Original-URL des Artikels: https://www.golem.de/news/social-engineering-die-mitarbeiter-sind-unsere-verteidigung-1911-144940.html    Veröffentlicht: 14.11.2019 09:12    Kurz-URL: https://glm.io/144940

Social Engineering

"Die Mitarbeiter sind unsere Verteidigung"

Prävention reicht nicht gegen Social Engineering und die derzeitigen Trainings sind nutzlos, sagt der Sophos-Sicherheitsexperte Chester Wisniewski. Seine Lösung: Mitarbeiter je nach Bedrohungslevel schulen - und so schneller sein als die Kriminellen.

Das Berliner Kammergericht hat kein Internet mehr und kann nur noch Briefe und Faxe verschicken, E-Mails gehen nicht mehr. Ähnliches erlebte die Kommune Neustadt am Rübenberge (Niedersachsen) und mehrere Unternehmen, die sich mit der Schadsoftware Emotet infizierten. Dafür kann schon ein unbedachter Klick eines Mitarbeiters reichen. Chester Wisniewski arbeitet bei der Sicherheitsfirma Sophos und beschäftigt sich seit 20 Jahren mit Phishing und Spam. Er sieht Mitarbeiter weniger als Bedrohung, sondern als Verteidigungslinie, die Unternehmen fördern sollten. Ganz verhindern ließen sich die Phishing-Angriffe ohnehin nicht.

Golem.de: Häufig zielen Cyberangriffe nicht auf die IT, sondern auf den Menschen. Beispielsweise über Telefonanrufe oder Phishingmails. Warum funktioniert das immer noch?

Chester Wisniewski: Nehmen wir beispielsweise Emotet, aktuell die größte Bedrohung im Bereich E-Mail. Im Januar hat Emotet angefangen, die E-Mail-Kommunikation der letzten sechs Monate von infizierten Geräten herunterzuladen - allerdings immer nur die ersten 50 KByte von jeder E-Mail. Anfangs wunderten wir uns - um Informationen zu stehlen, ist das nicht besonders sinnvoll, die sind häufig in den Anhängen. Dann sahen wir, dass Emotet sich in die Konversation einklinkt, auf die E-Mails antwortet. Ich habe E-Mails gesehen, auf die Kunden hereingefallen sind, auf die ich auch hereingefallen wäre - obwohl ich mich seit 20 Jahren mit Spam und Phishing beschäftige.

Golem.de: Wie kann man sich dagegen schützen? Oft werden Trainings vorgeschlagen ...

Wisniewski: Ich glaube nicht, dass man so was mit Trainings verhindern kann. Ich glaube, dass die Trainings, die wir machen, nahezu vollständig nutzlos sind. Ich sollte vorsichtig mit solchen Aussagen sein, weil wir auch Trainings anbieten. Solche Trainings können nichts gegen ausgefeilte Angriffe wie das Einklinken in Konversationen durch Emotet ausrichten, sie helfen gegen klassisches Phishing.

Golem.de: Was läuft denn bisher falsch?

Wisniewski: Beim Phishing werden die Mitarbeiter häufig mit Software wie Phishme oder Sophos Phish Threat trainiert. Dabei werden die Fehlerraten gemessen: Beispielsweise in der Buchhaltung sind 18 Prozent auf die Phishingmails hereingefallen. Im Support 5 Prozent. In der Finanzabteilung 20 Prozent. Das hilft aber nicht wirklich weiter. Menschen fallen aus völlig unterschiedlichen Gründen auf solche E-Mails herein. Manche klicken einfach unverbesserlich auf alles, wieder andere wollen den Phishing-Test schnell abhaken, damit sie in die Mittagspause können und wieder andere sind im Kopf zuhause bei ihrem kranken Kind. Ich habe keine Firma gesehen, die die Fehlerrate deutlich unter 15 Prozent drücken konnte. Egal ob Tech-Firma oder Universität - niemand schafft das. Menschen sind verwundbar.

Golem.de: Wenn weder Sicherheitssoftware noch Trainings helfen, was dann?

Wisniewski: Wir sollten Social Engineering und Phishing-Angriffen ähnlich begegnen wie anderen Bedrohungen auch. Wir müssen uns damit abfinden, dass wir nicht alle Angriffe durch Prävention verhindern können, also müssen wir schauen, wie wir schnell und effektiv auf die Angriffe antworten können. Besonders auf die cleveren.

Golem.de: Nämlich wie?

Wisniewski: Wir sollten uns auf die Mitarbeiter fokussieren, die die Phishing-Mails erkennen, und sie ermutigen, die Mails zu melden statt sie in den Mülleimer zu verschieben. Die Mitarbeiter sind unsere Verteidigung. Mit ihren Meldungen können wir unsere EDR-Software [Endpoint Detection and Response, Anm. d. Red.] füttern und mit ihr herausfinden, in welchen Posteingängen solche Mails gelandet sind und ob sie bereits jemand geklickt hat. Wenn du das herausfindest, kannst du den Angriff beherrschen, bevor er ein Problem wird.

Golem.de: Wie lässt sich so ein Angriff beherrschen?

Wie Sophos Emotet-Angriffen intern begegnet

Wisniewski: Die meisten Emotet-Infektionen richten erst nach 24 bis 72 Stunden größere Schäden an. Bei der initialen Infektion mit Emotet erstattet die Schadsoftware den Angreifern erst einmal Bericht. In den darauffolgenden Stunden werden Payloads nachgeladen, meist Trickbot oder Dridex, deren Aufgabe es vor allem ist, Zahlungsdaten zu stehlen. Das ist zwar schlimm, aber richtig schlimm wird es erst ein, zwei Tage später, wenn die Angreifer Zeit hatten, die Angriffsberichte durchzusehen und eine Ransomware nachzuladen - mitsamt einer Lösegeldforderung in Millionenhöhe. Kurz gesagt: Du hast bei fast allen solchen Angriffen ein Zeitfenster, in dem du agieren kannst.

Golem.de: Wie begegnet Sophos dem Problem?

Wisniewski: Wir haben angefangen, neben der Fehlerrate die Melderate zu messen. Wenn wir die Melderate auf 30 Prozent bekommen, bedeutet das, dass uns Kriminelle nur drei E-Mails senden können, bevor wir eine Warnung bekommen und wissen, was wir jagen müssen. Wir bewerten und messen unsere Abteilungen getrennt und fördern sie je nach Bedrohung. Bei unseren Führungskräften sind wir beispielsweise bei einer Melderate über 50 Prozent. Denn wenn unsere Führungskräfte auf eine Phishing-Mail hereinfallen, ist das ein deutlich größeres Problem, als wenn der Support auf eine klickt.

Golem.de: Sie fördern Ihre Abteilungen gezielt - also doch Trainings?

Wisniewski: Ja, aber wir verteilen die Trainings nach dem Bedrohungslevel. Das Budget ist ja immer beschränkt. Statt für alle ein bisschen Geld für einen automatisierten Test auszugeben, fördern wir vor allem die besonders gefährdeten Abteilungen. Die Gefahr ist nicht gleich verteilt, warum sollten es dann die Sicherheitsmaßnahmen sein?

Die wichtigste Gruppe bei Sophos sind die Mitarbeiter, die Software oder AV-Signaturen veröffentlichen können, sowie Führungskräfte. Wenn diese Mitarbeiter kompromittiert werden, könnte das das Ende für die Firma sein. Wenn wir als Sicherheitsfirma Updates an unsere Kunden verteilen, die diese infizieren, dann können wir dichtmachen. Die Mitarbeiter bekommen daher deutlich teurere Trainings mit Einzelunterricht, Hands-on-Training mit Beispielen und Demonstrationen, die ihnen zeigen, warum das für das Unternehmen essenziell ist.

Golem.de: Wie gehen Sie mit den anderen Abteilungen um?

Wisniewski: An zweiter Stelle kommen bei uns die Personal-, die Finanz- und die interne Support-Abteilung, da diese dauernd Bewerbungen oder Rechnungen öffnen müssen. Bewerbungen dürfen die Personaler beispielsweise nur in einer virtuellen Box öffnen. Wenn sie etwas Verdächtiges sehen, sollen sie es sofort melden. Die Support-Leute wiederum können am Telefon hereingelegt werden, denen müssen wir beibringen, wie sie die Identität ihrer Kollegen verifizieren, bevor sie beispielsweise deren Passwort zurücksetzen. Am Ende gibt es dafür keinen technischen Schutz. Wenn sich die Mitarbeiter nicht an den erlernten Prozess, an die Firmenrichtlinien halten, werden wir scheitern.

Das alles kostet eine Menge Geld, in anderen Abteilungen machen wir weniger intensive Trainings. Wenn die Verkäufer kompromittiert werden, beschäftigt mich das, da die Angreifer Zugriff auf Kundendaten haben, was ich zudem melden muss. Das wäre ein schlimmer Schlag, würde uns aber nicht außer Gefecht setzen. Ich bin bereit, dieses Risiko zu tragen, wenn ich dafür die besonders gefährdeten Abteilungen absichern kann. Das ist ein Weg im Umgang mit Social Engineering und Phishing im Speziellen, den wir einschlagen müssen. Ein risikobasierter Umgang. Niemand hat genügend Budget - also müssen wir einen effizienten Weg finden, wie wir unsere Firma mit den vorhandenen Mitteln möglichst weitgehend schützen können.

 (mtr)


Verwandte Artikel:
Social Engineering: Mit künstlicher Intelligenz 220.000 Euro erbeutet   
(04.09.2019, https://glm.io/143638 )
BSI-Präsident: "Emotet ist der König der Schadsoftware"   
(17.10.2019, https://glm.io/144480 )
Smarte Lautsprecher: Belauschen mit Alexa- und Google-Home-Apps   
(21.10.2019, https://glm.io/144534 )
Antivirus-Hersteller: US-Beteiligungsgesellschaft möchte Sophos übernehmen   
(15.10.2019, https://glm.io/144422 )
Angeblich Emotet: Schadsoftware legt Berliner Kammergericht lahm   
(02.10.2019, https://glm.io/144230 )

© 1997–2020 Golem.de, https://www.golem.de/