Egal ob auf Geschäftsreise, im Büro oder Zuhause: Wer an der Spitze eines Unternehmens steht, sollte sich und sein Business schützen - "Awareness First" sozusagen.
Man kann ihn lieben oder hassen, aber es gibt keinerlei Zweifel daran, dass Donald Trump es liebt, zu twittern. Zweifel gibt es allerdings zuhauf, wenn es um die Frage geht, ob die Trump’schen Social-Media-Stürme das ohnehin schon immense Stress- und Belastungslevel des US-amerikanischen Secret Service noch weiter steigern.
IT-Sicherheit im Fokus
Schließlich wird ein immenser Aufwand betrieben, um den US-Präsidenten und sein Gefolge vor Hackern zu schützen. Jeder Tweet, der in irgendeiner Weise als umstritten, feindselig oder reaktionär empfunden wird, könnte das Risiko eines Cyberangriffs auf das Weiße Haus steigern. Larry Johnson, Ex-Secret-Service-Mitarbeiter und CSO bei CyberSponse, gibt Einblicke: "Der Secret Service schützt das Büro des Präsidenten und ist damit auch für den Bereich Social Media zuständig. Egal, was der Präsident sagt, der Secret Service muss seiner Aufgabe nachkommen."
Wut im Bauch? Social-Media-Eskapaden sind für C-Level-Entscheider nicht empfehlenswert. Foto: Joe Seer - shutterstock.com
Manager und Entscheider in Großkonzernen sollten allerdings in ähnlichem Maße auf der Hut sein, wie sie ihr Unternehmen in den sozialen Medien repräsentieren. Wie im Fall des US-Präsidenten geht es in solchen Fällen nämlich nicht nur um den Schutz des Individuums selbst, weiß Johnson: "Ob Secret Service oder IT-Security-Team: Sie schützen das Unternehmen, das Land und alle relevanten Vermögensgüter."
Was ein CEO oder andere Manager eines Unternehmens auf Social-Media-Kanälen posten, kann enorme Auswirkungen auf die IT-Sicherheit im Allgemeinen haben - nicht nur auf die eines Twitter-Accounts. Denn in Sachen Social Media sind (in der Regel) nicht die ausgehenden Messages die, die für Security-Sorgenfalten sorgen, sondern die Reaktionen die sie hervorrufen, wie Johnson klarstellt: "Was eine Bedrohung darstellen könnte, ist das was über das gesagt wird, was gesagt wurde. Jede Bedrohung muss ernst genommen und analysiert werden - ganz im Sinne der Due Diligence."
Die größten Hacks 2016
US-Demokraten Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst.
Dyn Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar.
Panama Papers Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen".
Yahoo Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen.
NSA Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland.
Bitfinex Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch.
Healthcare-Ransomware Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.
Social-Media-Qualitätskontrolle
Darum ist es für Unternehmen auch äußerst ratsam, Richtlinien für Social-Media-Prozesse zu erarbeiten. Schließlich kommen die Bedrohungen aus vielen Richtungen, wie Johnson weiß: "Diese können auch von verärgerten Mitarbeitern oder Wettbewerbern ausgehen, die sich als Mitarbeiter ausgeben. Als Manager oder Entscheider sollte man also keinen Post ohne vorherige Qualitätskontrolle absetzen. Die meisten Unternehmen haben zwar so etwas wie Social-Media-Richtlinien und die CEOs halten sich in der Regel auch daran. Es gibt aber Entscheider, die die sozialen Medien auch aus ganz anderen Gründen nutzen. Sobald das geschieht, besteht auch die Möglichkeit, dass Hacker, Wettbewerber und ‚Widerständler‘ angelockt oder ermutigt werden".
Weil das so ist, sei es unabdingbar, Prozesse zu definieren, so der Experte: "Man muss in der Online-Welt immer Angst haben, das Falsche zu sagen, also braucht es eine Qualitätskontrolle, eine Institution, die die Inhalte überprüft, bevor sie öffentlich gemacht werden und die sicherstellt, dass keine kontroversen Äußerungen enthalten sind, die einen Feuersturm begünstigen". Schließlich, so Johnson, liege es in der Verantwortung der Manager und Entscheider, stets die Reputation ihres Unternehmens zu schützen. Social Media sei in diesem Zusammenhang das Aushängeschild.
Social Engineering: Sind Sie betroffen?
Augen auf im Web Social Engineering stellt auch IT-Profis vor Herausforderungen. Die Methoden der Angreifer sind hinlänglich bekannt - um sich zu schützen gilt aber vor allem: Augen offen halten. Wir sagen Ihnen, welche Anzeichen dafür sprechen, dass Sie bereits von Social Engineering betroffen sind.
.ru ist doch sicher, oder? Eventuell. Allerdings impliziert eine URL die mit .ru endet, bereits eine gewisse Fragwürdigkeit. Deshalb sollten Sie eingehende Links, die nicht auf den ersten Blick als unbedenklich verifizierbar sind, in jedem Fall überprüfen. Dazu empfehlen sich zahlreiche, kostenlose Online-Tools - zum Beispiel URLVoid. Misstrauisch sollten Sie auch bei Shortlinks sein, hinter denen sich eventuell schädliche Webseiten verstecken könnten.
Wenn Ortographie zum Albtraum wird Zeichnet sich eine E-Mail bereits im Betreff durch hanebüchene Rechtschreib-Verbrechen aus, sollten die Social-Engineering-Alarmglocken schrillen.
Eine vertrauenswürdige Quelle Erhalten Sie Nachrichten oder E-Mails von einer auf den ersten Blick vertrauenwürdigen Quelle - zum Beispiel von Kollegen mit einer firmeninternen Adresse -, dann schauen Sie lieber noch einmal ganz genau hin. Um auf Nummer sicher zu gehen, verzichten Sie auf den Antwort-Button und antworten Sie dem Absender einfach mit einer neuen E-Mail.
Quellensuche Teil 2 Ein weiterer Hinweis auf Social-Engineering-"Befall": Ihr Name taucht weder in der Empfänger-Zeile noch im CC-Verzeichnis auf. Auch wenn viele - oder alle - Kollegen im Empfänger-Verzeichnis stehen, sollten Sie ganz genau hinsehen.
Persönliche Daten ... ... per E-Mail anzufragen, ist eine Masche von Cyberkriminellen und Hackern. Kein seriöses Unternehmen wird Sie per E-Mail auffordern, Ihre Bankverbindung, Kreditkarten- oder Adressdaten mitzuteilen. Wer auf eine solche Nachricht antwortet, kann sich darauf einstellen, zum nächsten Social-Engineering-Opfer zu werden.
Passwortwechsel leicht gemacht Einige Hacker sind dazu übergegangen, E-Mails mit gefälschten Password-Request-Links zu versenden. Diese Mails zeichnen sich in erster Linie dadurch aus, dass sie auf den ersten Blick täuschend echt aussehen. Wenn Sie zu einem Passwort-Wechsel per Link aufgefordert werden und sich nicht sicher sind, ob es sich um eine Fälschung handelt, besuchen Sie einfach die Seite des betreffenden Portals, loggen sich ein und ändern das Passwort direkt in Ihrem Account.
Das große Geld Sie wurden zufällig ausgewählt, einen Millionengewinn zu erhalten und alles was zum monetären Glück noch fehlt, ist ein Klick auf den Link in der E-Mail? Dann ist die Wahrscheinlichkeit, dass Sie gerade im Visier von Social-Engineering-Profis sind, extrem hoch. Auch Aufforderungen zu Geldspenden, "Hilferufe" vermeintlicher Bekannter und ähnliche Sachverhalte die Ihnen per E-Mail zugetragen werden, sind in aller Regel das Werk von Cyberkriminellen.
John Wheeler, Research Director bei Gartner empfiehlt Entscheidern daher, sich auf ihren ‚common business sense‘ zu verlassen, um sich selbst und auch ihr Unternehmen vor Sicherheitsbedrohungen zu schützen: "Nutzen Sie für die Kommunikation über sensible Daten abgesicherte Applikationen und Ressourcen und verzichten Sie auf ‚Shadow IT‘-Apps".
Weil speziell E-Mail-Konten relativ einfach kompromittierbar sind, empfiehlt Wheeler zudem, bei allen geschäftskritischen Anweisungen auf eine hinreichende Authentifizierung zu achten: "Erteilen Sie zum Beispiel die Freigabe für Zahlungsanweisungen nicht einfach nur per E-Mail".
Ganzheitliche Security-Awareness
Sich der möglichen Bedrohungen bewusst zu sein, sieht Jeff Horne von Optiv als weiteren Schlüssel zu mehr Sicherheit im Unternehmensumfeld: "Wenn ein Unternehmen in der Öffentlichkeit steht und dabei in irgendeiner Weise negativ wahrgenommen wird, kann sich das Risiko für einen Angriff drastisch erhöhen".
Der Einsatz von Threat-Intelligence-Lösungen sei deswegen zum Schutz von Managern und Entscheidern unabdingbar, versichert der Experte: "Um die richtigen Schutzmaßnahmen zur richtigen Zeit ergreifen zu können, ist es wichtig zu wissen, ob ein Unternehmen bereits angegriffen wurde oder lediglich Hinweise auf bösartige Absichten vorliegen".
Wenn es um Social Media geht, reiche das eigene Bewusstsein über mögliche Bedrohungen allerdings oft nicht aus. Denn viele Entscheider, die in der Öffentlichkeit stehen, haben entweder keine eigenen Social-Media-Konten oder nur solche, die von Seiten des Unternehmens mit immensem Aufwand überwacht werden. Das treibe die Angreifer dazu, neue Wege zu beschreiten: "Wenn ein Hacker herausfindet, dass ein Manager kürzlich zu Besuch in Disneyland war, wird er versuchen, über seine Frau oder seine Kinder an sein Ziel zu gelangen".
Das könne einerseits dazu führen, dass die Entscheider selbst Opfer von raffinierteren, personalisierten und zielgerichteten Phishing-Attacken werden - ein Angreifer könnte etwa eine E-Mail schicken, die vermeintlich von der Schule der Kinder kommt. Andererseits könnten auch die Familienmitglieder selbst zum Opfer werden, weswegen Manager in dieser Hinsicht auch das Gespräch mit ihren Angehörigen suchen sollten: "Sie sollten eventuell die Sichtbarkeit der Facebook-Profile ihrer Kinder so einschränken, dass sie nicht für jedermann sichtbar sind. Dabei kann es auch nicht schaden, grundlegende Dinge über die Sicherheit bei Facebook zu erörtern".
Machen Sie Ihr Security Awareness Training besser
Bestimmen Sie Metriken Seien Sie in der Lage, den Erfolg Ihrer Bemühungen zu belegen. Das können Sie nur, wenn Sie Kennzahlen definieren, bevor Sie Ihr Awareness-Programm beginnen. Möglich sind Fragebögen zum Verhalten in bestimmten Situationen oder Phishing-Simulationswerkzeuge, die einen Angriff vor und einen nach den Trainigsmaßnahmen nachstellen. Ebenfalls lassen sich durch Mitarbeiter ausgelöste Incidents zählen - wie versuchte Besuche gesperrter Websites.
Bleiben Sie flexibel Konzentrieren Sie sich nicht nur auf die Präventionsarbeit. Die Idee der "menschlichen Firewall" ist weit verbreitet, sie kommt aber erst dann zum Einsatz, wenn ein Angriff erfolgt. Warum nicht auch auf "menschliche Sensoren" setzen und bevorstehende Attacken versuchen zu erkennen? Lassen Sie Ihre Angestellten nach Indikatoren Ausschau halten, die einen möglichen Angriff ankündigen. Wenn Phishing-Simulationen stattfinden, sollte man auch darauf achten, wie viele Testteilnehmer den Angriff erkennen und melden.
Lassen Sie Regeln brechen Wer sich nicht an Security-Regeln hält, kann seine eigene Security-Awareness steigern. Das Unternehmen sollte seinen Mitarbeitern ab und zu - nicht regelmäßig, damit es nicht zur Gewohnheit wird - die Freiheit geben, bestimmte Sicherheitsregeln zu brechen - aber nur solche, die keinen unmittelbaren Schaden anrichten. Nur wenn sie die Regel brechen, können die Mitarbeiter erkennen, was passiert, wenn die Regel gebrochen wird und warum es sie letztlich gibt. In einem Gespräch zwischen IT-Sicherheitsteam und Mitarbeitern lässt sich dann gemeinschaftlich nachvollziehen, welchen Zweck eine bestimmte Richtlinie verfolgt.
Wählen Sie einen neuen Ansatz Die meisten Awareness-Programme haben nicht dazu geführt, dass die Mitarbeiter ihr Verhalten geändert haben. Das liegt nach Meinung vieler Experten aber daran, dass sie gar nicht darauf ausgelegt waren, das Verhalten zu ändern - sie sollten einfach nur geltende Compliance-Vorgaben erfüllen. Also wurde wenig in diese Trainings investiert - sowohl finanziell als auch inhaltlich. Nur, wer Gehirnschmalz in die inhaltliche Ausgestaltung seiner Securiy-Trainings steckt, kann das Mitareiterverhalten ändern.
Holen Sie sich Unterstützung vom C-Level Wer die Unterstützung der Entscheiderebene hat, macht seine Security-Trainigs erfolgreicher. Wer ein Awareness-Programm plant, sollte sich zunächst starke Unterstützung von oben holen - und sei es nur mit Worten. Das führt zwangsläufig zu einer größeren Aufmerksamkeit in der Belegschaft, mehr Freiraum in der Ausgestaltung und Unterstützung anderer Abteilungen.
Machen Sie gemeinsame Sache mit anderen Abteilungen Wenn ein IT-Security-Mitarbeiter ein Awareness-Trainingsprogramm aufsetzt, sollte er neben dem Vorstand auch andere Fachbereiche mit ins Boot holen - Personal, Marketing, Legal, Compliance, Datenschutzbeauftragter und Hausverwaltung. All diese Abteilungen haben ein direktes oder indirektes Interesse an dem Thema Security und können bei der Werbung und der Finanzierung helfen. Außerdem haben sie die Möglichkeit, die Trainings für die Mitarbeiter verpflichtend zu machen.
Seien Sie kreativ Wer nicht kreativ ist, kann kein gutes Security-Training anbieten. Dazu könnte beispielsweise gehören, im Rahmen einer Firmenfeier im Eingangsbereich des Gebäudes eine Security-Wand aufzubauen, auf der - neben anderen Dingen - zehn gängige Sicherheitsfehler aufgeführt sind. Die Mitarbeiter, die alle zehn Fehler benennen können, nehmen an einer Verlosung teil.
Setzen Sie sinnvolle Zeitfenster Die meisten Trainingsprogramme laufen über ein Jahr - jeder Monat steht unter einem bestimmten Thema. Besser ist ein 90-Tage-Plan - dadurch werden Inhalte und Ziele jedes Quartal neu auf den Prüfstand gestellt. So sind viele Programme deshalb erfolgreich, weil sie über ein Vierteljahr hinweg jeweils drei Themen parallel behandeln und die Themen dann wieder neu ausgesucht werden. So bleiben Sie auf dem Laufenden.
Wählen Sie einen multimedialen Ansatz Jeder Mitarbeiter bringt andere Voraussetzungen mit, was IT-Sicherheit angeht. Jede/r möchte anders abgeholt werden. Setzen Sie daher auf verschiedenste Kommunikationskanäle, um für das Thema IT-Sicherheit zu sensibilisieren - beispielsweise über Newsletter, Poster, Spiele, Newsfeeds, Blogs, Phishing-Simulationen etc.
Geschäftsreisen ohne Sicherheitsrisiko
Auf Geschäftsreise sollten Manager ebenfalls auf der Hut sein - je nach Land, in das sie reisen, empfehlen sich mehr oder weniger starke Sicherheitsmaßnahmen, wie Horne weiß: "Die gute Nachricht ist: Ein Manager braucht im Ausland in der Regel weniger Applikationen als ein Entwickler. Deswegen können Entscheider in der Regel relativ einfach auf sichere Geräte mit inhärenter Verschlüsselung für den einmaligen Gebrauch ausweichen. Sollten diese Geräte dann - etwa bei einem Überfall - entwendet werden, bleibt der Schaden überschaubar".
In jedem Fall sollten Manager jedoch auf Geschäftsreise darauf verzichten, Dateitransfers über externe Devices wie USB-Sticks durchzuführen - insbesondere solche, die von Dritten stammen. Auch öffentliche WiFi-Netze sollten sie außen vor lassen. Dabei stelle WLAN ganz generell ein Sicherheitsrisiko dar, wie Horne bekräftigt: "Ich bin kein Fan von WiFi - auch nicht für den Hausgebrauch. Ich weiß, dass das Jeder nutzt und mindestens zwei Zugangspunkte zur Verfügung hat. Sie sollten aber dennoch dafür sorgen, dass sie eine gesicherte WLAN-Verbindung nutzen, auf der sämtliche Kommunikation verschlüsselt wird". Das sei nicht immer unkompliziert zu bewerkstelligen, so Horne, der Aufwand zahle sich aber aus.
Manager sind also gut damit beraten, nach den Grundsätzen "Reputation First" und "Awareness First" zu verfahren.
Das Einmaleins der IT-Security
Adminrechte Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
E-Mail-Sicherheit E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Unternehmensvorgaben Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles Kontrolle der Logfiles
Datensicherung Auslagerung der Datensicherung
Sicherheitsanalyse Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten