IT-Sicherheit braucht wachsame Endanwender

Cirosec IT-Defense, Leipzig (II)
IT-Sicherheit braucht wachsame Endanwender
geschrieben von LANline/Dr. Wilhelm Greiner am 06.02.2015

Auf der von Cirosec ausgerichteten IT-Sicherheitskonferenz IT-Defense in Leipzig berichtete Jason E. Street, Spezialist für Social Engineering (Ausnutzen menschlicher Schwächen) und Security Awareness (Sensibilisierung für Sicherheitsfragen), in seinem sehr amüsanten Vortag „Breaking in Bad“ über grundlegende, aber effektive Methoden des Eindringens in die Unternehmens-IT: Sogenannte Advanced Persistent Threats sind laut Street oft gar nicht nötig, ein selbstbewusstes Auftreten und ein USB-Stick mit Malware genügen völlig.

Seite 1 / 3

Wirkungsvoll ist Streets Erfahrung nach ein Auftreten als Techie, PC-Kundendienstmann, Lieferant („Wann haben Sie einen Mitarbeiter eines Lieferdienstes jemals nicht in Haus gelassen?“), Bewerber auf eine offene Stelle, Kunde - oder als jemand, der einfach nur mal so hereinspaziert. Auf diese Weise hat sich White-Hat-Angreifer Street vor Jahren in einer Bank in Beirut innerhalb von nur zwei Minuten und 22 Sekunden vollen Zugriff auf das Banknetzwerk verschafft - als „Auditor für USB-Laufwerke“. In einer anderen Filiale der Bank entwendete er einen PC einfach durch „Reingehen, Abschrauben, Rausgehen“ - ohne von einem Bankmitarbeiter angesprochen zu werden.

 

Jason Streets Tipp für unauffälliges Eindringen: einfach vor der verschlossenen Tür stehen und mit dem Smartphone herumspielen, bis jemand kommt und die Tür öffnet. Notfalls hält man das Smartphone ans Ohr und sagt ins Telefon: „Oh, ist schon OK, hier hat jemand den Schlüssel.“ Denn jemand mit einem Smartphone ist ja sicher wichtig und einer „von den Guten“, und der am anderen Ende der Leitung hätte ihn offenbar auch hereingelassen. Mit diesem einfachen Trick ist Street sogar schon bis in das Finanzamt eines US-Bundesstaats eingedrungen.

 

Über scheinbar Harmlose aufklären
Um solche Angriffe abzuwehren, sei es nötig, die Endanwender über scheinbar harmlose Eindringlinge - online, im Büro wie auch zu Hause - aufzuklären und den Mitarbeitern praktikable Verhaltensweisen aufzuzeigen: etwa unbekannte Besucher direkt anzusprechen oder aber das Sicherheitspersonal zu informieren. Oft wüssten Mitarbeiter nicht einmal, wen sie im Fall eines verdächtigen Fremden anrufen könnten.

 

Die IT sollte die Endanwender laut Street nicht als Teil des Problema, sondern als Teil der Lösung betrachten: „Sie sind das beste IDS, das es gibt.“ (IDS: Intrusion Detection System) Passende Schulungsmaßnahmen sollten laut Fachmann Street durchgängig stattfinden, nicht nur einmal pro Jahr. Fehler sollte ein Unternehmen den Mitarbeitern erkären und hilfreiches Verhalten belohnen. „Angestellte müssen sich wertgeschätzt fühlen, und das Management muss die Sicherheit ernst nehmen“, mahnt der Social Engineer.

 

Seite 1 / 3



Noch keine Bewertungen vorhanden