Schwachstelle Mensch: Einer klickt immer drauf

Schwachstelle Mensch: Einer klickt immer drauf

S wie „Sicherheit“

Schon heute überschlagen sich die Meldungen, die von erfolgreich gehackten Unternehmen, Regierungsorganisationen und Einzelpersonen berichten. Das eigentliche Einfallstor bleibt weitgehend unbeachtet: Angreifer nehmen den Menschen ins Visier. Nur schlaue Weiterbildungsmaßnahmen helfen hier – kombiniert mit Managed Security Services, die IT-Teams den Rücken freihalten.

Das Missverhältnis ist seit Langem bekannt: Angreifer müssen lediglich ein einziges Schlupfloch finden, um ein Unternehmensnetzwerk zu infiltrieren. Die Verteidiger hingegen müssen alle Schlupflöcher finden und stopfen – ein Kampf gegen Windmühlen angesichts von Angriffswerkzeugen und IT-Landschaften, die sich laufend weiterentwickeln und verändern. Hinzu kommt: Professionelle OnlineKriminelle stürzen sich dem aktuellen Report von Verizon Business zufolge in 50 Prozent aller erfolgreichen Angriffe nicht auf einen Server oder PC. Ihr Ziel ist ein schwer zu schützendes Glied in der Kette: der Mensch.

Schwachstelle Mensch: Einer klickt immer drauf

Sicherheitsexperte Karsten Nohl plädiert für intelligente Sicherheitstrainings, die die Klickrate bei Phishing-E-Mails um bis zu zwei Drittel senken können. Foto: Karsten Nohl privat

Per sogenanntem Social Engineering machen sich die Kriminellen menschliche Schwächen zunutze, um so an Passwörter oder zumindest Insider-Informationen zu kommen. Letztere packen sie dann in eine Phishing-Nachricht, die dank der Detailinformationen beim Empfänger kein Misstrauen erregt. Quasi alle dieser betrügerischen E-Mails bringen entweder Malware direkt als Anhang mit oder leiten Opfer auf Webseiten, die Rechner infizieren. Aus Sicht der Verteidiger gilt es daher, die Mitarbeiter vom Klick auf Anhang oder Link abzuhalten.

I. Acht von Zehn verraten ihr Passwort

Wie schwierig das ist, weiß Sicherheitsexperte Karsten Nohl. Er berät Unternehmen unter anderem dabei, wie sie effiziente Abwehrmaßnahmen gegen genau solche Attacken konzipieren können. Laut Nohl verraten 80 Prozent aller Mitarbeiter einem geschickt vorgehenden Angreifer per Telefon ihr Passwort. Bei Phishing-E-Mails sind es immerhin noch 50 Prozent. „Ein Profi benötigt lediglich zwei bis drei Stunden, bis er alle Informationen für einen erfolgreichen Social-Engineering-Angriff auf ein Unternehmen zusammengetragen hat“, sagt Nohl.

Generische Trainings, die Mitarbeiter mit dem Prinzip der Phishing Angriffe vertraut machen, nutzen nicht viel laut Nohl. Und auch andere Fachleute pflichten ihm bei. Zwar klicken nach einer Awareness-Maßnahme weniger Anwender auf bösartige Links und Anhänge. Aber wie der kürzlich verstorbene Howard Schmidt, IT-Sicherheitsberater zweier US-Präsidenten, einst sagte, „gibt es in jeder Organisation immer mindestens einen, der auf alles klickt“. Besser sei es daher laut Karsten Nohl, den Mitarbeitern im Rahmen von Trainings Phishing-E-Mails zu schicken – und anschließend die Kollegen per Telefon zu kontaktieren, die auch auf Anhang oder Link geklickt haben. Wichtig sei hierbei, dass der Anruf binnen weniger Minuten nach dem Klick erfolgt. Ergebnis laut Karsten Nohl: eine um zwei Drittel gesunkene Klickrate.

Diese Herangehensweise bringt noch einen zweiten, überaus wünschenswerten Effekt: Nicht nur das Vermeiden des Klicks ist wichtig. Sondern auch, dass Mitarbeiter den Mut haben, sich außerhalb einer Übungssituation nach einem fatalen Klick von sich aus zu melden. Karsten Nohl zufolge steige die Zahl der freiwillig gemeldeten Phishing-Versuche nach dem aufklärenden Anruf auf gut 20 Prozent – vor der Aufklärung gab es niemanden, der sich meldete. Jede E-Mail, die der IT-Abteilung direkt nach oder am besten vor dem Klick bekannt wird, senkt die Erfolgschancen für den Phisher. Denn so kann das IT-Team rechtzeitig Zugriffe auf die bösartigen Webadressen sperren, das Ausführen der jeweiligen Malware verhindern und eventuell kurz zuvor abgefischte Passwörter zurücksetzen.

II. Wenig Zeit für Kernaufgaben

Doch wie können Unternehmen teure, zeitaufwendige Awareness-Maßnahmen leisten – zusätzlich zu dem immer aufwendigeren Schutz ihrer Systeme? Denn schon heute kommen IT-Teams kaum dazu, ihre Kernaufgaben – das Managen und Sichern immer komplexerer, über lokale Rechenzentren und die Cloud verteilte Infrastrukturen – ordentlich zu erledigen.

 

Ein Profi benötigt lediglich zwei bis drei Stunden, bis er alle Informationen für einen erfolgreichen Social-Engineering Angriff auf ein Unternehmen zusammengetragen hat.

Karsten Nohl, Sicherheitsexperte

Für alle sicherheitsrelevanten Aufgaben gilt: Es ist spezielles Wissen nötig, das sich in der erforderlichen Bandbreite in kaum einem Unternehmen findet und auch in Zukunft nicht finden wird. Der Digitalverband Bitkom listete im November 2016 rund 51 000 offene Stellen für IT-Spezialisten auf. Die Zahl der gesuchten IT-Sicherheitsexperten stieg gegenüber dem Vorjahr um 17 Prozent. Dabei steht die Privatwirtschaft nicht nur im Wettbewerb mit Bewerbermagneten wie Amazon Web Services oder Google, sondern auch mit dem öffentlichen Sektor. Im April warb die Bundeswehr mit „Cyber Days“, um 2 000 offene IT-Stellen im militärischen wie im zivilen Bereich der Truppe zu besetzen.

Unternehmen gehen daher dazu über, sich das notwendige Fachwissen und Ressourcen einzukaufen: entweder als kurzzeitige Beratung, die beispielsweise das interne IT-Team fit macht, um die beschriebenen AwarenessTrainings wirksam umzusetzen, oder als Managed Security Services. Letztere umfassen Dienste wie die kontinuierliche Überwachung der Netzsicherheit, das Erkennen und Management von Schwachstellen oder Angriffen durch Hacker, das Management der Intrusion Detection Systems (IDS), das Testen von Sicherheitskomponenten wie Firewalls und die Aktualisierung der Sicherheits- und Anti-Viren-Software.

III. Sicherheit von außen?

Im Fall der Fälle können Dienstleister auch für forensische Analysen eingekauft werden. Damit lässt sich aufklären, wie lange schon die Angreifer auf welchem Weg ins Netzwerk kamen, welche Systeme sie nach wie vor kontrollieren und welche Daten abgeflossen sind. Wie viele und welche Aufgaben das Unternehmen auslagert, hängt von der jeweiligen internen Kompetenz und Teamgröße ab – und letztlich dem Vertrauen, das die Unternehmensführung dem Dienstleister entgegenbringt.

Bevor man sich einen Dienstleister ins Haus holt, gilt es, seine Hausaufgaben zu erledigen. Dazu gehört zwingend eine Schutzbedarfsanalyse. Also das Herausarbeiten der Systeme und Mitarbeiter, die besonders schützenswert sind. Wichtig ist auch, beim Beauftragen eines Dienstleisters immer den Betriebsrat mit einzubeziehen und zu bestimmen, welche Daten dem Provider zugänglich sind.

Es ist illusorisch anzunehmen, dass man alle Systeme abdichten und alle Anwender intensiv schulen kann. Doch die Auslagerung vor allem standardisierbarer IT-Sicherheitsservices verschafft dem IT-Team mehr Zeit. Zeit, die dann für Nutzerschulungen, Risikoanalysen oder Austausch mit Kollegen aus anderen Unternehmen bleibt. Allesamt Aufgaben, die den Schutz des Netzwerks und der Daten erheblich erhöhen.


Dieser Artikel erschien in der direkt informiert 03/2017. Weitere Artikel aus der Ausgabe lesen Sie hier: direkt informiert 03/2017, Schwerpunkt: Sicherheit