Social Engineering: "Die Mitarbeiter sind unsere Verteidigung"

Prävention reicht nicht gegen Social Engineering und die derzeitigen Trainings sind nutzlos, sagt der Sophos-Sicherheitsexperte Chester Wisniewski. Seine Lösung: Mitarbeiter je nach Bedrohungslevel schulen - und so schneller sein als die Kriminellen.

Ein Interview von veröffentlicht am
Schützen besser als Sicherheitssoftware: clevere Mitarbeiter
Schützen besser als Sicherheitssoftware: clevere Mitarbeiter (Bild: Oli Scarff/Getty Images)

Das Berliner Kammergericht hat kein Internet mehr und kann nur noch Briefe und Faxe verschicken, E-Mails gehen nicht mehr. Ähnliches erlebte die Kommune Neustadt am Rübenberge (Niedersachsen) und mehrere Unternehmen, die sich mit der Schadsoftware Emotet infizierten. Dafür kann schon ein unbedachter Klick eines Mitarbeiters reichen. Chester Wisniewski arbeitet bei der Sicherheitsfirma Sophos und beschäftigt sich seit 20 Jahren mit Phishing und Spam. Er sieht Mitarbeiter weniger als Bedrohung, sondern als Verteidigungslinie, die Unternehmen fördern sollten. Ganz verhindern ließen sich die Phishing-Angriffe ohnehin nicht.

Inhalt:
  1. Social Engineering: "Die Mitarbeiter sind unsere Verteidigung"
  2. Wie Sophos Emotet-Angriffen intern begegnet

Golem.de: Häufig zielen Cyberangriffe nicht auf die IT, sondern auf den Menschen. Beispielsweise über Telefonanrufe oder Phishingmails. Warum funktioniert das immer noch?

Chester Wisniewski: Nehmen wir beispielsweise Emotet, aktuell die größte Bedrohung im Bereich E-Mail. Im Januar hat Emotet angefangen, die E-Mail-Kommunikation der letzten sechs Monate von infizierten Geräten herunterzuladen - allerdings immer nur die ersten 50 KByte von jeder E-Mail. Anfangs wunderten wir uns - um Informationen zu stehlen, ist das nicht besonders sinnvoll, die sind häufig in den Anhängen. Dann sahen wir, dass Emotet sich in die Konversation einklinkt, auf die E-Mails antwortet. Ich habe E-Mails gesehen, auf die Kunden hereingefallen sind, auf die ich auch hereingefallen wäre - obwohl ich mich seit 20 Jahren mit Spam und Phishing beschäftige.

Golem.de: Wie kann man sich dagegen schützen? Oft werden Trainings vorgeschlagen ...

Stellenmarkt
  1. Webentwickler (m/w/d)
    Stadtwerke Rosenheim GmbH & Co. KG, Rosenheim
  2. Softwareentwicker (m/w/d)
    rocon Rohrbach EDV-Consulting GmbH, Stuttgart, Köln, Mainz, Frankfurt am Main
Detailsuche

Wisniewski: Ich glaube nicht, dass man so was mit Trainings verhindern kann. Ich glaube, dass die Trainings, die wir machen, nahezu vollständig nutzlos sind. Ich sollte vorsichtig mit solchen Aussagen sein, weil wir auch Trainings anbieten. Solche Trainings können nichts gegen ausgefeilte Angriffe wie das Einklinken in Konversationen durch Emotet ausrichten, sie helfen gegen klassisches Phishing.

Golem.de: Was läuft denn bisher falsch?

Wisniewski: Beim Phishing werden die Mitarbeiter häufig mit Software wie Phishme oder Sophos Phish Threat trainiert. Dabei werden die Fehlerraten gemessen: Beispielsweise in der Buchhaltung sind 18 Prozent auf die Phishingmails hereingefallen. Im Support 5 Prozent. In der Finanzabteilung 20 Prozent. Das hilft aber nicht wirklich weiter. Menschen fallen aus völlig unterschiedlichen Gründen auf solche E-Mails herein. Manche klicken einfach unverbesserlich auf alles, wieder andere wollen den Phishing-Test schnell abhaken, damit sie in die Mittagspause können und wieder andere sind im Kopf zuhause bei ihrem kranken Kind. Ich habe keine Firma gesehen, die die Fehlerrate deutlich unter 15 Prozent drücken konnte. Egal ob Tech-Firma oder Universität - niemand schafft das. Menschen sind verwundbar.

Golem.de: Wenn weder Sicherheitssoftware noch Trainings helfen, was dann?

Wisniewski: Wir sollten Social Engineering und Phishing-Angriffen ähnlich begegnen wie anderen Bedrohungen auch. Wir müssen uns damit abfinden, dass wir nicht alle Angriffe durch Prävention verhindern können, also müssen wir schauen, wie wir schnell und effektiv auf die Angriffe antworten können. Besonders auf die cleveren.

Golem.de: Nämlich wie?

Wisniewski: Wir sollten uns auf die Mitarbeiter fokussieren, die die Phishing-Mails erkennen, und sie ermutigen, die Mails zu melden statt sie in den Mülleimer zu verschieben. Die Mitarbeiter sind unsere Verteidigung. Mit ihren Meldungen können wir unsere EDR-Software [Endpoint Detection and Response, Anm. d. Red.] füttern und mit ihr herausfinden, in welchen Posteingängen solche Mails gelandet sind und ob sie bereits jemand geklickt hat. Wenn du das herausfindest, kannst du den Angriff beherrschen, bevor er ein Problem wird.

Golem.de: Wie lässt sich so ein Angriff beherrschen?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Wie Sophos Emotet-Angriffen intern begegnet 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Verbraucherzentrale zu Glasfaser
"100 bis 300 MBit/s sind vollkommen ausreichend"

Während alle versuchen, den Glasfaser-Ausbau zu beschleunigen, raten Verbraucherschützer, nicht für Tarife mit sehr hoher Bandbreite zu zahlen, die man angeblich gar nicht benötige.

Verbraucherzentrale zu Glasfaser: 100 bis 300 MBit/s sind vollkommen ausreichend
Artikel
  1. In eigener Sache: Wie geht es IT-Fachleuten nach über einem Jahr Corona?
    In eigener Sache
    Wie geht es IT-Fachleuten nach über einem Jahr Corona?

    Selten hat ein Ereignis die Arbeit so verändert wie Corona. Golem.de möchte von dir wissen, was das für dich bedeutet. Bitte nimm an der Umfrage teil - es dauert nicht lange!

  2. Satelliteninternet: Starlink bietet in Kürze globale Versorgung
    Satelliteninternet
    Starlink bietet in Kürze globale Versorgung

    Viel mehr Nutzer würden Starlink von SpaceX ausprobieren, aber wegen der Chipkrise fehlen die Bauteile.

  3. Bitcoin: Bitmain stoppt Verkauf von Krypto-Minern
    Bitcoin
    Bitmain stoppt Verkauf von Krypto-Minern

    Aufgrund des chinesischen Vorgehens gegen Kryptomining gibt es viele gebrauchte Bitcoin-Rigs auf dem Markt - deren größter Hersteller zieht Konsequenzen.

JgdKdoFhr 15. Nov 2019

Die Kaperung von Mailkonten ist ein ganz anderes Thema. Mir geht es hier ausschließlich...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense Midnight Black + Ratchet & Clank Rift Apart 87,61€ • 6 Blu-rays für 30€ • Landwirtschafts-Simulator 22 jetzt vorbestellbar ab 39,99€ • MSI Optix MAG272CQR Curved WQHD 165Hz 309€ [Werbung]
    •  /