SECUTAIN-Blog

Ein Blick zurück auf 2019

Wenn ein Jahr zu Ende geht, bli­cken wir ger­ne zurück. Aus dem Blickwinkel der Informationssicherheit fal­len zwei Dinge auf: Schädliche E‑Mails stel­len nach wie vor die größ­te Gefahr dar – im Privaten als auch in der Firma. Auch in die­sem Jahr sind gro­ße Datenlecks dar­auf zurück­zu­füh­ren, dass die abso­lu­ten Grundlagen für den sorg­sa­men Umgang mit Informationen nicht ein­ge­hal­ten wor­den oder Mitarbeiter nicht acht­sam genug agierten.

In Deutschland sorg­te Anfang des Jahres der soge­nann­te Doxing-Hack für Schlagzeilen. Dabei wur­den pri­va­te und inti­me Informationen von fast 1.000 Politikern, Journalisten und Prominenten veröffentlicht.

Wie sich her­aus­stell­te, war die Vorgehensweise, an die­se Daten zu gelan­gen, kei­ne moder­nen tech­ni­schen Angriffe, son­dern viel­mehr Beharrlichkeit, Geduld und Akribie. Der unbe­dach­te Umgang mit Passwörtern oder die mehr­fa­che Nutzung von schwa­chen Passwörtern führ­ten zu dem erfolg­rei­chen Angriff.

Durch das Eindringen in E‑Mail-Konten und WhatsApp-Zugänge wur­den nicht nur sen­si­ble Informationen der Konteneigner gestoh­len, son­dern auch von den Personen, mit denen sie im Kontakt stan­den. Als die Mobilnummer des Politikers Christian Lindner ver­öf­fent­licht wur­de, haben Neugierige ihn auf WhatsApp kon­tak­tiert, um her­aus­zu­fin­den, ob die Nummer tat­säch­lich kor­rekt ist:

Was ler­nen wir daraus?

  1. Wir tra­gen nicht nur Verantwortung für den Schutz unse­rer Daten, son­dern auch für die derer, mit denen wir kommunizieren.
  2. Starke Passwörter sind wich­tig – immer und überall.

Dass wir die­se Passwörter schüt­zen soll­ten, ver­deut­licht auch die Veröffentlichung von fünf gros­sen Sammlungen von E‑Mail- und Passwort-Kombinationen. So wur­den in den soge­nann­ten Collections 1–5 in die­sem Jahr ins­ge­samt 2,1 Milliarden (ja, Milliarden!) der­ar­ti­ge Kombinationen ver­öf­fent­licht. Ob Deine E‑Mail-Adressen davon auch betrof­fen sind, kannst Du u.a. auf der eng­li­schen Seite https://haveibeenpwned.com überprüfen.

Dieses Jahr hat uns auch gezeigt, dass schäd­li­che E‑Mails nach wie vor ein rie­si­ges Problem dar­stel­len. So wur­de ins­be­son­de­re der deutsch­spra­chi­ge Raum in die­sem Jahr ins­be­son­de­re durch den Virus «Emotet» stark in Mitleidenschaft gezo­gen. Dieser ver­sen­det glaub­wür­di­ge E‑Mails, die bei uns Vertrauen erzeu­gen sol­len. Absender, Signaturen, Betreffzeilen sehen kor­rekt aus und erzeu­gen somit Vertrauen. Ziel ist es, dass wir auf Links kli­cken, damit sich im Nachgang eine Schadsoftware auf unse­rem Rechner instal­liert, die uns erpres­sen möch­te oder Zugangsdaten steh­len will.

Daher prü­fen Sie immer erst, bevor Sie einen Link in einer Mail kli­cken, ob das Ziel des Links ver­trau­ens­wür­dig ist. Aktivieren Sie nur im abso­lu­ten Ausnahmefall Makros von ange­häng­ten Dateien. Trainieren Sie Ihre Mitarbeiter im Umgang mit gefähr­li­chen Mails — bei­spiels­wei­se mit unserem Phishing-Training.

Noch ist der Schaden, der durch Emotet ent­stan­den ist, nicht abschätz­bar – aber die zahlreichen, teils dramatischen Vorfälle, die durch die Medien gingen, zeich­nen ein erschre­cken­des Bild.

2019 hat sehr ein­drück­lich gezeigt, dass sen­si­bi­li­sier­te, acht­sa­me Mitarbeiter ein ent­schei­den­der Faktor für den Schutz von Informationen sind. Wir möch­ten uns bei allen Kunden und Partnern für ein erfolg­rei­ches SECUTAIN-Jahr bedan­ken und wün­schen Ihnen ein siche­res und acht­sa­mes 2020!

Emotet? Ehrlich? Schon wieder?

Es ist Ihnen sicher­lich nicht ent­gan­gen, in den Medien wird vor einer neu­en Welle von E‑Mails mit der Schadsoftware „Emotet“ gewarnt. Was zuerst klingt wie ein alt­ägyp­ti­scher Baumeister oder eine neue Jugendbewegung ist ein äußert per­fi­der Angreifer, der jeden von uns tref­fen kann, wie er in den letz­ten Monaten bereits unter Beweis gestellt hat.

Was tut Emotet?

Emotet liest auf betrof­fe­nen Systemen E‑Mail-Kontakte und sogar aktu­el­le Inhalte von E‑Mails aus und ist so in der Lage, sehr echt aus­se­hen­de Mails zu ver­sen­den, von aktu­el­len Kontakten und sogar mit Bezug zu aktu­el­len Inhalten. So kann es sein, dass eine recht aktu­el­le Mail direkt unten als Mailverlauf ein­ge­fügt wur­de. Das wirkt für den Empfänger also alles sehr über­zeu­gend und erregt wenig Skepsis. Mit einem Klick auf einen Link oder dem Öffnen einer Datei aus dem Mailanhang nis­tet er sich auf Ihrem Computer ein. Dort lädt er dann ande­re Schadsoftware nach, die dann z.B. Ihr Online-Banking aus­späht, Ihre Passwörter abgreift und natür­lich ver­sucht, Ihre Kontakte zu infizieren.

Was Sie tun können.

Das klingt erst­mal aus­sichts­los, aber wie bei allen E‑Mail-gestüt­z­­ten Angriffen hel­fen auch hier erst­mal die wich­ti­gen Grundregeln zur Vorsorge:

  • Halten Sie Ihr Betriebssystem und Ihre Anwendungen aktu­ell, instal­lie­ren Sie Updates und Patches zeitnah.
  • Setzen Sie einen aktu­el­len Virenscanner ein.
  • Erstellen Sie regel­mä­ßi­ge Datensicherungen von Ihrem Computer, damit Sie im Schadensfall alle Daten schnell wie­der­her­stel­len können.

Sicherlich, die­se Maßnahmen schlie­ßen eine Infektion nicht aus, hel­fen aber unter Umständen den Schaden in Grenzen zu hal­ten. Auf Ihren dienst­li­chen Geräten küm­mert sich um all die­se Sachen sicher­lich Ihre IT Abteilung.

Emotet wird nicht der letz­te bös­ar­ti­ge Gast in unse­ren elek­tro­ni­schen Postfächern sein. Die wich­tigs­te Verteidigung gegen die­se Angriffe sind und blei­ben des­halb Sie. Ihre Aufmerksamkeit, ihr Verstand und Ihre Erfahrung sind bes­ser als jeder Virenscanner. Fragen Sie sich bei jeder Mail, bei jedem Anhang und bei jedem Link erneut:

  • Kenne ich den Absender?
  • Erwarte ich die­se E‑Mail?
  • Würde der Absender in die­sem Fall E‑Mail als Kommunikationsmittel wählen?
  • Würde er mich so anspre­chen und anschreiben?
  • Warum ver­sucht die­se Mail eine Reaktion (Öffnen von Dateien, Klicken auf Links) durch mich zu provozieren?
  • Muss ich die­sen Anhang öff­nen bzw. die­sen Link klicken?
  • Auch wenn ein Link auf den ers­ten Blick ver­trau­ens­wür­dig aus­sieht, gibt es irgend­wel­che Auffälligkeiten?
  • Warum möch­te die­ses ver­meint­li­che Word-Dokument jetzt Änderungen an mei­nem System vornehmen?

Fragen Sie im Zweifelsfall beim Absender per­sön­lich nach, ob die­se Mail von ihm stammt. Seien Sie bei allen Arten von Dateien wach­sam, auch bei Office-Dateien oder ande­ren Formaten.

Jede Mail, auch ech­te und wich­ti­ge Kommunikation, wird so zu einem Trainingsinstrument für Sie und stärkt Sie und Ihre Sinne in der Abwehr von Angriffen.

Also: let’s do it!


Persönliches Training

Mehr Sicherheit im Umgang mit gefähr­li­chen Mails gewin­nen Sie mit unse­rem Phishing-Training. Erfahren Sie in simu­lier­ten Angriffsmails, an wel­chen Merkmalen Sie gefähr­li­che Mails erken­nen kön­nen. Mehr Informationen »

Sind Best Practices selbstauferlegtes intendiertes Scheitern? Alles eine Frage der Sensibilisierung.

Sensibilisierung — ein bedeu­tungs­vol­les Wort für eine im wahrs­ten Sinne des Wortes bedeut­sa­me Aufgabe. In die­sem Blog-Beitrag wer­den Sie ler­nen, war­um nur tat­säch­lich sen­si­bi­li­sier­te MitarbeiterInnen dazu bei­tra­gen kön­nen, den Schutzbedarf Ihrer Organisation in Bezug auf Informationssicherheit zu wah­ren. Hier betrifft es ins­be­son­de­re jene Risiken, die auf die Vertraulichkeit, Verfügbarkeit und Integrität Ihrer Daten wir­ken und deren Eintrittswahrscheinlichkeit maß­geb­lich durch mensch­li­ches Handeln Ihrer Belegschaft beein­flusst wird.

Aber wir haben doch ein Informationssicherheitsmanagementsystem und schu­len doch unse­re Mitarbeiter regel­mä­ßig. Reicht das nicht?” wer­den Sie viel­leicht den­ken. Nun, es kommt dar­auf an, was Ihr ISMS abdeckt und was Ihre Schulung am Ende bewirkt.

Bemühen Sie doch ein­mal das PONS Wörterbuch. Sie wer­den sehen, dass das latei­ni­sche Wort “sen­sus” eine Vielzahl von Deutungen zulässt und die alten Römer eine Menge mehr als nur “Wissen” oder “Können” mein­ten, wenn sie an “sen­sus” und viel­leicht auch Sensibilisierung dachten:

Denn sen­sus meint auch Dinge wie (Sinnes-)Eindruck, (Sinnes-)Wahrnehmung, Sinnesorgan, Besinnung, Bewusstsein, Verständnis, Urteil(sfähigkeit) und sogar inne­re Anteilnahme.

Wenn Sie dem­nach MitarbeiterInnen im wahrs­ten Sinne des Wortes sen­si­bi­li­sie­ren möch­ten, dann müs­sen Sie es schaf­fen, deren inne­re Haltung, Einstellung und Grundhaltung für Ihr Thema in der Art nach­hal­tig posi­tiv zu beein­flus­sen, dass die Augen und Ohren sowie die inne­re Geisteshaltung Ihrer geschul­ten MitarbeiterInnen geeig­net und wil­lens sind, Informationssicherheitsereignisse zu erken­nen, bevor die­se zu Informationssicherheitsvorfällen werden.

Und genau dar­um geht es doch eigent­lich, oder?

Nun sagen Sie viel­leicht: “Papperlapapp — Schulung reicht uns, Augen und Ohren der Organisation brau­che ich nicht für mein ISMS. Wir unter­wei­sen und ver­pflich­ten alle MitarbeiterInnen auf die bestehen­den Maßnahmen und Richtlinien. Und wenn sich alle dran hal­ten, dann sind wir com­pli­ant und damit safe. Wer sich nicht dran hält, fliegt raus”.

Kann man machen, ist aber Mist.

Denn Ihr ISMS kann nur jene Maßnahmen“managen”, für die Sie die zugrun­de­lie­gen­den Risiken erkannt und ein­ge­stuft haben. Was aber ist mit den Risiken, von denen Sie nicht mal im Ansatz wis­sen, dass Sie nicht wis­sen, dass es sie gibt. Donald Rumsfeld nann­te die­se (wenn auch in einem ande­ren unschö­nen Kontext) die “unknown unknowns”.

Und Ihr ISMS ori­en­tiert sich mit Sicherheit an Best-Practices, die Ihren MitarbeiterInnen Leitlinien im (siche­ren) Umgang mit (schüt­zens­wer­ten) Informationen lie­fern. BSI-Grundschutz und ISO27xxx beinhal­ten sol­che Best-Practices. Leider sind Best-Practices jedoch immer auch Past-Practices.

Und genau hier dro­hen zwei laten­te Gefahren:

Erstens wird Ihr ISMS immer Lücken haben (“unknown unknowns”). Sonst bräuch­te es ja im Sinne des PDCA-Zyklus auch kei­ne ste­te Verbesserung des selbigen.

Und zwei­tens wird es immer böse Menschen geben, die sol­che Regelsysteme und deren (Best-)Practices wie ihre Westentasche ken­nen und damit in der Lage sind, das Radar Ihres ISMS bewusst zu unterfliegen.

In einem sehr inter­es­san­ten Beitrag von 2013 fass­te Ortmann unter dem Titel “Noch nicht / nicht mehr — Zur Temporalform von Paradoxien des Organisierens” diver­se Ursachen für das Scheitern von Organisationen zusam­men. Eine die­ser Formen cha­rak­te­ri­sier­te er als inten­diert und selbst­auf­er­legt. In die­se Kategorie las­sen sich aus Best-Practices ein­ord­nen. Organisationen schei­tern mit und wegen ihrer sich selbst auf­er­leg­ten Regelwerke.

Das klingt para­dox — und genau dar­um geht es in Ortmanns Artikel und in die­sem Blog-Beitrag. Denn wenn sich eine Organisation Handlungsrichtlinien wie ein ISMS auf­er­legt, dann Scheitern die Akteure (MitarbeiterInnen) der Organisation (in Bezug auf Informationssicherheit) zum einen dann, wenn die Handlungsrichtlinien kei­ne Orientierung und/oder Anschlussfähigkeit mehr bie­ten. Sprich: für ein kon­kret ein­tre­ten­des “unknown unknown” exis­tiert schlicht kei­ne Regel. Es feh­len Anweisungen, wie man sich nun zu ver­hal­ten habe. Dadurch wer­den Mitarbeiter im kon­kre­ten Fall auf­grund ihrer hohen antrai­nier­ten Regelaffinität hand­lungs­un­fä­hig. Das ist das Schlimmste, was im Falle aku­ter Gefährdung Ihrer Informationssicherheit pas­sie­ren kann.

Und zum ande­ren kön­nen trotz kon­se­quen­ter und kor­rek­ter Anwendung aller Regeln Bedrohungen dann nicht erkannt wer­den, wenn bspw. Human Hacker die Best Practices Ihres ISMS genau ken­nen und sich durch ver­meint­lich regel­kon­for­mes Handeln in der Organisation trotz schäd­li­chen Verhaltens nicht zu erken­nen geben. Social Engineering öff­net ver­meint­lich gut ver­schlos­se­ne Türen mit mani­pu­la­ti­ven Techniken nahe­zu geräusch­los und Informationssicherheitsvorfälle gesche­hen unbemerkt.

Hier wird der Bedarf an sen­si­bi­li­sier­ten MitarbeiterInnen deut­lich. Denn in bei­den Fällen hel­fen MitarbeiterInnen nicht, die ledig­lich geschult, unter­wie­sen und ver­pflich­tet wurden.

Sie brau­chen in bei­den Fällen sen­si­bi­li­sier­te MitarbeiterInnen. Denn in bei­den Fällen braucht Ihre Organisation wach­sa­me Augen und Ohren, die durch inne­re Anteilnahme intrinsisch moti­viert Auffälligkeiten und Anomalien erken­nen und kom­mu­ni­zie­ren. Und Sie brau­chen eine Belegschaft, die im Falle von “unknown unknowns” beson­nen (das Wort steckt übri­gens auch in “sen­sus”) agiert und sich bei Fehlen kon­kre­ter Handlungsanweisungen und Regeln “sinn­ge­mäß” (also im Sinne des ISMS und Ihrer Sicherheitspolitik) verhält.

Sensibilisierung ist also etwas ande­res als eine Schulung. Das BSI und die ISO27xxx for­dern bei­des. Schulung und Sensibilisierung. Das hat sei­nen Sinn und ist gut so. Vielleicht wis­sen BSI und ISO ja auch um die­se orga­ni­sa­tio­na­le Schwachstelle von Best-Practices.

Möchten Sie mehr über unse­re didak­ti­schen Konzepte zur nach­hal­ti­gen Sensibilisierung von MitarbeiterInnen erfah­ren? Dann kommen Sie auf uns zu. Wir stel­len Ihnen unse­ren Ansatz gern im per­sön­li­chen Gespräch vor.