Der Feind in den eigenen Reihen

Typische Fehler

Quelle: Bitkom Research
Kaum ein Mitarbeiter will seinem Arbeitgeber vorsätzlich schaden. Aber bei Stress und hohem Arbeitsdruck ist man weniger aufmerksam und klickt vielleicht auf Dateien in E-Mails, die eigentlich sofort in Quarantäne müssten. «Vor allem, wenn eine E-Mail im Namen des CEOs im Postfach liegt, klicken viele automatisch», bestätigt Christopher Schmid von NTT Data. «Und dann gibt es natürlich ausgereifte Social-Engineering-Attacken, bei denen auch typisch menschliche Eigenschaften ausgenutzt werden: Hilfsbereitschaft – etwa einem unbekannten Kollegen mal schnell die Türe öffnen – oder Angst vor Konsequenzen und Automatismen.
«Phishing nicht zu erkennen und das Wiederverwenden von Passwörtern gehören zu den häufigsten Problemen», weiss Bogdan Botezatu. Gefährlich sei auch das bewusste Ignorieren von Sicherheitspraktiken, etwa indem Mitarbeiter die Antiviren-Lösung vorübergehend deaktivieren, um eine Einschränkung aufzuheben. «Auch die Installation eines Remote-Support-Clients auf einem Firmencomputer, damit sich die Mitarbeiter von ausserhalb des Büros am PC anmelden können, kann die Sicherheit gefährden. Dies führt in der Regel zu Sicherheits­lücken, die Angreifer leicht ausnutzen könnten.» Wie Mitarbeiter mit Unternehmensdaten umgehen, werde ebenfalls leicht übersehen. So sollten Kunden- oder Firmendaten etwa nicht auf öffentliche Cloud-Sharing-Plattformen kopiert werden.
Die zeitlosen Klassiker sind das gedankenlose Öffnen von E-Mail-Anhängen und das leichtfertige Klicken auf Links. Christian Knothe, Head of Security Sales Germany beim britischen TK-Riesen BT, geht noch weiter: «Dazu kommen aber auch Vorfälle, die nicht auf einen Angriff, sondern auf die unbedachte Nutzung und Konfiguration von Systemen zurückgehen. Besonders im Hinblick auf die Nutzung von Cloud-Diensten ist hier noch einiges zu tun.»
“Der Grad der Security-Awareness in Unter­nehmen ist nicht nur eine Frage von Trainings, sondern spiegelt auch die generelle Unternehmenskultur wider.„
Christian Knothe, Head of Security Sales Germany bei BT
Apurba Bhangale ist Senior IT Security Specialist bei Teamviewer. Ihrer Meinung nach gehören schwache Passwörter und die Weitergabe von Passwörtern zu den häufigsten Sicherheitsfehlern, die Mitarbeiter machen. Ebenso kritisch sei es, kostenlose Software aus nicht vertrauenswürdigen Quellen zu installieren oder Anwendungen wie Antiviren- oder Endpoint-Security-Tools nicht ernst zu nehmen. Weitere Sicherheitsrisiken könnten durch die Verbindung mit ungesicherten WLAN-Netzwerken entstehen. Dazu kommt: «Viele melden sich nicht beim IT-Sicherheitsteam, wenn sie etwas Verdächtiges bemerken.»

Social Engineering

Besonders beliebt bei Angreifern ist Social Engineering, also die gezielte Beeinflussung und Manipulation von Mitarbeitern, um sie zur Preisgabe von vertraulichen Informationen zu bewegen. «Social Engineering ist auch deshalb so erfolgreich, weil die Mittel der Angreifer immer besser werden», vermutet Jochen Koehler. «Gerade Entwicklungen wie Deepfakes, also täuschend echte Fakes von Bildern, Videos oder Audiodateien, erhöhen die Gefahren erheblich. Damit können Betrugsversuche per E-Mail oder am Telefon noch besser kaschiert werden, um Zielpersonen zum Öffnen von E-Mail-Anhängen oder zur Preisgabe von Dokumenten zu veranlassen.»
“Gerade Entwick­lungen wie Deepfakes, also täuschend echte Fakes von Bildern, Videos oder Audiodateien, erhöhen die Gefahren erheblich.„
Jochen Koehler Sales Director Security Solutions bei HP
Deepfakes sind quasi der letzte Schrei. Sie basieren auf Deep Learning, einer besonderen Art des Machine Learnings. Die den Deepfakes zugrunde liegenden KI-Algorithmen werden mit grossen Mengen an Bild- und Videomaterial gefüttert. Je mehr Daten von einer Person vorliegen, desto besser und glaubwürdiger fällt das Ergebnis aus. Schon wenige Hundert Bilder der Zielperson reichen aus, um einen plausiblen Deep­fake zu erzeugen. Deepfakes werden bald so gut sein, dass eine Stimme in Echtzeit generiert werden kann. Ein Angreifer kann so direkt mit seinem Opfer interagieren und wie ein Vorgesetzter aussehen oder wie der CEO klingen. Der grundlegende Unterschied zu herkömmlichen Fakes, bei denen etwa der Kopf aus einem Bild in ein anderes Bild eingefügt und retuschiert wird: Deepfakes hantieren nicht mit bestehenden Daten, sondern erzeugen neues Material.
«Wir sind alle Menschen mit Tugenden und Schwächen», sagt Christopher Schmid. «So ist es ein Charakterzug von Menschen, gern zu helfen, auf Druck zu reagieren oder mit Kollegen zu fachsimpeln. Dieses Verhalten machen sich Hacker beim Social Engineering zunutze. Hacker bereiten sich gründlich auf solche Angriffe vor, etwa indem sie Insights im Web oder in Social Networks recherchieren, die sie dann gekonnt im Gespräch oder in der E-Mail einsetzen.»

Andreas Dumont
Autor(in) Andreas Dumont



Kommentare
Avatar
karnickel
17.10.2020
Interessante Zusammenkippung von Sicherheitsthemen. Nur, warum sollte sich jemand mit Phishing Mails und dergleichen befassen, wenn es doch - nach dem Titel des Artikels - um einen "Feind von innen" handelt. Dieser sitzt ja schon im Netz und hat eine interne Absenderadresse. Wahrscheinlich ist hier die Sicht der nicht feindlichen Mitarbeiterinnen und Mitarbeiter gemeint. Unerwähnt bleibt mein Eindruck, den ich von den Unternehmungen insgesamt zu deren Schutz gegen eine eigene, renitente Crew ist. Dieser wird nämlich ausschliesslich per Papiertiger erreicht. Egal ob, wie im Artikel erwähnt, die Belegschaft auf Grund von Fehlern oder absichtlich dem Boss Kosten verursacht, es soll abgesichert sein. Diese zu unterschreibenden Klauseln verschaffen der Unternehmung als Bestandteil des Arbeitsvertrages eine ausgesprochen einseitige Position, um unliebige Typen einfach loswerden zu können. Sollte es zu einem solchen Fall kommen, wäre vermutlich sogar die "Beweisführung" ausgesprochen einseitig: "Unsere IP-Logs haben ergeben...". Es wäre interessant, wie Gerichte bei sowas entscheiden würden. Auch interessant sind Austrittsverträge, die man "Bevor Du nun gehst hier einen Kribel!" unterzeichnet. Dort stehen Floskeln wie: "..damit entfallen sämtliche Rechtsansprüche...". Ganz klar nach Art. 341 OR unzulässig. Der Artikel hier behandelt allgemeine Sicherheitsaspekte im Unternehmen und nicht explizit Angestellte als Bösewichte. Insgesamt habe ich hier einfach den Eindruck, dass der Titel nicht so recht passt.