PHISHING-LEKTIONEN: PHISHING IM EIGENEN DATEISYSTEM?

Wie ich bereits in vielen Blogs erwähnt habe, verwenden Hacker in den meisten Fällen keine ausgefeilten Methoden, um auf Unternehmensserver zu gelangen. Schwache Passwörter, die leicht zu erraten sind, oder Hintertüren, die nach dem Kauf der Software nicht geschlossen wurden, stellen leichte Angriffsziele dar. Könnte es einfacher sein? Warum fragen Sie nicht gleich die Angestellten selbst nach deren Passwörtern!

Ich beziehe mich selbstverständlich auf Phishing-Angriffe, in denen E-Mails mit persönlichen Informationen verwendet werden, die Hacker bei früheren Erkundungsgängen gesammelt haben. Diese E-Mails werden ziemlich offiziell formuliert und kommen allem Anschein nach von Banken oder Kreditunternehmen, bei denen der Empfänger Konten (und Geld…) hat. Neuerdings zählen aber auch Online-Dienste, die E-Mails, Dateien oder Informationen zur Person speichern, zu den vermeintlichen Absendern.

Dabei ist das Ziel, die Opfer in einem schwachen Moment zu erwischen, sodass diese beim Durchsuchen ihres Posteingangs auf den Link klicken, der sie auf eine unrechtmäßige Website weiterleitet. Umso mehr Daten den Hackern zur Verfügung stehen, umso besser für den Betrüger.

Häufig konzentrieren sich Hacker auf hochwertige Ziele, und diesem Betrugsansinnen sind bereits viele Angestellte in leitenden Funktionen und Führungspositionen zum Opfer gefallen. Dabei geht es überwiegend darum, möglichst viele IP-Daten oder andere vertrauliche und idealerweise kritische Informationen zu gewinnen.

Eine Möglichkeit zur Verminderung dieser Angriffe auf betriebsinterne Insider besteht in umfassender Aufklärung. Einige Unternehmen haben in diesem Zusammenhang einen interessanten und provokativen Ansatz implementiert: Ein CEO bei einem großen Medienunternehmen, der selbst zum Opfer einer solchen Phishing-Mail wurde, begann Phishing-Mails an seine eigenen Angestellten zu schicken, um deren Empfänglichkeit dafür zu testen.

Dabei fand er heraus, dass 58 % der Personen, die diese Phishing-E-Mails öffneten, angebissen haben und tatsächlich auf den Link klickten. Von den Ergebnissen enttäuscht, entschied er sich dazu, diese Erfahrung in eine Lektion zu verwandeln: Er schickte eine E-Mail an alle Angestellten des Unternehmens, informierte sie über das Ergebnis seines Tests und forderte ausdrücklich eine größere Sorgfalt ein.

Gibt es ein ähnliches Experiment, das im Rahmen der Dateisicherheitsszenarien aus diesem Blog durchgeführt werden könnte – d. h. empfindlicher Inhalt mit „Jeder“-Berechtigung?

Ich glaube, dass eine sicherheitsbewusste Führungskraft eine Datei auf einem viel genutzten Ordner des Unternehmensservers einschleusen könnte, die beispielsweise einen entsprechenden Namen trägt, wie „Streng vertraulich: Die Ergebnisse unseres geheimen Dharma-Projektes“ [oder tragen Sie hier Ihren eigenen Lock-Namen ein]. Geben Sie dieser Datei dann allgemeine Zugriffsrechte und warten Sie ab, was passiert.

Varonis DatAdvantage bietet übrigens viele Ansatzpunkte für eine solche Studie: Anzahl der Angestellten, die auf Dateien zugreifen, die Menge der Dateien, auf die zugegriffen wird, die Häufigkeit der Zugriffe, die Namen der Angestellten etc. Dabei kann Varonis DatAdvantage Sie sogar in Echtzeit über Vorfälle informieren – betrachten Sie es als den „Honigtopf“ der Dateisysteme.

Unternehmen, die ein solches Phishing-Experiment durchführen und die Resultate mit ihren Mitarbeitern teilen, erreichen mehr als nur Aufklärung darüber wie man vertrauliche Daten erkennt: Es könnte Teil eines allgemeinen Programms zum Schutz der IP werden. Sollte die Verletzung eines Geschäftsgeheimnisses vor Gericht enden, wäre die oben beschriebene Vorgehensweise ein handfester Beweis dafür, dass das Unternehmen den IP-Schutz ernst nimmt. Diese und andere Anwendungsmöglichkeiten sind nur der angemessenen Verfahren, mit denen Unternehmen rechtlich nachweisen können, dass sie Geschäftsgeheimnisse schützen.

Mehr Informationen zu diesem Thema sowie einige unerwartete Ergebnisse zu IP-Verstößen finden Sie in einer Umfrage, die wir vor kurzem durchgeführt haben.

The post PHISHING-LEKTIONEN: PHISHING IM EIGENEN DATEISYSTEM? appeared first on Varonis Deutsch.