[Teil 2] Cybersecurity – Der Mensch

Viele Angriffe gegen IT-Systeme werden nicht direkt gegen die eigentlichen Systeme der Organisation gefahren, sondern über Menschen ausgeführt. Daher ist es wichtig die Mitarbeiter für mögliche Angriffe zu sensibilisieren und in Schulungen die Art der Angriffe zu vermitteln.

Email Phishing 

Beim E-Mail Phishing wird dem nichtsahnenden Opfer eine vermeintlich interessante, auch private E-Mail, geschickt. Es wird vorgegeben, dass die E-Mail vom Paketdienst oder der Bank käme, von eBay abgeschickt wurde oder das PayPal der Absender sei.

Immer wird mit negativen Folgen gedroht, wenn der Empfänger nicht sofort reagiert, den Anhang der E-Mail nicht öffnet oder einem Link nicht folgt. Typische Drohungen sind:

  • Sperrung des Kontos
  • Verlust eines Paketes
  • Kein Geldempfang über PayPal
  • Amazon hat eine Rückfrage

Die Liste könnte endlos fortgeführt werden. Da viele Menschen wirkliche Beziehungen zu den Unternehmen haben, deren Absender missbraucht werden, ist der Reiz groß, die E-Mail oder den Anhang zu öffnen.

Gegenmaßnahmen E-Mail Phishing 

Die Mitarbeiter müssen in Schulungen über die Gefahren aufgeklärt werden. Jeder Empfänger einer E-Mail kann erkennen, ob es sich um eine gefälschte E-Mail handelt und sich vorsichtig verhalten. Grundsätzlich gilt, dass Banken niemals per  E-Mail Daten erfragen oder zu einem Login aufrufen. Wenn sich AGB der Banken ändern, wird ein Hinweis per E-Mail geschickt aber es gibt keinen Login Link. Der Kunde muss sich regulär in sein Konto einloggen. Im Zweifel muss die Bank zur Klärung angerufen werden.

Aber an welchen Merkmalen erkenne ich eine Phishing E-Mail?

  • Schlechte Grammatik
  • Falsche Rechtschreibung
  • Umlaute fehlen. Jede deutsche Sparkasse hat auch deutsche Zeichensätze
  • Falsche, aber ähnliche Adressen: amazon.de <-> amazones.de (Nur als Beispiel)

Private E-Mails auf dienstlichen Rechnern kann verboten werden. So gefährden die privaten Phishing E-Mails nicht die Dienstgeräte. Der Einsatz von Viren- und Spam-Filtern ist dringend geboten. Weitere technische Maßnahmen werden in einem späteren Teil besprochen.

Diebstahl von Laptops und Telefonen 

In der mobilen Welt zwischen Büro und Homeoffice werden Laptops und Telefone jeden Tag transportiert.“. Mitarbeiter sind auf dem Weg zur Arbeit vielen Gefahren ausgesetzt, ganz unterschiedlich je nach Verkehrsmittel. Jeder Mitarbeiter muss sorgfältig mit den Dienstgeräten umgehen und sie vor Verlust schützen. Unachtsamkeit (Tasche im Bus vergessen) ist mindestens so gefährlich wie Diebstahl durch Dritte.

Wenn ein Gerät abhandenkommt, muss der Mitarbeiter unverzüglich seinen Arbeitgeber informieren. Der Arbeitgeber muss sicherstellen, dass diese Meldung unverzüglich bearbeitet wird und nicht im Tagesgeschäft untergeht.

Selbstverständlich müssen auch in Büro und Homeoffice die Geräte geschützt werden. Bei Einbrüchen sind teure elektronische Geräte eine bevorzugte Beute und so können vertrauliche Daten in fremde Hände gelangen.

Gegenmaßnahmen Diebstahl

Wenn es zum Verlust von Geräten kommt, müssen mindestens die Daten gut geschützt sein. Der Finder oder Dieb darf keinen Zugriff auf die Daten erlangen. Daher sind technische Maßnahmen zu ergreifen und es ist regelmäßig zu prüfen,  ob  die Daten des Unternehmens und der Kunden vor fremden Augen verborgen sind.

  • Alle Laptops und Standrechner müssen über eine verschlüsselte Festplatte verfügen. So wird verhindert, dass bei einem Diebstahl wichtigen Daten in falsche Hände geraten.
  • Laptops müssen auf dem Weg zwischen Büro und Wohnort oder einem Kundenbüro ausgeschaltet werden. Einfaches Zuklappen aktiviert die Festplattenverschlüsselung nicht vollständig und reicht daher nicht aus.
  • Standrechner sind nach Feierabend auszuschalten, damit auch bei diesen Rechnern die Festplattenverschlüsselung aktiv ist.
  • Alle Daten müssen auf einem zentralen Backupgerät liegen.

Phishing Anrufe

Ein beliebter Trick von Angreifern ist die persönliche Kontaktaufnahme mit dem Opfer per Telefon. Der Anrufer gibt sich als Mitarbeiter der IT aus und bittet um das Passwort des Users. Angeblich würde das bei der Diagnose eines Fehlers helfen, wird dem ahnungslosen Opfer vorgespielt. So oder ähnlich wird der User zu einer unbedachten Aktion verleitet. Diese Technik nennt man auch „Social Engineering“.

Mitarbeiter müssen klare Regeln kennen, die diese Form des Angriffes unmöglich machen.

Gegenmaßnahmen Phishing-Anrufe

Nur Aufklärung im Vorfeld und klare Regeln, an die sich Mitarbeiter und Techniker halten, schützen vor dieser Form des Angriffes.

Regeln für Mitarbeiter und Techniker:

  • Die Telefonnummer, von der der IT-Support anruft, ist vorher bekannt. Anrufe von unbekannten Telefonnummern werden dem Security Team gemeldet.
  • Der IT-Support benötigt die Passworte von Mitarbeitern nicht, Test und Diagnose erfolgen auf anderen Wegen.
  • Wenn der IT-Support doch die Hilfe eines Users benötigt, gibt es einen persönlichen Kontakt vor Ort oder per Videokonferenz. Der Mitarbeiter kann den IT-Support so leicht identifizieren.
  • Banken rufen nicht an, um Zugangsdaten zu erfragen.
  • Onlineportale (Amazon, SAP, Salesforce, etc.) rufen nicht an, um Passworte zu erfragen.

Die Liste ist nicht abschließend und soll individuell ergänzt werden.

USB-Hacking

Öffentliche Ladestationen für USB-Geräte (Telefon, Tablet, Kindle Reader, Kopfhöhrer, etc.) werden immer beliebter und sind heute leicht zugänglich. An Flughäfen und Bahnhöfen sind die Ladestationen zu finden, aber auch an Parkbänken und in Bussen und Bahnen.

Ein USB-Kabel besteht aus Daten- und Stromleitungen. Für das Laden werden die Datenleitungen nicht benötigt, sind aber offen und aktiv, wenn sie nicht geschützt werden. Eine manipulierte USB-Ladestation kann von Angreifern genutzt werden, um das Opfer zu hacken. Entweder werden Daten vom Gerät entwendet oder es werden Schadprogramme aufgebracht.

Gegenmaßnahmen USB-Hacking

Es gibt USB-Adapter, die die Datenleitungen des USB-Kabels blockieren und nur die Stromleitungen offenlassen. So wird effektiv ein Angriff verhindert.

Das Laden über das 230V-Netzteil an einer regulären Steckdose schützt ebenfalls vor Angriffen.

Wer von zuhause eine Powerbank mit Strom mitbringt, kommt gar nicht erst in die Not, eine öffentliche Ladestation nutzen zu müssen.

Man sollte das Haus immer nur mit vollständig geladenen Geräten verlassen. Auch so wird verhindert, dass man unterwegs eine USB-Ladestation benötigt. Freunde und auch Geschäftsfreunde stellen gerne während des Besuches einen USB-Port zur Verfügung.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen