Hacker spähen vor einem Angriff auf ein Unternehmen die Ziele inzwischen sehr genau aus und irgend eine Lücke findet sich wohl immer. Schwierig nur, wenn die größte Sicherheits-Schwachstelle als CEO auf dem Chefsessel sitzt, weiß Volker Marschner von Sourcefire.
Ich glaube, es gibt so ziemlich niemanden, der Lust auf schwierige Gespräche hat – egal ob man diese mit Freunden, Familienmitgliedern oder Kollegen führen muss. So wird sich zu Hause beispielsweise kaum jemand drum reißen, dem Sohn oder der Tochter beizubringen, dass der geliebte Hamster gerade das Zeitliche gesegnet hat.
Dies ist jedoch nichts im Vergleich zu der Situation, der sich schon so mancher Chief Security Officer (CSOs) stellen musste. Wenn es nämlich darum geht, dem eigenen CEO zu erklären, wie in aller Welt das eigene Unternehmensnetzwerk gehackt werden konnte – und welcher Schaden dadurch entstanden ist. Noch unangenehmer wird es dann, wenn er seinem wütenden Vorgesetzen im gleichen Atemzug erläutern muss, inwiefern vor allem dessen eigene Handlungen für diese Misere verantwortlich sind und die gesamte Firmenreputation auf’s Spiel gesetzt haben.
KRC Research hat erst kürzlich eine interessante Studie über die Verhaltensweisen und Praktiken von amerikanischen Angestellten in puncto Informationssicherheit veröffentlicht. Diese zeigt auf, dass diejenigen, die aufgrund ihrer Firmenfunktion den breitmöglichsten Zugang zu sensiblen Unternehmensinformationen haben, in der Regel auch am ehesten ein riskantes Nutzerverhalten an den Tag legen.
So haben beispielsweise 87 Prozent der teilnehmenden Senior-Manager zugegeben, schon mal berufliche Dateien an private E-Mail- oder Cloud-Accounts gesendet zu haben. 37 Prozent von ihnen begründen dies mit der Tatsache, lieber den persönlichen PC zu nutzen, weitere 14 Prozent sagen, dass es schlicht zu umständlich ist, den Arbeitslaptop mit nach Hause zu nehmen.
Doch damit nicht genug: 58 Prozent der befragten Senior-Manager haben zudem schon mal aus Versehen sensible Informationen an die falsche Person gemailt – im Vergleich: Level-übergreifend ist das bislang “nur” 25 Prozent der Befragten passiert. Auch interessant: 51 Prozent der Senior-Manager haben schon mal unternehmenseigene Dateien bei einem Jobwechsel mitgenommen. Level-übergreifend war dies hingegen zum Vergleich wieder nur bei 25 Prozent der Befragten der Fall.
Das Problem ist, dass in jedem Unternehmen die C-Level-Entscheider Privilegien haben, über die andere Mitarbeiter nicht verfügen. Das typische Profil eines sogenannten “Level 8”-Executive sieht dazu so aus: er ist ganz oben in der hierarchischen Nahrungskette und deshalb ein besonders interessantes Ziel; er ist meist alles andere als IT-affin; in der Regel sind solche Personen sehr extrovertiert und kontaktfreudig; sie haben weitaus mehr Zugangsrechte als sie eigentlich benötigen; nicht zuletzt versuchen sie all zu oft, angeordnete Sicherheitsmaßnahmen zu umgehen.
Cybercrime-Gangs, die ein bestimmtes Unternehmen im Visier haben, wissen, dass der direkte Weg in ein Unternehmensnetzwerk nicht immer der Beste ist. Deshalb halten sie nach personifizierten “Einfallstoren” Ausschau – und das sind idealerweise genau diese Sorte an “High Prestige/Low Awareness”-Personen.
Eine Methode, die die Gangs anwenden, um sich über C-Level-Entscheider “einzuschleusen”, sind E-Mails. Eine Google-Suche und das Durchforsten der persönlichen Social Media-Accounts gibt leicht Aufschluss darüber, wie der CEO oder CFO tickt und was ihn interessiert. Von da aus ist es ein leichtes, ihm eine thematisch gezielte E-Mail zu schicken, idealerweise von einem ihm bekannten Absender.
Was kann der CSO hier also tun?
Wir als eifrige Internetnutzer wissen schließlich alle, dass wir regelmäßig unsere Passwörter aktualisieren müssen, nicht alles über uns auf Social Media-Plattformen ausposaunen sollten und E-Mails, die von unbekannten Personen kommen, besser ungeöffnet in den Papierkorb schieben.
Nichtsdestotrotz sind Unternehmen leider in der unbequemen Situation, sich nicht mehr die Frage stellen zu müssen, ob sie jemals Ziel einer Cyberattacke werden, sondern vielmehr wann es der Fall sein wird. Ändert sich die Denkweise um die vermeintliche Sicherheit vor virtuellen Übergriffen, schleicht sich vielmehr das Misstrauen gegenüber vermeintlichen Angriffen in die Köpfe der Entscheider – ja, erst dann lassen sich wirklich effiziente Sicherheitsmaßnahmen implementieren. Maßnahmen, die auch dann greifen, wenn die Attacke schon stattgefunden hat. Die im Nachhinein ein erneutes Risiko mindert und den angerichteten Schaden bestmöglich eingrenzt.
Die Wahrheit ist, dass es im Bereich IT-Sicherheit kein goldenes Rezept gibt. Es gibt nicht die Allzweckwaffe, die ein Unternehmen hundertprozentig schützen kann. Cyber-Angreifer werden immer raffinierter und Unternehmen können diesen schlecht jedes Mal einen Schritt voraus sein. Deshalb wird es für Unternehmen auch zunehmend wichtiger, wie sie mit einer Attacke umgehen, nachdem sie eingetreten ist. So können klug überlegte Aufspür-, Abwehr- und Eingrenzmaßnahmen bereits aus einem drohenden Systemausfall ein eher zweitrangiges “Systemhüsteln” machen.
Unternehmen, die dies nicht erkennen, stellen ihre Sicherheitsverantwortlichen auch weiterhin vor unangenehme Situationen. Beispielsweise, wenn diese ihrem Chef beibringen müssen, warum dieser mal besser nicht seine Firewall ausgestellt hätte, bevor er auf seinem beruflichen Laptop eine russische File-Sharing-Seite besucht.