Abwehr von Hacker-Angriffen

Die erste Verteidigungslinie: Mitarbeiter und Administratoren

Frank von Stetten ist Mitgründer und Senior Consultant der HvS-Consulting AG in München. Seit über zehn Jahren berät er mittelständische Unternehmen und große Konzerne zu Informationssicherheit, Prävention von Industriespionage sowie Sensibilisierung von Mitarbeitern. Nebenbei betätigt er sich als professioneller Spion und simuliert regelmäßig Industriespionage-Angriffe auf Unternehmen. Das geschieht allerdings ausschließlich im Kundenauftrag auf der „guten Seite der Macht“.

Bei der Abwehr professioneller Cyber-Angriffe kommt es auch auf die Unternehmensmitarbeiter als wesentliche Verteidigungslinie an. Denn gerade sie sind oftmals Angriffsziel Nummer eins.

Die Cyber-Angriffsmethoden auf Menschen werden "Social Engineering" oder auch "Social Hacking" genannt. Die Angreifer nutzen typische psychologische Verhaltensmuster wie Neugierde oder Hilfsbereitschaft aus, um sensible Informationen zu erschleichen oder Systeme zu infizieren.

Die Auserwählten: Spear Phishing

Bei Spear Phishing handelt es sich um gezielte Phishing-E-Mails an wenige ausgewählte Opfer. Spear Phishing ist eine sehr erfolgreiche Variante des tool-gestützten Social Engineerings. Die Cyber-Angreifer sammeln gezielt Informationen über bestimmte Personen, beispielsweise in sozialen Netzen oder über gezielte Telefonanrufe. Die "Auserwählten" erhalten dann professionell aufbereitete E-Mails, deren Inhalt typischen Geschäftsvorgängen entspricht und somit Vertrauen erzeugt. Klickt der Empfänger auf den Anhang der E-Mail, infiziert er seinen Computer mit Schadsoftware. Diese ist ebenfalls speziell für diesen Angriff entwickelt und wird daher von Virenscannern oft nicht erkannt.

Der verlorene USB-Stick

Nahezu ebenso erfolgreich wie Spear Phishing ist der USB-Stick. Die Angreifer "verlieren" mit Schadsoftware präparierte USB-Sticks in der Cafeteria, an Raucherecken, vor dem Werkstor oder in Tiefgaragen für Mitarbeiter. Sie vertrauen auf neugierige Menschen, die den USB-Stick in der Regel mitnehmen und an ihren PC stecken, um zu sehen, was sich darauf befindet. Der Spionageangriff auf das Bundeskanzleramt ist ein prominenter Fall für solch einen Angriff.

Wenn der Administrator anruft

Social Engineering kann auch durch persönlichen Kontakt erfolgen. Ein Mitarbeiter erhält einen Anruf von einem vermeintlichen IT-Administrator. Für die Behebung eines dringenden technischen Problems benötigt er angeblich das Passwort. Mit etwas Fachchinesisch und dem Aufbau von Druck ist auch dieser Angriff überdurchschnittlich erfolgreich. Der Angreifer kann mit den Zugangsdaten seines Opfers weiter in das Unternehmensnetz vordringen.

Wissen schützt

Aufmerksamkeit und gesunde Skepsis reduzieren das Risiko, Opfer von Social Engineering zu werden. Damit sich die Mitarbeiter sicherheitsbewusst verhalten, müssen sie allerdings das Gefahrenpotenzial kennen und eine persönliche Betroffenheit spüren. Wer einmal live erlebt hat, wie schnell ein sechsstelliges Passwort geknackt ist, der wird die Richtlinie zur Passwortsicherheit nicht mehr infrage stellen.

Die Sensibilisierung erfolgt durch klassische Security-Awareness-Maßnahmen wie Präsenztrainings, Online-Trainings, Hacking Days, Videos und vieles mehr. Die wichtigste Botschaft: "Hören Sie auf Ihr Bauchgefühl und melden Sie verdächtige Vorkommnisse." Denn nur wenn potenzielle Angriffe an die IT gemeldet werden, können die Unternehmen reagieren, Abwehrmaßnahmen einleiten und somit den Schaden reduzieren.

Ohne Führungskraft keine Sicherheit

Sicherheitsbewusstes Verhalten bedeutet meist zusätzlichen, wenn auch kleinen, Aufwand: den PC sperren, E-Mails verschlüsseln, vertrauliche Unterlagen wegsperren und so weiter. Wenn der Chef das nicht macht, warum sollten es dann die Mitarbeiter tun? Führungskräfte haben gerade in Bezug auf Sicherheit eine Vorbildfunktion und sollten sicherheitsbewusstes Verhalten entsprechend vorleben. Deshalb erhalten Führungskräfte auch eine "Sonderbehandlung" bei der Sensibilisierung.

Zur Startseite