Beim Thema Cyber-Bedrohungen sprechen wir meist von Kriminellen, welche Unternehmen, aber auch Privatpersonen, angreifen. Ihr Ziel ist es auf illegale Weise Geld zu erwirtschaften. Ein weiter Risikofaktor sind Bedrohungen, die aus fahrlässigem oder böswilligem Verhalten der eigenen Mitarbeitenden entstehen.

Zu den grössten Risikofaktoren gehören gemäss der Studie "Insider Threat 2018 Report" die zu hohe Anzahl von Benutzern mit überhöhten Zugriffsrechten, eine zunehmende Anzahl von Geräten mit Zugriff auf sensible Daten und die sich ständig erhöhende Komplexität der IT.

Gemäss der obengenannten Studie, halten zwei Drittel der Unternehmen böswillige oder versehentliche Insider-Angriffe für wahrscheinlicher als externe Angriffe. Dies dürfte zutreffen, wenn die ungewollte Unterstützung Cyberkrimineller durch Interne mitgezählt werden. Für die Kriminellen zählen Mitarbeiter daher zu den Schlüsseln zum Geld. Oft motivieren sie Interne, aber auch Partner, mittels Social Engineering zum unbewussten Umgehen von Schutzmassnahmen.

Was ist eigentlich Social Engineering?
Social Engineering ist die Kunst, jemanden dazu zu bringen, freiwillig Dinge zu tun, die er oder sie nicht tun will und soll. Kurz, es ist die Kunst das menschliche Betriebssystem zu hacken. Dazu werden menschliche Eigenschaften und antrainierte, gesellschaftlich anerkannte Verhaltensweisen ausgenutzt. So kann ein Angreifer beispielsweise die Hilfsbereitschaft gegenüber einem Lieferanten mit einem schweren Packet ausnutzen, indem er sich selbst als Lieferant verkleidet und behauptet, er müsse das Paket persönlich übergeben.

Eine mögliche Situation könnte sich so abspielen: Kurz vor Feierabend wird ein Mitarbeiter vom vermeintlichen IT-Servicedesk angerufen. Nach dem Feierabend würden alle Geräte neu aufgesetzt und für die Sicherung der privaten Inhalte benötige der Systemadministrator die Login-Informationen. Am nächsten Morgen könne wieder mit dem bestehenden Passwort eingeloggt werden und dann das Passwort aus Sicherheitsgründen geändert werden.
Mit etwas Druck, bald den Feierabend geniessen zu können, der Aussicht auf guten Service und einer freundlichen Stimme bringt der gefälschte Servicedesk-Mitarbeiter die Benutzer dazu Ihr Passwort zu verraten. Man will ja schliesslich auch keine Daten verlieren. Weitere Beispiele sind der Enkeltrickbetrug oder Angriffe mit Phishing-Emails.

Wie kann man sich schützen?
Gegen Innentäter welche, sei es aus Rache gegenüber dem Arbeitgeber oder aus einem anderen Grunde bewusst, Geschäftsgeheimnisse stehlen, helfen beispielsweise gute Geschäftsprozesse, Mit entsprechenden Kontrollen, Funktionstrennung und eine Berechtigungsverwaltung, welche den Zugriff auf Daten dem Need-to-Know-Prinzip einschränkt, ist schon viel getan.

In der Regel hegen die Mitarbeiter keine bösen Absichten gegen das eigene Unternehmen. Aber auch durch unabsichtliches, jedoch fahrlässiges, Verhalten kann es zu internen Cyber-Bedrohungen kommen. Um sich gegen von aussen motivierte  Interne zu schützen, gibt es verschiedene Massnahmen. Am wichtigsten ist wohl, dass Mitarbeiter, Partner, Lieferanten und Kunden sich der Bedrohungen bewusst sind und wissen wie sie darauf reagieren sollen. Zusätzlichen Schutz bieten technische Massnahmen wie Sandboxen zum Test von Emailanhängen oder isolierte Webbrowser zum sicheren Surfen. Im Idealfall werden verschiedene Schutzmassnahmen so kombiniert, dass sie sich wie Zwiebelschalen schützend um die Kronjuwelen der Firma legen.

Multifaktor-Authentifizierung
Vor allem für Web-Dienste bietet die Multifaktor-Authentifizierung eine günstige und effektive Schutzmassnahme. Sie kombiniert zwei oder mehr unabhängige Nachweise für die Zugriffsberechtigung auf ein System:

- Was kennt der Anwender? --> Passwort, Sicherheitsfragen

- Was hat der Anwender? --> Security Token, z.B. Sicherheitskarte, Pin per SMS

- Was ist der Anwender? --> biometrische Verifizierung, z.B. Fingerabdruck, Irisscan

Diese mehrschichtige Hürde macht es Angreifern schwieriger, unautorisiert auf ein System zu zugreifen und an die wertvollen Informationen eins Unternehmens zu gelangen.

Sensibilisierung von Mitarbeitern
Als Präventionsmassnahme wird die Sensibilisierung der Mitarbeitenden in Zukunft eine immer wichtigere Rolle spielen. Die first frame networkers bieten verschiedene Trainings und Workshops zu diesen Themen an. Einerseits bieten wir beispielsweise ein Security Awareness Training an, in welchem die Mitarbeitenden lernen Gefahren zu erkennen und ihre Informatikmittel entsprechend zu schützen. Auch ein Automatisierte Angriffssimulation mit anschliessendem Online-Training sensibilisiert die Mitarbeitenden. Wir helfen Kunden auch verbindliche Sicherheitsrichtlinien (Security-Policy) zu erlassen oder stellen externe Informationssicherheitsbeauftragte zur Verfügung.

Lukas Studer

Nach einer Lehre als Chemielaborant, der Arbeit im Lehrberuf und dem fliessenden Wechsel in die Informatik absolvierte Lukas Studer die Technikerschule Informatik und Netzwerktechnik. Er war als Informatiker bei verschiedenen Outsourcing-Anbietern für Industriebetriebe, Banken und Versicherungen sowie betriebsintern tätig. Mit dem MAS Information Security wechselte er in die interne Revision als IT-Prüfer und erlangte die Zertifizierung zum Certified Information Systems Auditor und das Zertifikat CAS Datenanalyse. Zudem ist er Certified SCADA Security Engineer (CSSE) und als CISO für die ISO-Zertifizierungen der first frame networkers ag zuständig.

Lukas Studer