• IT-Karriere:
  • Services:

Wie Sophos Emotet-Angriffen intern begegnet

Wisniewski: Die meisten Emotet-Infektionen richten erst nach 24 bis 72 Stunden größere Schäden an. Bei der initialen Infektion mit Emotet erstattet die Schadsoftware den Angreifern erst einmal Bericht. In den darauffolgenden Stunden werden Payloads nachgeladen, meist Trickbot oder Dridex, deren Aufgabe es vor allem ist, Zahlungsdaten zu stehlen. Das ist zwar schlimm, aber richtig schlimm wird es erst ein, zwei Tage später, wenn die Angreifer Zeit hatten, die Angriffsberichte durchzusehen und eine Ransomware nachzuladen - mitsamt einer Lösegeldforderung in Millionenhöhe. Kurz gesagt: Du hast bei fast allen solchen Angriffen ein Zeitfenster, in dem du agieren kannst.

Stellenmarkt
  1. afb Application Services AG, München
  2. Berliner Stadtreinigungsbetriebe (BSR), Berlin

Golem.de: Wie begegnet Sophos dem Problem?

Wisniewski: Wir haben angefangen, neben der Fehlerrate die Melderate zu messen. Wenn wir die Melderate auf 30 Prozent bekommen, bedeutet das, dass uns Kriminelle nur drei E-Mails senden können, bevor wir eine Warnung bekommen und wissen, was wir jagen müssen. Wir bewerten und messen unsere Abteilungen getrennt und fördern sie je nach Bedrohung. Bei unseren Führungskräften sind wir beispielsweise bei einer Melderate über 50 Prozent. Denn wenn unsere Führungskräfte auf eine Phishing-Mail hereinfallen, ist das ein deutlich größeres Problem, als wenn der Support auf eine klickt.

Golem.de: Sie fördern Ihre Abteilungen gezielt - also doch Trainings?

Wisniewski: Ja, aber wir verteilen die Trainings nach dem Bedrohungslevel. Das Budget ist ja immer beschränkt. Statt für alle ein bisschen Geld für einen automatisierten Test auszugeben, fördern wir vor allem die besonders gefährdeten Abteilungen. Die Gefahr ist nicht gleich verteilt, warum sollten es dann die Sicherheitsmaßnahmen sein?

Die wichtigste Gruppe bei Sophos sind die Mitarbeiter, die Software oder AV-Signaturen veröffentlichen können, sowie Führungskräfte. Wenn diese Mitarbeiter kompromittiert werden, könnte das das Ende für die Firma sein. Wenn wir als Sicherheitsfirma Updates an unsere Kunden verteilen, die diese infizieren, dann können wir dichtmachen. Die Mitarbeiter bekommen daher deutlich teurere Trainings mit Einzelunterricht, Hands-on-Training mit Beispielen und Demonstrationen, die ihnen zeigen, warum das für das Unternehmen essenziell ist.

Golem.de: Wie gehen Sie mit den anderen Abteilungen um?

Wisniewski: An zweiter Stelle kommen bei uns die Personal-, die Finanz- und die interne Support-Abteilung, da diese dauernd Bewerbungen oder Rechnungen öffnen müssen. Bewerbungen dürfen die Personaler beispielsweise nur in einer virtuellen Box öffnen. Wenn sie etwas Verdächtiges sehen, sollen sie es sofort melden. Die Support-Leute wiederum können am Telefon hereingelegt werden, denen müssen wir beibringen, wie sie die Identität ihrer Kollegen verifizieren, bevor sie beispielsweise deren Passwort zurücksetzen. Am Ende gibt es dafür keinen technischen Schutz. Wenn sich die Mitarbeiter nicht an den erlernten Prozess, an die Firmenrichtlinien halten, werden wir scheitern.

Das alles kostet eine Menge Geld, in anderen Abteilungen machen wir weniger intensive Trainings. Wenn die Verkäufer kompromittiert werden, beschäftigt mich das, da die Angreifer Zugriff auf Kundendaten haben, was ich zudem melden muss. Das wäre ein schlimmer Schlag, würde uns aber nicht außer Gefecht setzen. Ich bin bereit, dieses Risiko zu tragen, wenn ich dafür die besonders gefährdeten Abteilungen absichern kann. Das ist ein Weg im Umgang mit Social Engineering und Phishing im Speziellen, den wir einschlagen müssen. Ein risikobasierter Umgang. Niemand hat genügend Budget - also müssen wir einen effizienten Weg finden, wie wir unsere Firma mit den vorhandenen Mitteln möglichst weitgehend schützen können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Social Engineering: "Die Mitarbeiter sind unsere Verteidigung"
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 67,89€ (Release: 19.11.)
  2. 20,49€
  3. 77,97€ (Release 19.11.)
  4. 59,99€

JgdKdoFhr 15. Nov 2019

Die Kaperung von Mailkonten ist ein ganz anderes Thema. Mir geht es hier ausschließlich...


Folgen Sie uns
       


    •  /