eingaben mitzulesen. Immerhin geben Sie ja Nutzernamen und Passwörter ein, das sind sensible Informationen. All das ist technisch betrachtet absolut seriös. Ihre Daten werden sicher übertragen und landen in besten Händen – in meinen.

Wie komplex Ihr Passwort ist, ist übrigens bei einem solchen Angriff völlig irrelevant, es landet im Klartext beim Angreifer. Und behalten Sie im Hinterkopf, dass (wenn auch minimal komplexer) verschiedenste 2-Faktor-Lösungen mit „gephisht“ werden können, wenn ich mein Portal entsprechend anpasse.

Informationssicherheit: Mitarbeiter als Erfolgsfaktor

Ich habe Ihnen versprochen, die wichtigste Frage zum Schluss aufzuklären: Warum erzähle ich Ihnen das alles? Die Antwort lautet: Wem denn sonst?

Es ist wichtig zu verstehen, dass der von mir beschriebene Angriff – rein technisch betrachtet – gar kein Angriff ist. Ich schreibe Ihnen eine Mail von einer Adresse, die tatsächlich mir gehört. Darin befindet sich nicht einmal ein Anhang, geschweige denn Schadsoftware. Sie werden zu einer Seite im Internet geleitet, welche nicht versucht, Ihr System zu kompromittieren. Und wie ich bereits beschrieben habe ist diese Seite auch perfekt gesichert und jeglicher Datenverkehr optimal verschlüsselt.

So ist es bei anderen (seriösen) Seiten, bei denen Sie sich anmelden ja auch. Und so wie Sie ihr privates Passwort sonst bei LinkedIn oder XING eingeben, um sich zu authentifizieren, geben Sie es nun bei meiner Seite ein.

Es ist wichtig zu verstehen, dass ich aus technischer Sicht keine E-Mail fälsche. Ich fälsche Ihr gesamtes Unternehmen.

Und genau deshalb greifen auch keine technischen Schutzmaßnahmen. Die Lösung liegt darin, den Angriff zu erkennen und zu verhindern – und das liegt an Ihnen. Genauso wie geeignete Maßnahmen zur Mitarbeitersensibilisierung in dieser Richtung.

Denn wenn ich dieses Szenario sauber aufbaue, ist das Erkennen des Angriffs nur möglich, indem Sie den Unterschied in der Adresse bemerken, also in unserem Falle das „.eu“ statt Ihres „.de“. Mir ist bewusst, dass der eine oder andere sich nun absolut sicher ist, auch im stressigen Arbeitsalltag den nötigen Überblick dazu zu haben. Den Fortgeschrittenen von Ihnen möchte ich daher noch einen kleinen Denkanstoß geben:

Würden Sie „beispielunternehmen.de“ auch als Fälschung erkennen? Kleiner Tipp: Das „l“ ist kein L sondern der griechische Buchstabe „Iota“. Für das menschliche Auge ist dazwischen kein Unterschied zu erkennen, Ihr Computer sieht das wahrscheinlich ein bisschen anders. Ich kann Ihnen versichern, dass es in all den Phishing-Attacken, welche wir für Unternehmen simuliert haben, noch nicht einen Kunden gab, bei dem kein Mitarbeiter seine Daten preisgegeben hat.

Das A und O: Mitarbeiter für Angriffe sensibilisieren

Die Frage ist also nicht, ob Ihre Kollegen auf einen solchen Angriff hereinfallen würden. Die Frage ist viel mehr, wie viele Mitarbeiter den Angriff erkennen, wie schnell sie ihn der IT melden und wie viel Zeit diese hat zu reagieren.

Genau an dieser Stelle wird der Mitarbeiter im Sinne der Security Awareness zum Erfolgsfaktor für mehr Informationssicherheit und IT-Sicherheit.

Ich möchte keiner dieser White-Hacker sein, die ihre Strategien für sich behalten und sich an desaströsen Ergebnissen solcher Attacken erfreuen. Viel mehr möchte ich mit Ihnen gemeinsam dazu beitragen, Ihr Unternehmen etwas sicherer zu machen.

Jetzt sind Sie gefragt: Was ich Ihnen soeben geschildert habe ist ja nur ein Beispiel aus zahlreichen Möglichkeiten, den Mensch und dessen teilweise fahrlässigen Umgang mit Informationen auszunutzen und als Angreifer Profit daraus zu schlagen. IT-Abteilungen können davor nur begrenzt oder gar nicht schützen, das ist Ihr Job. Denken Sie sich selbst Attacken aus, überlegen Sie sich, wie Sie Ihre Kollegen kapern könnten und machen Sie es zum Thema am (virtuellen) Mittagstisch.

ISO 27001: Awareness als Teil des Maßnahmenkatalogs

Und dann, lassen Sie Ihr Unternehmen regelmäßig auf die Probe stellen und machen Sie Awareness zum Teil Ihres Sicherheitskonzeptes. Etwas zwischen den Zeilen gelesen finden Sie dies auch in der international anerkannten Norm für ein Informationssicherheits-Managementsystem (ISMS).

ISO/IEC 27001 fordert von Ihnen beispielsweise das Bewusstsein und somit die Sensibilisierung des schwächsten Gliedes der Kette zu gewährleisten, wie mit Informationen Ihres Unternehmens umzugehen ist. Das fängt bei etwas Einfachem wie einer E-Mail-Adresse an. Auch weitere behördliche oder gesetzliche Regelungen, wie zum Beispiel die DS-GVO, zielen auf den präventiven Ansatz einer Vorfallsvermeidung ab.

In der überarbeiteten Norm ISO/IEC 27001:2022, die am 25. Oktober 2022 veröffentlicht wurde, finden sich die Anforderungen zum Thema „Awareness“ ebenfalls im Normkapitel 7.3, die dazugehörigen Maßnahmen im neu strukturierten Anhang A unter 6.3.

Erfüllen Sie die Normanforderungen mit Sensibilisierungsmaßnahmen, wie zum Beispiel Richtlinien, Schulungen, Kommunikation über fortlaufende News oder auch simulierte Phishing-Attacken, wie wir sie für unsere Kunden durchführen. Und: Seien Sie ehrlich zu sich und stellen Sie sich die Frage, wie erfolgreich Ihre bisherigen Schulungsmaßnahmen Sie auf einen Ernstfall, wie ich ihn soeben skizziert habe, vorbereitet haben.

Ein Informationssicherheitsvorfall bedeutet meist Chaos

Wo wir gerade beim Thema Ehrlichkeit sind: Wie würden Sie eigentlich reaktiv mit einem Informationssicherheitsvorfall, ausgelöst durch einen Cyberangriff, umgehen? Zugegeben, das Thema reaktive Sicherheit ist immer etwas unangenehm, aber man sollte sich eben doch einmal darüber unterhalten.

Man stellt sich das gerne wie bei der Übung eines Feueralarms vor – irgendwann in der Arbeitszeit klingelt unerwartet eine Glocke, alle verlassen geordnet und ruhig das Gebäude, warten etwas draußen und unterhalten sich mit den Kollegen über das Wetter und nach einer Zeit dürfen alle wieder reinkommen und unterwegs kann man auch gleich einen Kaffee holen.

Aber so ist es nicht.

Mein Team wurde bereits von einigen Unternehmen kontaktiert, bei denen ein Angriff erfolgte, und ich kann Ihnen versprechen: Es herrscht Chaos. Auch noch einige Tage nach dem eigentlichen Ereignis. Unter anderem liegt das daran, dass moderne Hacker sich die Arroganz ihrer Opfer zu Nutze machen.
 

Das möchte ich Ihnen erklären, daher gehen wir noch einmal zurück zu unserem Phishing-Angriff. Angenommen, mir als Angreifer gelingt es, mich über das Passwort eines Ihrer Kollegen remote auf dessen IT-Systeme zu schalten. Glauben Sie, ich wüsste nicht, dass irgendjemand in Ihrem Unternehmen bemerkt, dass hier ein Angriff stattfand und es der IT meldet? Bestenfalls tun Sie das ja persönlich, das ist mir völlig bewusst.

Informationssicherheitsvorfälle: Die Hintertür in Ihr System

Deshalb tue ich zwei Dinge: Zum einen mache ich irgendetwas Offensichtliches, was Ihr Unternehmen ärgert und was Ihnen zu tun gibt. Zum Beispiel versende ich im Namen Ihres Kollegen Spam-Mails an Ihre Kunden. Das fällt auf und gibt Ihnen und Ihrer IT-Abteilung zu tun. Nun können Sie alle Ihre Notfallpläne aus dem Schrank ziehen und mit Ihren IT-Verantwortlichen den Informationssicherheitsvorfall bilderbuchmäßig abarbeiten. Inklusive ausgeklügelter Marketing-Maßnahmen, die das angekratzte Image neu auf Hochglanz polieren und Sie vielleicht als „Überlebender“ in einem noch besseren Licht dastehen lassen als vorher. Profis können sowas.

Zeitgleich versuche ich als Angreifer aber, mir eine Hintertür zu einem System einzurichten, die von Ihrer IT in dem Trubel nicht bemerkt wird. Als würde ich in ein Juweliergeschäft gehen, die größte Vitrine umschmeißen und heimlich all die teuren Ringe und Uhren in meine Tasche stecken, während alle sich auf die Scherben stürzen.

Meine Hintertür ist selbstverständlich extrem schwer zu finden, wenn man nicht weiß, wonach man sucht. Und dann mache ich gar nichts mehr. Wochenlang, monatelang.

Nun versuche ich, mich durch Ihr Unternehmensnetzwerk zu arbeiten, still und heimlich. Ohne „laute“ Softwarescanner, welche Ihr Netz auslasten und Ihre Sicherheitssysteme alarmieren. Ganz manuell, quasi oldschool. Übrigens trennt sich da auf Hackerseite die Spreu vom Weizen. Wurde Ihr Netzwerk in Testszenarien nur Sicherheitsscannern ausgesetzt, hilft Ihnen das nun gar nichts. Ich breite mich aus und warte – geduldig. Versuche zu erkennen, wann und wie Backups gemacht werden, wer mit wem kommuniziert und wo Ihr Unternehmen am sensibelsten ist. In unserem Beispiel tue ich das wahrscheinlich nachts – oder zumindest nach der Kernarbeitszeit, wo ich noch weniger beobachtet werde. Und selbstverständlich verwische ich täglich meine Spuren.

Und dann – Monate danach - kommt es zum großen Informationssicherheitsvorfall. Für Ihr Unternehmen völlig aus dem Nichts. Zum Beispiel verwende ich dann einen der zahlreichen Verschlüsselungstrojaner, um Sie zu erpressen. „Zufälligerweise“ läuft der aber durch meine Vorarbeit unter höchsten Berechtigungen, umgeht Ihre Sicherheitsvorkehrungen und verbreitet sich auf den Systemen mit Ihren relevantesten Dateien zuerst. Und wenn mir dann noch in all der Zeit, die ich hatte, eine Schwäche in Ihrem Backupsystem aufgefallen ist … wie gesagt: Chaos.

Mangelnde Awareness: Perfekt für den gezielten Angriff

Ja, wir befinden uns noch in unserem Beispiel, aber das ist keineswegs Hollywood. Das ist eine gängige Vorgehensweise und ein entscheidender Grund dafür, dass wir immer noch so oft von Unternehmen hören und lesen, die mit derartigen Verschlüsselungstrojanern zu kämpfen haben. Vor einigen Jahren wurden diese mehr oder weniger auf das Internet losgelassen und nur die schwächsten Schäfchen der Herde fielen ihnen zum Opfer: Die Unternehmen, die technisch nach außen hin schwach gesichert waren.

Das ist heute anders. Die mangelnde Awareness der Angestellten wird genutzt, Unternehmen gezielt anzugreifen und erst bei voller Kontrolle des Opfers wird die automatisierte Angriffssoftware eingesetzt.

Ich bleibe dabei, dass proaktive IT-Sicherheitsmaßnahmen und insbesondere eine ausgeprägte Security Awareness die wichtigsten Bausteine im IT-Sicherheitskonzept eines jeden Unternehmens darstellen – dafür sprechen einfach zu viele Beispiele und auch konkrete Fälle. Dennoch gehört zu einem ausgeprägten Sicherheitsbewusstsein auch das Verständnis darüber, dass es einen eben doch treffen kann. Da schließe ich mich selbst mit ein. Und sollte das passieren, sollte man vorbereitet sein.

Eintrittswahrscheinlichkeiten minimieren

Ganz bewusst habe ich das Beispiel des Feueralarms in meine Ausführungen aufgenommen. Dieser bereitet das Unternehmen auf den Fall vor, dass trotz aller proaktiven Maßnahmen doch ein Feuer ausbricht. Einige Unternehmen haben so etwas auch für Informationssicherheitsvorfälle und IT-Sicherheitsvorfälle. Und wenn das für Sie etwas zu viel des Guten wäre (es kommt wirklich immer auf das Unternehmen im Einzelfalle an), dann habe ich trotzdem noch einen Tipp für Sie:

Sollten Sie Penetrationstests oder andere Angriffssimulationen im Rahmen Ihrer proaktiven Sicherheitsmaßnahmen umsetzen, dann geben Sie sich nicht damit zufrieden, die gefundenen Schwachstellen einfach nur zu beheben. Stellen Sie immer die Frage: Wurde diese Schwachstelle in der Vergangenheit schon ausgenutzt? Wurden Hintertüren installiert?

Oder anders ausgedrückt: Behandeln Sie jedes „Finding“ mit der Ernsthaftigkeit eines tatsächlichen Informationssicherheitsvorfalls. Auf diese Weise minimieren Sie Eintrittswahrscheinlichkeiten und stellen gleichzeitig auch Ihre reaktiven Sicherheitspläne – von denen ich Ihnen von Herzen wünsche, dass Sie sie niemals brauchen werden – auf die Probe. Wie beim Feueralarm.

All das gehört zum Bewusstsein dazu und ist gleichzeitig nur ein Teil des Ganzen. Durch diesen wichtigen Baustein können Sie mir auf die Frage „Wenn ich es morgen darauf anlegen würde, könnte ich Sie auf dem falschen Fuß erwischen?“ allerdings mit einem Lächeln antworten. Vielleicht.

Vertrauen und Expertise

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an den Autor haben, senden Sie uns gerne eine E-Mail: willkommen@dqs.de.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.