Abwehr im Zeitalter von Advanced Persistent Threats (Teil 2)

Die erste Verteidigungslinie: Mitarbeiter und Administratoren

Im ersten Teil unserer Serie haben wir das Defense-in-Depth-Modell als wirksame Methode für die Abwehr professioneller Cyber-Angriffe, sogenannter Advanced Persistent Threats (APT), vorgestellt. Eine wesentliche Verteidigungslinie bilden die Mitarbeiter eines Unternehmens. Denn gerade sie sind oftmals Angriffsziel Nummer eins.

Die Cyber-Angriffsmethoden auf Menschen werden "Social Engineering" oder auch "Social Hacking" genannt. Die Angreifer nutzen typische psychologische Verhaltensmuster wie Neugierde oder Hilfsbereitschaft aus, um sensible Informationen zu erschleichen oder Systeme zu infizieren.

Die Auserwählten: Spear Phishing

Dabei handelt es sich um gezielte Phishing-E-Mails an wenige ausgewählte Opfer. Spear Phishing ist eine sehr erfolgreiche Variante des tool-gestützten Social Engineerings. Die Cyber-Angreifer sammeln gezielt Informationen über bestimmte Personen, beispielsweise in sozialen Netzen oder über gezielte Telefonanrufe. Die "Auserwählten" erhalten dann professionell aufbereitete E-Mails, deren Inhalt typischen Geschäftsvorgängen entspricht und somit Vertrauen erzeugt. Klickt der Empfänger dann auf den Anhang der E-Mail, infiziert er seinen Computer mit Schadsoftware. Diese ist ebenfalls speziell für diesen Angriff entwickelt und wird daher von Virenscannern oft nicht erkannt.

Der verlorene USB-Stick

Nahezu ebenso erfolgreich wie Spear Phishing ist der USB-Stick. Die Angreifer "verlieren" mit Schadsoftware präparierte USB-Sticks in der Cafeteria, an Raucherecken, vor dem Werkstor oder in Tiefgaragen für Mitarbeiter. Sie vertrauen auf neugierige Menschen, die den USB-Stick in der Regel mitnehmen und an ihren PC stecken, um zu sehen, was sich darauf befindet. Der Spionageangriff auf das Bundeskanzleramt ist ein prominenter Fall.

Wenn der Administrator anruft

Social Engineering kann ebenso durch persönlichen Kontakt erfolgen. Ein Mitarbeiter erhält einen Anruf von einem vermeintlichen IT-Administrator. Für die Behebung eines dringenden technischen Problems benötigt er angeblich das Passwort. Mit etwas Fachchinesisch und dem Aufbau von Druck ist auch dieser Angriff überdurchschnittlich erfolgreich. Der Angreifer kann mit den Zugangsdaten seines Opfers weiter in das Unternehmensnetz vordringen.

Wissen schützt

Aufmerksamkeit und gesunde Skepsis reduzieren das Risiko, Opfer von Social Engineering zu werden.
Damit sich die Mitarbeiter sicherheitsbewusst verhalten, müssen sie allerdings das Gefahrenpotenzial kennen und eine persönliche Betroffenheit spüren. Wer einmal live erlebt hat, wie schnell ein sechsstelliges Passwort geknackt ist, der wird die Richtlinie zur Passwortsicherheit nicht mehr infrage stellen.

Die Sensibilisierung erfolgt durch klassische Security-Awareness-Maßnahmen wie Präsenztrainings, Online-Trainings, Hacking Days, Videos und vieles mehr. Die wichtigste Botschaft: "Hören Sie auf Ihr Bauchgefühl und melden Sie verdächtige Vorkommnisse." Denn nur wenn potenzielle Angriffe an die IT gemeldet werden, können die Unternehmen reagieren, Abwehrmaßnahmen einleiten und somit den Schaden reduzieren.

Ohne Führungskraft keine Sicherheit

Sicherheitsbewusstes Verhalten bedeutet meist zusätzlichen, wenn auch kleinen, Aufwand: den PC sperren, E-Mails verschlüsseln, vertrauliche Unterlagen wegsperren und so weiter. Wenn der Chef das nicht macht, warum sollten es dann die Mitarbeiter tun? Führungskräfte haben gerade in Bezug auf Sicherheit eine Vorbildfunktion und sollten sicherheitsbewusstes Verhalten entsprechend vorleben. Deshalb erhalten Führungskräfte auch eine "Sonderbehandlung" bei der Sensibilisierung.