27.09.2019

Security User Program – Awareness (SUPA)

Was kann mein User eigentlich für mich tun? 

Haben Sie sich diese Frage schon einmal gestellt? Vielleicht sogar im Kontext Ihrer IT-Security-Strategie? Nein?

Dann darf ich Ihnen sagen: Sie sind nicht allein – dabei wäre dies eine sehr ratsame und empfehlenswerte Maßnahme!

Natürlich versuchen IT-Abteilungen oder auch spezialisierte Security Office Centers (SOCs) stets, die Gefahren schon vor einer Interaktion mit dem Anwender abzuwehren. Und das ist auch gut so. Es kann schließlich nicht von jedem Mitarbeiter erwartet werden, alle relevanten Systeme, Prozesse und Neuigkeiten tagesaktuell zu kennen.

Die Anzahl der digitalen Bedrohungsszenarien durch Malware steigt täglich. Daher steht Security so stark im Fokus wie noch nie. Aktuelle Messungen zeigen, dass pro Tag mindestens 345.000 neue Malwares im weltweiten Netz entstehen. Experten gehen davon aus, dass sich diese Zahl bis Mitte 2020 sogar verdoppeln wird. 

Okay, okay – Sie haben Recht. Viele der aktuellen Schutzsoftwareanbieter wie Sophos, Fortinet oder Check Point erkennen nahezu alle neu entstandenen Malwares. Hintergrund ist, dass diese lediglich Kopien oder Klone einer ersten (alten) Version sind und jeweils nur minimal verändert werden. Dennoch muss sich die IT auch vor komplett neuen Angriffsmustern schützen und Bedrohungen frühzeitig erkennen. Nicht ganz so einfach, bei der Flut an Daten und Angriffsmustern.

Was passiert aber, wenn neben den programmierten Angriffen eine Social-Engineering-Attacke erfolgt?

Dies beschreibt im weitesten Sinne eine Strategie, die am oder mit dem User durchgeführt wird. Das Opfer wird dabei unter Druck gesetzt, um im Idealfall eine beabsichtigte Handlung einzuleiten.

Typische Absichten dabei sind:

  • Erpressungen
  • Daten-/Informationsdiebstahl
  • oder schlicht das Öffnen weiterer Sicherheitslücken – und damit auch die Chance weiterer Einbruchsmöglichkeiten

Spätestens hier trifft die digitale Welt in aller Härte auf die reale Welt. Meist ist dann sogar die IT-Abteilung handlungsunfähig und kann nur noch für Schadensbegrenzung sorgen. Ich bin sicher, Sie kennen selbst genügend Beispiele aus Presse, Funk und Fernsehen.  Auch beim Social Engineering oder „Menschenhacking“ gibt es unterschiedlich aufwendige Angriffe.

Im einfachsten Fall geht es um eine Phishing-Attacke. Beim Phishing wird die eigene Identität maskiert und/oder ein Versprechen (z.B. ein Online-Gewinn) zur Irreführung genutzt. Kennen Sie diese seltsamen Mails von Ihrer Bank, in denen Sie aufgefordert werden, Ihre PIN zu ändern? Oder ein Werbebanner, der einen hochpreisigen Gewinn in Aussicht stellt? Willkommen im Phishing!

Sobald ein User auf den entsprechenden Link klickt und damit interagiert, beginnt der Angriff. Über diesen Weg ist es dann auch ein Kinderspiel, sich Ransomware einzufangen. Sollten Sie Opfer einer solchen Attacke sein: Überweisen Sie auf KEINEN Fall den von der Malware angestrebten Betrag oder Bitcoins.

Die meisten Phishing-Attacken sind heute nur noch schwer erkennbar. 

Der auszulösende Betrag ist in der Regel sehr teuer. Ferner muss dieser meist in einer Kryptowährung – sicherheitshalber anonym – überwiesen werden. Das Problem ist damit jedoch noch nicht gelöst: Überweist man den Betrag, erhält man sehr wahrscheinlich auch den Entschlüsselungs-Key, um auf die Daten zugreifen zu können. Denn wird man nochmals Opfer einer Ransomware-Attacke, kann sich der Angreifer sehr sicher sein, dass man wieder Geld überweisen wird. Er ist somit an einer perfiden Art der „Kundenzufriedenheit“ interessiert. Den damit begonnenen Teufelskreis kann man sich gut vorstellen. 

Die meisten Phishing-Attacken sind heute selbst für Profis nur noch schwer erkennbar. Angreifer nutzen moderne Technologien, um automatisierte E-Mails mit korrekter Grammatik zu verfassen. Die Absenderadressen sind sehr gut maskiert und Dateianhänge, in der sich die Malware befinden kann, sehen täuschend echt aus.

So gibt sich die Ransomware „GermanWiper“ beispielsweise als Bewerbungs-E-Mail aus. Im Dateianhang findet die HR-Abteilung jedoch keinen Lebenslauf oder Zeugnisse. In der getarnten .ZIP-Datei befindet sich, Sie vermuten es schon, eine Malware. Mein Appell lautet daher: Investieren Sie in Mitarbeiter, nicht in Hacker!

Was können Sie nun tun, um Ihre IT und User zu schützen?

Ganz einfach: Helfen Sie Ihren Usern, ein sicherheitsrelevantes Bewusstsein zu entwickeln. Zum Beispiel mit unserem „Security User Program – Awareness“ (SUPA). Das Programm besteht aus drei Schritten. 

Schritt 1: Bewusstsein der Mitarbeiter schärfen

Das Bewusstsein für das eigene Handeln am Arbeitsplatz wird mittels eines spannenden, kurzweiligen und lehrreichen Impulsvortrags geschaffen. Es werden typische Risikoszenarien und deren Schäden vorgestellt. Ebenso geben wir allen Mitarbeitern einfache Tipps, um selbst Verantwortung zu übernehmen und das Unternehmen zu schützen. Wenn es notwendig ist, z.B. aufgrund von Schichtarbeit, wird der Impulsvortrag an mehreren Tagen gehalten. Wichtig ist, dass jeder Mitarbeiter diesen Know-how-Transfer erlebt.

Schritt 2: Online-Schulungen zu verschiedenen Themen

Nach dem Impulsvortrag werden in Absprache mit der IT-Abteilung ein oder mehrere Online-Schulungen zu verschiedenen Themen (DSGVO, Phishing, Ransomware uvm.) an die Mitarbeiter ausgegeben. Diese müssen innerhalb eines von Ihnen vorgegeben Zeitraums durchgeführt werden. 

Schritt 3: Langzeit-Live-Tests durch Managed-Phishing-Kampagne

Nach erfolgreicher Online-Schulung beginnen die mit dem IT-Security-Team abgesprochenen Live-Tests. Hierbei erhalten einzelne User, Abteilungen oder alle Mitarbeiter im Vorfeld vereinbarte wirkungslose, aber täuschend echte „Angriffe“.

Wir analysieren vorab für Sie, welches Angriffsmuster in welcher Abteilung oder in welcher Saison erfolgreich durchgeführt werden kann. Im Anschluss an die Ergebnisse der Tests können auf Wunsch oder nach Bedarf noch individuelle Anwenderschulungen durchgeführt werden. Dabei behalten Sie bzw. Ihre IT die volle Transparenz – anonymisiert, auf Abteilungen oder bis zum einzelnen Anwender zurückgeführt.

Klingt interessant? Dann melden Sie sich.

Und fragen Sie auch nach unserem „SUPA-ROI“-Kalkulator!

Stephan Simon
Business Development Manager

Unsere Blogs