• IT-Karriere:
  • Services:

Wie Sophos Emotet-Angriffen intern begegnet

Wisniewski: Die meisten Emotet-Infektionen richten erst nach 24 bis 72 Stunden größere Schäden an. Bei der initialen Infektion mit Emotet erstattet die Schadsoftware den Angreifern erst einmal Bericht. In den darauffolgenden Stunden werden Payloads nachgeladen, meist Trickbot oder Dridex, deren Aufgabe es vor allem ist, Zahlungsdaten zu stehlen. Das ist zwar schlimm, aber richtig schlimm wird es erst ein, zwei Tage später, wenn die Angreifer Zeit hatten, die Angriffsberichte durchzusehen und eine Ransomware nachzuladen - mitsamt einer Lösegeldforderung in Millionenhöhe. Kurz gesagt: Du hast bei fast allen solchen Angriffen ein Zeitfenster, in dem du agieren kannst.

Stellenmarkt
  1. MEIERHOFER AG, München, Berlin, Leipzig
  2. Kassenärztliche Vereinigung Niedersachsen, Hannover (Home-Office möglich)

Golem.de: Wie begegnet Sophos dem Problem?

Wisniewski: Wir haben angefangen, neben der Fehlerrate die Melderate zu messen. Wenn wir die Melderate auf 30 Prozent bekommen, bedeutet das, dass uns Kriminelle nur drei E-Mails senden können, bevor wir eine Warnung bekommen und wissen, was wir jagen müssen. Wir bewerten und messen unsere Abteilungen getrennt und fördern sie je nach Bedrohung. Bei unseren Führungskräften sind wir beispielsweise bei einer Melderate über 50 Prozent. Denn wenn unsere Führungskräfte auf eine Phishing-Mail hereinfallen, ist das ein deutlich größeres Problem, als wenn der Support auf eine klickt.

Golem.de: Sie fördern Ihre Abteilungen gezielt - also doch Trainings?

Wisniewski: Ja, aber wir verteilen die Trainings nach dem Bedrohungslevel. Das Budget ist ja immer beschränkt. Statt für alle ein bisschen Geld für einen automatisierten Test auszugeben, fördern wir vor allem die besonders gefährdeten Abteilungen. Die Gefahr ist nicht gleich verteilt, warum sollten es dann die Sicherheitsmaßnahmen sein?

Die wichtigste Gruppe bei Sophos sind die Mitarbeiter, die Software oder AV-Signaturen veröffentlichen können, sowie Führungskräfte. Wenn diese Mitarbeiter kompromittiert werden, könnte das das Ende für die Firma sein. Wenn wir als Sicherheitsfirma Updates an unsere Kunden verteilen, die diese infizieren, dann können wir dichtmachen. Die Mitarbeiter bekommen daher deutlich teurere Trainings mit Einzelunterricht, Hands-on-Training mit Beispielen und Demonstrationen, die ihnen zeigen, warum das für das Unternehmen essenziell ist.

Golem.de: Wie gehen Sie mit den anderen Abteilungen um?

Wisniewski: An zweiter Stelle kommen bei uns die Personal-, die Finanz- und die interne Support-Abteilung, da diese dauernd Bewerbungen oder Rechnungen öffnen müssen. Bewerbungen dürfen die Personaler beispielsweise nur in einer virtuellen Box öffnen. Wenn sie etwas Verdächtiges sehen, sollen sie es sofort melden. Die Support-Leute wiederum können am Telefon hereingelegt werden, denen müssen wir beibringen, wie sie die Identität ihrer Kollegen verifizieren, bevor sie beispielsweise deren Passwort zurücksetzen. Am Ende gibt es dafür keinen technischen Schutz. Wenn sich die Mitarbeiter nicht an den erlernten Prozess, an die Firmenrichtlinien halten, werden wir scheitern.

Das alles kostet eine Menge Geld, in anderen Abteilungen machen wir weniger intensive Trainings. Wenn die Verkäufer kompromittiert werden, beschäftigt mich das, da die Angreifer Zugriff auf Kundendaten haben, was ich zudem melden muss. Das wäre ein schlimmer Schlag, würde uns aber nicht außer Gefecht setzen. Ich bin bereit, dieses Risiko zu tragen, wenn ich dafür die besonders gefährdeten Abteilungen absichern kann. Das ist ein Weg im Umgang mit Social Engineering und Phishing im Speziellen, den wir einschlagen müssen. Ein risikobasierter Umgang. Niemand hat genügend Budget - also müssen wir einen effizienten Weg finden, wie wir unsere Firma mit den vorhandenen Mitteln möglichst weitgehend schützen können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Social Engineering: "Die Mitarbeiter sind unsere Verteidigung"
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 499,99€

JgdKdoFhr 15. Nov 2019

Die Kaperung von Mailkonten ist ein ganz anderes Thema. Mir geht es hier ausschließlich...


Folgen Sie uns
       


Knights of the Old Republic (2003) - Golem retro_

Diverse Auszeichnungen zum Spiel des Jahres, hohe Verkaufszahlen und Begeisterung nicht nur unter reinen Star-Wars-Anhängern - wir spielen Kotor im Golem retro_.

Knights of the Old Republic (2003) - Golem retro_ Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /