DQS im Dialog
DQS Website Abonnieren

Informationssicherheit: Mitarbeiter als Erfolgsfaktor

Wie sammeln Cyber-Kriminelle Informationen, um sich in die Lage zu versetzen, IT-Systeme anzugreifen? Wie gelingt es einem Hacker, gefälschte E-Mails an möglichst viele Mitarbeiter eines Unternehmens zu versenden? Es gelingt, indem der Angriff oft auf das schwächste Glied der Kette eines Sicherheitskonzeptes gerichtet ist: Auf den Menschen. Daher ist es ungeheuer wichtig, dass Mitarbeiter ihren Stellenwert als Erfolgsfaktor für wirksame Sicherheitsmaßnahmen kennen und akzeptieren, dass sie Risiken und Chancen der Informationssicherheit aus einem anderen, bewussteren Blickwinkel betrachten. Das Stichwort: Security Awareness. Ein Gastbeitrag von Arwid Zang, Geschäftsführer von greenhats.com
(c) iStock Informationssicherheit: Mitarbeiter als Erfolgsfaktor

Webseiten sind wie offene Bücher

IT-Sicherheit und Informationssicherheit sind zwar bekanntermaßen zwei ziemlich unterschiedliche paar Schuhe, dennoch können die Grenzen verschwimmen. Es liegt auf der Hand, dass IT-Sicherheitsvorfälle regelmäßig zu Informationssicherheitsvorfällen führen. Klar, wenn ich als Hacker ein Unternehmensnetzwerk kompromittiere, müsste ich schon sehr mit krampfhaft geschlossenen Augen vor dem Bildschirm sitzen, um nicht die eine oder andere Information aufzunehmen, die nicht für mich bestimmt ist.

Es kann aber durchaus auch passieren, dass Cyber-Kriminelle zunächst Informationen sammeln, die es ihnen langfristig überhaupt erst ermöglichen, die IT-Systeme ihres erwählten Opfers anzugreifen.

Bei der Plattform für Security Checks greenhats.com besteht unser Berufsalltag darin, Unternehmen zu hacken, Schwachstellen aufzuzeigen und zu beheben, bevor Kriminelle diese finden.

Frei nach dem Motto „wir reden einfach einmal darüber“ möchte ich Ihnen in diesem Beitrag eine Angriffsmethode im Detail erklären, die jeden betrifft, und mich gemeinsam mit Ihnen der Frage widmen: Warum erzähle ich Ihnen das eigentlich alles?

Einfach ist am gefährlichsten

Die Rede ist selbstverständlich von der so genannten „Phishing-Attacke“ – keine Sorge, ich werde versuchen, Ihnen weitere Fremdwörter und IT-Vokabeln zu ersparen. Die brauche ich auch gar nicht, denn Phishing ist prinzipiell kein technischer Angriff, sondern eben ein Angriff auf das schwächste Glied der Kette eines (fast) jeden Sicherheitskonzeptes. Ein Angriff auf den Menschen.

Phishing – Angriff auf den Menschen

Nehmen wir einmal an, ich möchte Sie angreifen. Dann setze ich mich nicht einfach planlos an mein Notebook und fange an, auf schwarzen Konsolen herumzutippen. Nein, zunächst brauche ich… genau! Informationen. Dazu gehören:

  • E-Mail-Adressen Ihres Unternehmens
  • Namen der Mitarbeiter der IT
  • E-Mail-Signaturen
  • Informationen über Ihre Corporate Identity
  • ein Thema, welches für Ihre Mitarbeiter interessant ist

Den Fall vorausgesetzt, ich kenne außer dem Namen Ihres Unternehmens gar nichts, gehe ich natürlich zunächst auf die Website, lese und lerne alles, was es zu lernen gibt. Vor allem interessieren mich E-Mail-Adressen und Ansprechpartner der IT. Denn im folgenden Angriff möchte ich eine gefälschte E-Mail an möglichst viele Mitarbeiter versenden (deren Adressen ich benötige) und dabei so gut es geht vermeiden, sie auch an die IT zu schicken.

E-Mail-Adressen: Das „Kapital“ einer Phishing-Attacke

Sobald ich einige wenige E-Mail-Adressen gefunden habe, leite ich das Muster ab. Beispielsweise „vorname.nachname@beispielunternehmen.de“. Ich versuche also, die Logik abzuleiten, wie sich aus dem Namen des Mitarbeiters auf dessen E-Mail-Adresse schließen lässt.

Anschließend verschlägt es mich schon wieder in das Internet – dieses Mal in die sozialen Netzwerke. Dabei rede ich nicht von den „bösen“ Playern wie Facebook & Co. Viel interessanter sind XING und LinkedIn.

Dort suche ich nach Ihrem Unternehmen und sehe mir an, welche Personen angeben, bei diesem Unternehmen zu arbeiten. Auf diese Weise erhalte ich eine Liste mit Namen, aus welchen wir mithilfe des identifizierten Musters Adressen ableiten können. Gleichzeitig entnehme ich den Profilen in den sozialen Netzwerken bereits, welche Ihrer Kollegen aufgrund ihrer Berufserfahrungen / Interessen in Themen der IT meinen kommenden Angriff potenziell erkennen könnten.

Diese Kollegen werden von mir keine gefälschte Mail erhalten.

Security Awareness: Das Trojanische Pferd kommt ganz offiziell daher

Nun, da ich mein Angriffsziel kenne, möchte ich mich selbst als ein Mitarbeiter Ihres Unternehmens ausgeben. Dazu trete ich zunächst in Kontakt mit Ihnen. Über offizielle Wege, zum Beispiel als potenzieller Kunde. Ich schreibe Ihnen eine E-Mail und bitte um ein Angebot. Sie antworten – bestenfalls mit einem Produktportfolio oder ähnlichem.

Ihre Antwort bringt mir wertvolle Informationen: Wie sieht Ihre E-Mail-Signatur aus? Welche Schriftarten verwenden Sie? An welcher Stelle platzieren Sie ihr Logo in Dokumenten? Wie markieren Sie Überschriften? Welche farblichen Akzente werden gesetzt? Und, und, und…

ISO 27001 Annex A Auditleitfaden der DQS

ISO 27001 in der Praxis – Anhang A

DQS-AUDITLEITFADEN

Auditfragen und mögliche Nachweise zu ausgewählten Maßnahmen.
Mehr als eine Checkliste!

Von Experten aus der Praxis.

Jetzt kostenfrei herunterladen

Soweit alles kein Hexenwerk. Und passen Sie auf – jetzt kommt der Trick. Angenommen, Ihr Unternehmen hieße „Beispielunternehmen“ und wäre unter „beispielunternehmen.de“ im Internet zu finden. Dann suche ich mir jetzt eine Adresse im Internet, welche Ihrer Adresse sehr ähnlich sieht. Zum Beispiel „beispielunternehmen.eu“. Diese Adresse kaufe ich mir (das kostet wirklich nur wenige Euro) und kann nun darauf meinen Angriff aufbauen.

Denn von „vorname.nachname@beispielunternehmen.eu“ kann ich E-Mails mit Ihrer Signatur versenden, die aussehen, als kämen sie direkt von Ihnen. Welche Namen oder Synonyme ich als Absender verwende ist mir gleich, da es technisch keinen Unterschied macht.

Ihr Geschäftsführer ist nicht Ihr Geschäftsführer

Das kann wirklich gefährlich werden, wenn ich mich beispielsweise als Admin Ihrer IT ausgebe und eine E-Mail an Sie und alle Ihre Kollegen schreibe, in denen ich beispielsweise auf ein neues Video-Portal für Remote-Meetings aufmerksam mache, wo sich bitte einmal alle Mitarbeiter authentifizieren sollen um zu prüfen, ob die bestehenden Kontakte übernommen wurden.

Oder wenn ich Ihnen als Assistenz Ihrer Geschäftsführung schreibe und erkläre, dass die Weihnachtsfeier aufgrund der Pandemie zwar ausfällt, dafür aber 5 nagelneue iPhones von der Geschäftsführung verlost werden. Damit jeder nur einmal im Lostopf landet, soll sich bitte jeder Mitarbeiter einmal beim beigefügten Portal authentifizieren – die Gewinner werden dann Ende Dezember bekanntgegeben.

Fake Login-Bereich: Kinderspiel in Zeiten der Digitalisierung

Egal, für welche Methode ich mich entscheide – ich muss Ihnen einen Link mitschicken, welcher zu besagtem „Portal“ führt. Das könnte dann „gewinnspiel.beispielunternehmen.eu“ sein oder „portal.beispielunternehmen.eu“.

Auch an dieser Stelle kann ich meiner Kreativität freien Lauf lassen. Da mir die entsprechende Seite ja gehört, muss ich dort nur noch etwas aufbauen, was für Sie und Ihre Kollegen vertrauenswürdig aussieht. Im Falle des Gewinnspiels zum Beispiel ein schönen Login-Bereich im Design Ihres Unternehmens, mit Ihrem Logo und vielleicht auch einem kleinen Weihnachtsmännchen. Oder ein paar Sternschnuppen.

Passwörter landen beim Angreifer – und zwar im Klartext

Selbstverständlich wird Sicherheit bei meinem Portal großgeschrieben! Alles ist exzellent verschlüsselt und es wird Dritten unmöglich gemacht, Ihre Eingaben mitzulesen. Immerhin geben Sie ja Nutzernamen und Passwörter ein, das sind sensible Informationen. All das ist technisch betrachtet absolut seriös. Ihre Daten werden sicher übertragen und landen in besten Händen – in meinen.

Wie komplex Ihr Passwort ist, ist übrigens bei einem solchen Angriff völlig irrelevant, es landet im Klartext beim Angreifer. Und behalten Sie im Hinterkopf, dass (wenn auch minimal komplexer) verschiedenste 2-Faktor-Lösungen mit „gephisht“ werden können, wenn ich mein Portal entsprechend anpasse.

Informationssicherheit: Mitarbeiter als Erfolgsfaktor

Ich habe Ihnen versprochen, die wichtigste Frage zum Schluss zu aufzuklären: Warum erzähle ich Ihnen das alles? Die Antwort lautet: Wem denn sonst?

Es ist wichtig zu verstehen, dass der von mir beschriebene Angriff – rein technisch betrachtet – gar kein Angriff ist. Ich schreibe Ihnen eine Mail von einer Adresse, die tatsächlich mir gehört. Darin befindet sich nicht einmal ein Anhang, geschweige denn Schadsoftware. Sie werden zu einer Seite im Internet geleitet, welche nicht versucht, Ihr System zu kompromittieren. Und wie ich bereits beschrieben habe ist diese Seite auch perfekt gesichert und jeglicher Datenverkehr optimal verschlüsselt.

So ist es bei anderen (seriösen) Seiten, bei denen Sie sich anmelden ja auch. Und so wie Sie ihr privates Passwort sonst bei LinkedIn oder XING eingeben, um sich zu authentifizieren, geben Sie es nun bei meiner Seite ein.

Es ist wichtig zu verstehen, dass ich aus technischer Sicht keine E-Mail fälsche. Ich fälsche Ihr gesamtes Unternehmen.

Und genau deshalb greifen auch keine technischen Schutzmaßnahmen. Die Lösung liegt darin, den Angriff zu erkennen und zu verhindern – und das liegt an Ihnen. Genauso wie geeignete Maßnahmen zur Mitarbeitersensibilisierung in dieser Richtung.

Denn wenn ich dieses Szenario sauber aufbaue, ist das Erkennen des Angriffs nur möglich, indem Sie den Unterschied in der Adresse bemerken, also in unserem Falle das „.eu“ statt Ihres „.de“. Mir ist bewusst, dass der eine oder andere sich nun absolut sicher ist, auch im stressigen Arbeitsalltag den nötigen Überblick dazu zu haben. Den Fortgeschrittenen von Ihnen möchte ich daher noch einen kleinen Denkanstoß geben:

Würden Sie „beispielunternehmen.de“ auch als Fälschung erkennen? Kleiner Tipp: Das „l“ ist kein L sondern der griechische Buchstabe „Iota“. Für das menschliche Auge ist dazwischen kein Unterschied zu erkennen, Ihr Computer sieht das wahrscheinlich ein bisschen anders. Ich kann Ihnen versichern, dass es in all den Phishing-Attacken, welche wir für Unternehmen simuliert haben, noch nicht einen Kunden gab, bei dem kein Mitarbeiter seine Daten preisgegeben hat.

Das A und O: Mitarbeiter für Angriffe sensibilisieren

Die Frage ist also nicht, ob Ihre Kollegen auf einen solchen Angriff hereinfallen würden. Die Frage ist viel mehr, wie viele Mitarbeiter den Angriff erkennen, wie schnell sie ihn der IT melden und wie viel Zeit diese hat zu reagieren.

Genau an dieser Stelle wird der Mitarbeiter zum Erfolgsfaktor für mehr Informationssicherheit und IT-Sicherheit.

Ich möchte keiner dieser White-Hacker sein, die Ihre Strategien für sich behalten und sich an desaströsen Ergebnissen solcher Attacken erfreuen. Viel mehr möchte ich mit Ihnen gemeinsam dazu beitragen, Ihr Unternehmen etwas sicherer zu machen.

„Phisher fälschen aus technischer Sicht keine E-Mail. Sie fälschen Ihr gesamtes Unternehmen.“

Jetzt sind Sie gefragt: Was ich Ihnen soeben geschildert habe ist ja nur ein Beispiel aus zahlreichen Möglichkeiten, den Mensch und dessen teilweise fahrlässigen Umgang mit Informationen auszunutzen und als Angreifer Profit daraus zu schlagen. IT-Abteilungen können davor nur begrenzt oder gar nicht schützen, das ist Ihr Job. Denken Sie sich selbst Attacken aus, überlegen Sie sich, wie Sie Ihre Kollegen kapern könnten und machen Sie es zum Thema am (virtuellen) Mittagstisch.

ISO 27001: Awareness als Teil des Maßnahmenkatalogs

Und dann, lassen Sie Ihr Unternehmen regelmäßig auf die Probe stellen und machen Sie Awareness zum Teil Ihres Sicherheitskonzeptes. Etwas zwischen den Zeilen gelesen finden Sie dies auch in der Norm für Informationssicherheit.

ISO/IEC 27001 fordert von Ihnen beispielsweise das Bewusstsein und somit die Sensibilisierung des schwächsten Gliedes der Kette zu gewährleisten, wie mit Informationen Ihres Unternehmens umzugehen ist (Kapitel 7.3 und Annex 7.2.2). Das fängt bei etwas Einfachem wie einer E-Mail-Adresse an. Auch weitere behördliche oder gesetzliche Regelungen, wie z.B. die DS-GVO, zielen auf den präventiven Ansatz einer Vorfallsvermeidung ab.

Ein ISMS nach ISO 27001 definiert Anforderungen, Regeln und Methoden zur Gewährleistung der Sicherheit schützenswerter Informationen in Unternehmen. Die Norm liefert ein Modell für die Einführung, Umsetzung, Überwachung und die Verbesserung des Schutzniveaus. Ziel ist es, mögliche Risiken für das Unternehmen zu identifizieren, zu analysieren und durch geeignete Maßnahmen beherrschbar zu machen. ISO 27001 formuliert die Anforderungen an ein solches Managementsystem, die im Rahmen eines externen Zertifizierungsverfahrens auditiert werden.

Erfüllen Sie die Normanforderungen mit Sensibilisierungsmaßnahmen, wie z.B. Richtlinien, Schulungen, Kommunikation z.B. über fortlaufenden News oder auch simulierten Phishing-Attacken wie wir sie für unsere Kunden durchführen? Dann seien Sie ehrlich zu sich und stellen Sie sich die Frage, wie erfolgreich Ihre bisherigen Schulungsmaßnahmen Sie auf einen Ernstfall, wie ich ihn soeben skizziert habe, vorbereitet haben.

Oder ganz nach dem Motto „wir reden einfach einmal drüber“: Wenn ich es morgen darauf anlegen würde, könnte ich Sie auf dem falschen Fuß erwischen?

Kontakt zur DQS

Expertise und Vertrauen

Sie haben Fragen zum Informationssicherheits-Managementsystem?
Wir freuen uns auf das Gespräch mit Ihnen.

Kontakt aufnehmen