• IT-Karriere:
  • Services:

Social Engineering: "Die Mitarbeiter sind unsere Verteidigung"

Prävention reicht nicht gegen Social Engineering und die derzeitigen Trainings sind nutzlos, sagt der Sophos-Sicherheitsexperte Chester Wisniewski. Seine Lösung: Mitarbeiter je nach Bedrohungslevel schulen - und so schneller sein als die Kriminellen.

Ein Interview von veröffentlicht am
Schützen besser als Sicherheitssoftware: clevere Mitarbeiter
Schützen besser als Sicherheitssoftware: clevere Mitarbeiter (Bild: Oli Scarff/Getty Images)

Das Berliner Kammergericht hat kein Internet mehr und kann nur noch Briefe und Faxe verschicken, E-Mails gehen nicht mehr. Ähnliches erlebte die Kommune Neustadt am Rübenberge (Niedersachsen) und mehrere Unternehmen, die sich mit der Schadsoftware Emotet infizierten. Dafür kann schon ein unbedachter Klick eines Mitarbeiters reichen. Chester Wisniewski arbeitet bei der Sicherheitsfirma Sophos und beschäftigt sich seit 20 Jahren mit Phishing und Spam. Er sieht Mitarbeiter weniger als Bedrohung, sondern als Verteidigungslinie, die Unternehmen fördern sollten. Ganz verhindern ließen sich die Phishing-Angriffe ohnehin nicht.

Inhalt:
  1. Social Engineering: "Die Mitarbeiter sind unsere Verteidigung"
  2. Wie Sophos Emotet-Angriffen intern begegnet

Golem.de: Häufig zielen Cyberangriffe nicht auf die IT, sondern auf den Menschen. Beispielsweise über Telefonanrufe oder Phishingmails. Warum funktioniert das immer noch?

Chester Wisniewski: Nehmen wir beispielsweise Emotet, aktuell die größte Bedrohung im Bereich E-Mail. Im Januar hat Emotet angefangen, die E-Mail-Kommunikation der letzten sechs Monate von infizierten Geräten herunterzuladen - allerdings immer nur die ersten 50 KByte von jeder E-Mail. Anfangs wunderten wir uns - um Informationen zu stehlen, ist das nicht besonders sinnvoll, die sind häufig in den Anhängen. Dann sahen wir, dass Emotet sich in die Konversation einklinkt, auf die E-Mails antwortet. Ich habe E-Mails gesehen, auf die Kunden hereingefallen sind, auf die ich auch hereingefallen wäre - obwohl ich mich seit 20 Jahren mit Spam und Phishing beschäftige.

Golem.de: Wie kann man sich dagegen schützen? Oft werden Trainings vorgeschlagen ...

Stellenmarkt
  1. Universitätsklinikum Augsburg, Augsburg
  2. Allianz Lebensversicherungs - AG, Stuttgart

Wisniewski: Ich glaube nicht, dass man so was mit Trainings verhindern kann. Ich glaube, dass die Trainings, die wir machen, nahezu vollständig nutzlos sind. Ich sollte vorsichtig mit solchen Aussagen sein, weil wir auch Trainings anbieten. Solche Trainings können nichts gegen ausgefeilte Angriffe wie das Einklinken in Konversationen durch Emotet ausrichten, sie helfen gegen klassisches Phishing.

Golem.de: Was läuft denn bisher falsch?

Wisniewski: Beim Phishing werden die Mitarbeiter häufig mit Software wie Phishme oder Sophos Phish Threat trainiert. Dabei werden die Fehlerraten gemessen: Beispielsweise in der Buchhaltung sind 18 Prozent auf die Phishingmails hereingefallen. Im Support 5 Prozent. In der Finanzabteilung 20 Prozent. Das hilft aber nicht wirklich weiter. Menschen fallen aus völlig unterschiedlichen Gründen auf solche E-Mails herein. Manche klicken einfach unverbesserlich auf alles, wieder andere wollen den Phishing-Test schnell abhaken, damit sie in die Mittagspause können und wieder andere sind im Kopf zuhause bei ihrem kranken Kind. Ich habe keine Firma gesehen, die die Fehlerrate deutlich unter 15 Prozent drücken konnte. Egal ob Tech-Firma oder Universität - niemand schafft das. Menschen sind verwundbar.

Golem.de: Wenn weder Sicherheitssoftware noch Trainings helfen, was dann?

Wisniewski: Wir sollten Social Engineering und Phishing-Angriffen ähnlich begegnen wie anderen Bedrohungen auch. Wir müssen uns damit abfinden, dass wir nicht alle Angriffe durch Prävention verhindern können, also müssen wir schauen, wie wir schnell und effektiv auf die Angriffe antworten können. Besonders auf die cleveren.

Golem.de: Nämlich wie?

Wisniewski: Wir sollten uns auf die Mitarbeiter fokussieren, die die Phishing-Mails erkennen, und sie ermutigen, die Mails zu melden statt sie in den Mülleimer zu verschieben. Die Mitarbeiter sind unsere Verteidigung. Mit ihren Meldungen können wir unsere EDR-Software [Endpoint Detection and Response, Anm. d. Red.] füttern und mit ihr herausfinden, in welchen Posteingängen solche Mails gelandet sind und ob sie bereits jemand geklickt hat. Wenn du das herausfindest, kannst du den Angriff beherrschen, bevor er ein Problem wird.

Golem.de: Wie lässt sich so ein Angriff beherrschen?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Wie Sophos Emotet-Angriffen intern begegnet 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. (u. a. 55 Zoll ab 449,99€)
  2. (von Lenovo, Acer, Asus, HP)

JgdKdoFhr 15. Nov 2019 / Themenstart

Die Kaperung von Mailkonten ist ein ganz anderes Thema. Mir geht es hier ausschließlich...

Kommentieren


Folgen Sie uns
       


Microsoft Surface Laptop 3 (15 Zoll) - Hands on

Der Surface Laptop 3 ist eine kleine, aber feine Verbesserung zum Vorgänger. Er bekommt ein größeres Trackpad, eine bessere Tastatur und ein größeres 15-Zoll-Display. Es bleiben die wenigen Anschlüsse.

Microsoft Surface Laptop 3 (15 Zoll) - Hands on Video aufrufen
In eigener Sache: Golem.de sucht Produktmanager/Affiliate (m/w/d)
In eigener Sache
Golem.de sucht Produktmanager/Affiliate (m/w/d)

Attraktive Vergünstigungen für Abonnenten, spannende Deals für unsere IT-Profis, nerdiger Merchandise für Fans oder innovative Verkaufslösungen: Du willst maßgeschneiderte E-Commerce-Angebote für Golem.de entwickeln und umsetzen und dabei eigenverantwortlich und in unserem sympathischen Team arbeiten? Dann bewirb dich bei uns!

  1. In eigener Sache Aktiv werden für Golem.de
  2. Golem Akademie Von wegen rechtsfreier Raum!
  3. In eigener Sache Wie sich Unternehmen und Behörden für ITler attraktiv machen

Medizin: Updateprozess bei Ärztesoftware Quincy war ungeschützt
Medizin
Updateprozess bei Ärztesoftware Quincy war ungeschützt

In einer Software für Arztpraxen ist der Updateprozess ungeschützt über eine Rsync-Verbindung erfolgt. Der Hersteller der Software versucht, Berichterstattung darüber zu verhindern.
Ein Bericht von Hanno Böck

  1. Tracking TK arbeitet nicht mehr mit Ada zusammen
  2. Projekt Nightingale Google wertet Daten von Millionen US-Patienten aus
  3. Digitale Versorgung Ärzte dürfen Apps verschreiben

Mitsubishi: Satelliten setzen das Auto in die Spur
Mitsubishi
Satelliten setzen das Auto in die Spur

Mitsubishi Electric arbeitet am autonomen Fahren. Dafür betreibt der japanische Mischkonzern einigen Aufwand: Er baut einen eigenen Kartendienst sowie eine eigene Satellitenkonstellation auf.
Ein Bericht von Dirk Kunde


      •  /