• IT-Karriere:
  • Services:

Social Engineering: "Die Mitarbeiter sind unsere Verteidigung"

Prävention reicht nicht gegen Social Engineering und die derzeitigen Trainings sind nutzlos, sagt der Sophos-Sicherheitsexperte Chester Wisniewski. Seine Lösung: Mitarbeiter je nach Bedrohungslevel schulen - und so schneller sein als die Kriminellen.

Ein Interview von veröffentlicht am
Schützen besser als Sicherheitssoftware: clevere Mitarbeiter
Schützen besser als Sicherheitssoftware: clevere Mitarbeiter (Bild: Oli Scarff/Getty Images)

Das Berliner Kammergericht hat kein Internet mehr und kann nur noch Briefe und Faxe verschicken, E-Mails gehen nicht mehr. Ähnliches erlebte die Kommune Neustadt am Rübenberge (Niedersachsen) und mehrere Unternehmen, die sich mit der Schadsoftware Emotet infizierten. Dafür kann schon ein unbedachter Klick eines Mitarbeiters reichen. Chester Wisniewski arbeitet bei der Sicherheitsfirma Sophos und beschäftigt sich seit 20 Jahren mit Phishing und Spam. Er sieht Mitarbeiter weniger als Bedrohung, sondern als Verteidigungslinie, die Unternehmen fördern sollten. Ganz verhindern ließen sich die Phishing-Angriffe ohnehin nicht.

Inhalt:
  1. Social Engineering: "Die Mitarbeiter sind unsere Verteidigung"
  2. Wie Sophos Emotet-Angriffen intern begegnet

Golem.de: Häufig zielen Cyberangriffe nicht auf die IT, sondern auf den Menschen. Beispielsweise über Telefonanrufe oder Phishingmails. Warum funktioniert das immer noch?

Chester Wisniewski: Nehmen wir beispielsweise Emotet, aktuell die größte Bedrohung im Bereich E-Mail. Im Januar hat Emotet angefangen, die E-Mail-Kommunikation der letzten sechs Monate von infizierten Geräten herunterzuladen - allerdings immer nur die ersten 50 KByte von jeder E-Mail. Anfangs wunderten wir uns - um Informationen zu stehlen, ist das nicht besonders sinnvoll, die sind häufig in den Anhängen. Dann sahen wir, dass Emotet sich in die Konversation einklinkt, auf die E-Mails antwortet. Ich habe E-Mails gesehen, auf die Kunden hereingefallen sind, auf die ich auch hereingefallen wäre - obwohl ich mich seit 20 Jahren mit Spam und Phishing beschäftige.

Golem.de: Wie kann man sich dagegen schützen? Oft werden Trainings vorgeschlagen ...

Stellenmarkt
  1. EGT Energievertrieb GmbH, Triberg
  2. BARMER, Wuppertal

Wisniewski: Ich glaube nicht, dass man so was mit Trainings verhindern kann. Ich glaube, dass die Trainings, die wir machen, nahezu vollständig nutzlos sind. Ich sollte vorsichtig mit solchen Aussagen sein, weil wir auch Trainings anbieten. Solche Trainings können nichts gegen ausgefeilte Angriffe wie das Einklinken in Konversationen durch Emotet ausrichten, sie helfen gegen klassisches Phishing.

Golem.de: Was läuft denn bisher falsch?

Wisniewski: Beim Phishing werden die Mitarbeiter häufig mit Software wie Phishme oder Sophos Phish Threat trainiert. Dabei werden die Fehlerraten gemessen: Beispielsweise in der Buchhaltung sind 18 Prozent auf die Phishingmails hereingefallen. Im Support 5 Prozent. In der Finanzabteilung 20 Prozent. Das hilft aber nicht wirklich weiter. Menschen fallen aus völlig unterschiedlichen Gründen auf solche E-Mails herein. Manche klicken einfach unverbesserlich auf alles, wieder andere wollen den Phishing-Test schnell abhaken, damit sie in die Mittagspause können und wieder andere sind im Kopf zuhause bei ihrem kranken Kind. Ich habe keine Firma gesehen, die die Fehlerrate deutlich unter 15 Prozent drücken konnte. Egal ob Tech-Firma oder Universität - niemand schafft das. Menschen sind verwundbar.

Golem.de: Wenn weder Sicherheitssoftware noch Trainings helfen, was dann?

Wisniewski: Wir sollten Social Engineering und Phishing-Angriffen ähnlich begegnen wie anderen Bedrohungen auch. Wir müssen uns damit abfinden, dass wir nicht alle Angriffe durch Prävention verhindern können, also müssen wir schauen, wie wir schnell und effektiv auf die Angriffe antworten können. Besonders auf die cleveren.

Golem.de: Nämlich wie?

Wisniewski: Wir sollten uns auf die Mitarbeiter fokussieren, die die Phishing-Mails erkennen, und sie ermutigen, die Mails zu melden statt sie in den Mülleimer zu verschieben. Die Mitarbeiter sind unsere Verteidigung. Mit ihren Meldungen können wir unsere EDR-Software [Endpoint Detection and Response, Anm. d. Red.] füttern und mit ihr herausfinden, in welchen Posteingängen solche Mails gelandet sind und ob sie bereits jemand geklickt hat. Wenn du das herausfindest, kannst du den Angriff beherrschen, bevor er ein Problem wird.

Golem.de: Wie lässt sich so ein Angriff beherrschen?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Wie Sophos Emotet-Angriffen intern begegnet 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. 555,55€ (zzgl. Versandkosten)

JgdKdoFhr 15. Nov 2019 / Themenstart

Die Kaperung von Mailkonten ist ein ganz anderes Thema. Mir geht es hier ausschließlich...

Kommentieren


Folgen Sie uns
       


Google Pixel 4 und Pixel 4 XL ausprobiert

Google hat seine neuen Pixel-Smartphones vorgestellt: Im ersten Hands on machen das Pixel 4 und das Pixel 4 XL einen guten Eindruck.

Google Pixel 4 und Pixel 4 XL ausprobiert Video aufrufen
Sendmail: Software aus der digitalen Steinzeit
Sendmail
Software aus der digitalen Steinzeit

Ein nichtöffentliches CVS-Repository, FTP-Downloads, defekte Links, Diskussionen übers Usenet: Der Mailserver Sendmail zeigt alle Anzeichen eines problematischen und in der Vergangenheit stehengebliebenen Softwareprojekts.
Eine Analyse von Hanno Böck

  1. Überwachung Tutanota musste E-Mails vor der Verschlüsselung ausleiten
  2. Buffer Overflow Exim-Sicherheitslücke beim Verarbeiten von TLS-Namen
  3. Sicherheitslücke Buffer Overflow in Dovecot-Mailserver

Minikonsolen im Video-Vergleichstest: Die sieben sinnlosen Zwerge
Minikonsolen im Video-Vergleichstest
Die sieben sinnlosen Zwerge

Golem retro_ Eigentlich sollten wir die kleinen Retrokonsolen mögen. Aber bei mittelmäßiger Emulation, schlechter Steuerung und Verarbeitung wollten wir beim Testen mitunter über die sieben Berge flüchten.
Ein Test von Martin Wolf


    Weltraumsimulation: Die Star-Citizen-Euphorie ist ansteckend
    Weltraumsimulation
    Die Star-Citizen-Euphorie ist ansteckend

    Jubelnde Massen, ehrliche Entwickler und ein 30 Kilogramm schweres Modell des Javelin-Zerstörers: Die Citizencon 2949 hat gezeigt, wie sehr die Community ihr Star Citizen liebt. Auf der anderen Seite reden Entwickler Klartext, statt Marketing-Floskeln zum Besten zu geben. Das steckt an.
    Ein IMHO von Oliver Nickel

    1. Theatres of War angespielt Star Citizen wird zu Battlefield mit Raumschiffen
    2. Star Citizen Mit der Carrack ins neue Sonnensystem
    3. Star Citizen Squadron 42 wird noch einmal verschoben

      •  /