Russisch Roulette Digital: Das Spiel mit der IT-Sicherheit

ThemaIT-Forum

GastbeitragRussisch Roulette Digital: Das Spiel mit der IT-Sicherheit

Bild vergrößern

Die Sicherheitsvorkehrungen der Unternehmen sind meist leicht zu kancken.

Würden Sie jemals „Russisch Roulette“ spielen? Wohl kaum. Niemand, der bei klarem Verstand ist, würde das tun. Dennoch spielen fast alle Unternehmen es in digitaler Form. Jeden Tag.

Der sogenannte „RSA-Hack“ im Jahr 2011  und der aktuelle „Kaspersky-Hack“ haben deutlich bewiesen, dass nicht einmal die bekanntesten Experten für IT-Sicherheit alle Angriffe abwehren können. In beiden Fällen war es die Schwachstelle Mensch, die den Hackern für Monate Tür und Tor öffnete - durch anklicken eines E-Mail-Anhangs.

Es ist schon fast wieder originell, dass sogar die Verteidigungsmechanismen von Firmen, die IT-Sicherheit verkaufen, durch einen einzigen Doppelklick mit der Maus von innen heraus gesprengt werden konnten. Das beweist letztlich, dass kein internes Netzwerk sicher ist, wenn auch nur ein interner Arbeitsplatzrechner im Firmennetzwerk Zugang zum Internet hat. Egal wie oft und wie gut Sie Ihre Mitarbeiter schulen, es wird immer diesen einen Mitarbeiter und diesen einen Moment der Unaufmerksamkeit geben. Dabei spielt es eigentlich keine Rolle, ob ein E-Mail-Anhang angeklickt oder ein „zufällig“ auf dem Firmengelände gefundener USB-Stick in einen Firmenrechner gesteckt wird.

Anzeige

Zur Person

  • Cornel Brücher

    Cornel Brücher ist Unternehmensberater mit Schwerpunkt Informationstechnik und Autor von Fachbüchern.

Aus Sicht eines Angreifers funktioniert beides hervorragend. Waren die sogenannten „Phishing-Attacken“ per Mail und „verlorene“ USB-Sticks anfangs noch recht unspezifisch und an einen großen Verteiler gerichtet, haben die Angreifer im Firmenumfeld inzwischen sehr viel dazugelernt. Das Adressverzeichnis des Mailservers (und damit aller Mitarbeiter) steht dem Angreifer zur Verfügung, sobald ein beliebiger Mitarbeiter ein präpariertes Attachment angeklickt hat. Anschließend werden individualisierte E-Mails an einen gezielten Personenkreis oder an ausgewählte Einzelpersonen gerichtet. Eine zum Arbeitsbereich der Zielperson passende Konferenzeinladung beispielsweise erregt kein Misstrauen.

Forum IT-Sicherheit

  • Sicherheitschefs diskutieren über Cyberrisiken

    Der Hackerangriff auf den Deutschen Bundestag hat auch dem letzten Vorstand die Augen geöffnet. Kein Unternehmen ist gefeit vor Cyberangriffen. Jede noch so kleine Sicherheitslücke in den IT-Systemen kann zum Einfallstor für Spionage- oder Sabotageattacken werden und Schäden in Millionenhöhe verursachen. Die Verunsicherung in den Unternehmen ist jedenfalls groß. Sind die Sicherheitsvorkehrungen wirklich auf dem allerneusten Stand, um die Kronjuwelen des Unternehmens zu schützen? Kennen die Mitarbeiter alle Indizien, die auf einen Angriff hindeuten? Wie lange brauchen die Alarmsysteme, um einen Angriff zu erkennen? Es gibt viele Fragen, aber nur wenige Experten, die fundierte Antworten liefern können. Zusammen mit Bernd-Oliver Bühler, geschäftsführender Gesellschafter der Janus Consulting und Spezialist für IT-Sicherheit, hat die WirtschaftsWoche die Sicherheitsverantwortlichen in deutschen Unternehmen gebeten, aus ihrer Sicht die größten Probleme und mögliche Lösungen vorzustellen.

    Alle Beiträge finden Sie auf www.wiwo.de/it-forum

Den Absender einer E-Mail zu fälschen, ist beim E-Mail-Protokoll des Internets eine Kleinigkeit. Erkennen kann man das nur, wenn man sich im E-Mail-Header den Verlauf der E-Mail über die diversen Server ansieht. Die Konferenzeinladung kann (abgesehen vom Absender) sogar echt sein, ergänzt um eine Zero-Day-Attacke im beigefügten Dokument. Das Attachment der an die Personalabteilung von RSA gerichteten E-Mail war eine Excel-Tabelle, die eine Sicherheitslücke in Adobe Flash missbrauchte, und erst wenige Stunden vor dem Angriff präpariert wurde. Bis eine bekanntgewordene Zero-Day-Sicherheitslücke von Entwicklern geschlossen und die neue Version der betroffenen Software verteilt wird, bleibt Angreifern genug Zeit, diese auszunutzen. Sicherheitsspezialisten sind meist in der Defensive, da sie einen Angriff erst analysieren können, nachdem dieser bemerkt wurde.

"Taktik ohne Strategie ist das Geräusch vor der Niederlage" (Sun Tzu)

Die Angreifbarkeit der heutigen IT-Systeme ist keine technische, sondern eine konzeptionelle Schwäche. Traditionsgemäß muss ein Arbeitsplatzrechner für alle Aufgaben eines Mitarbeiters ausreichen.  Softwareentwickler beispielsweise lesen geschäftliche (und auch private) E-Mails, recherchieren in Blogs, News- und Dokumentationsseiten, und programmieren auf einem einzigen Rechner.  Jeder dieser Arbeitsplatzrechner stellt also eine Verbindung zwischen dem internen Unternehmensnetzwerk und dem Internet dar.

Social Engineering So manipulieren Industriespione ihre Opfer

Wie starten Industriespione den Angriff auf die Kronjuwelen eines Unternehmens? Sie umgarnen und beeinflussen ihre Opfer. Was Experten Social Engineering nennen, beginnt meist außerhalb des Arbeitsplatzes.

Social Engineers beeinflussen ihre Opfer durch den Einsatz digitaler Medien. Quelle: dpa Picture-Alliance

Ein direkter Angriff von außen mag an perfekt eingerichteten Firewalls und sonstigen starren Sicherheitsmaßnahmen scheitern, aber der Aufruf einer einzigen präparierten Webseite oder des besagten E-Mail-Attachments öffnet alle Tore von innen. Ein so eingeschleustes Spionageprogramm (Trojaner) muss nur noch die auf diesem Rechner für interne Systeme benutzten Zugriffsdaten mitlesen und zu Hause abliefern. Das ist so leicht wie es klingt. Angreifer haben so Zugriff auf alle Informationen, auf die der betreffende Mitarbeiter entsprechend seiner Sicherheitsfreigabe Zugriff hat.

Anzeige
Unternehmer stellen sich vor
Deutsche Unternehmerbörse - www.dub.de
DAS PORTAL FÜR FIRMENVERKÄUFE
– Provisionsfrei, unabhängig, neutral –
Angebote Gesuche




.

Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%