Phishing-Attacken als Initialzündung

CW: Welche Erfahrungen haben Sie mit dem Modell der Eigenverantwortung gemacht?

LÜDERS: Ich gebe Ihnen auch hier wieder ein Beispiel. Im Jahr 2008 hatten wir mehrere groß angelegte Phishing-Attacken gegen unsere Mitarbeiter und Gastnutzer. Eine dieser Kampagnen beispielsweise richtete sich gleich gegen 1500 unserer Mitarbeiter, von denen immerhin 40 auf die Mail hereingefallen sind. Wir haben dann versucht, herauszufinden, wer diese 40 waren. Klassifizieren konnten wir sie nicht - es waren nicht nur ältere, nur jüngere oder nur weniger intelligente Mitarbeiter, wie immer sie letzteres auch messen wollen. Es waren nicht nur die Männer, die Frauen, die Physiker oder die Techniker. Nein, diejenigen, die auf die Phishing-Mails reagierten, taten dies ohne böse Absicht einfach aus einer bestimmten Situation heraus. Sie waren gerade beschäftigt, bekamen eine Mail vom Absender "Webmail IT-Service", in der sie nach Ihrem Passwort gefragt wurden, kamen der Aufforderung nach und hatten die Mail damit abgearbeitet. Erst im Nachhinein wurde ihnen klar, dass sie hereingelegt worden waren.

Diese Phishing-Attacke aus dem Jahr 2008 war die Initialzündung für uns, Sicherheits-Kampagnen und Trainings anzubieten - mit dem Ergebnis, dass wir heute aus einem Pool von rund 22.000 E-Mail-Konten am CERN pro Monat nur noch zwei bis drei Accounts in dem Sinne verlieren, dass dessen Accounts missbraucht worden sind. Größtenteils durch Phishing-Angriffe oder auch durch kompromittierte Universitäts-Rechner, an denen sich Studenten remote am CERN einloggen und dadurch ihr Passwort unbewusst preisgeben. In beiden Fällen handelt es sich aber erwiesenermaßen fast ausschließlich um neue Mitarbeiter, die noch an keinem unserer Trainings teilgenommen haben.

Von gelben und roten Karten

CW: Was geschieht mit Mitarbeitern, die Sicherheitsvorfälle herbeiführen? Wie sieht Ihr Strafenkatalog aus?

LÜDERS: Wir sind zwar ausgenommen von der Schweizer und der französischen Gerichtsbarkeit, was aber natürlich nicht heißt, dass hier alle machen können, was sie wollen. Es gibt einen Satz an Computing-Regeln am CERN, die zu befolgen sind. Je nachdem, wie stark jemand gegen diese Regeln verstößt, greifen dann verschiedene Eskalationsstufen. In einem einfachen Fall schreiben wir eine nette E-Mail mit einer Verwarnung, in der wir darauf hinweisen, dass so etwas bitte nicht noch einmal vorkommen möge. Das ist unsere gelbe Karte. Die nächste Stufe, die rote Karte, ist die Benachrichtigung des Vorgesetzten und der Personalabteilung. Im fortgesetzten Wiederholungsfall führt das dann natürlich - genauso wie in besonders krassen Angelegenheiten schon beim ersten Mal - dazu, dass Personen ihre Sachen packen müssen und vom CERN verwiesen werden. Alles schon dagewesen.

In der Regel können wir uns aber auf die einfachen gelben Karten konzentrieren. Wenn Ihr Notebook infiziert ist und Sie sich am CERN einklinken wollen, erkennt unser Intrusion-Detection-System das Problem automatisch - meistens zumindest -, trägt den Schädling in unsere Security-Datenbank ein und sendet Ihnen automatisch eine E-Mail-Benachrichtigung. Dort steht drin, dass das nicht das Problem des Computer Security Teams, sondern das des Anwenders selbst ist - außerdem gibt es einen Link zu einer durch die Datenbank automatisch generierten Website, auf der eine Anleitung zur Fehlerbehebung samt Download-Möglichkeiten für Security-Tools, zu finden ist.

Wenn ein Nutzer solch ein Problem wiederholt hat, kommen wir in den roten Bereich. Sein System wird automatisch vom Netzwerk genommen und erst nach einer kompletten Neuinstallation wieder zugelassen.