Cyberattacken verlaufen genauso wie in der analogen Welt vor über 100 Jahren. Sie basierend auf Kommunikation und dem Wissen über vertrauliche Informationen. Zwar werden im Internetzeitalter immer wieder Applikationen, Netzwerke und andere technische Details intensiv diskutiert, aber man vergisst dabei die Stellen in der Informationssicherheit, die kaum oder gar nicht geschützt sind: Die Wechselwirkung zwischen Menschen. Diese geschehen unabhängig von allen Sicherheitsmaßnahmen, denn jedes Unternehmen nimmt ja ständig E‑Mails und Telefonate entgegen. Wie gehen Sie mit diesem zwischenmenschlichen Informationsfluss um? Konkreter: Wie helfen Sie sensiblen Abteilungen wie der Human Resources — HR Abteilung sichere Entscheidungen zu treffen?
Angriffe vorbei an der IT-Technik?
Bei Kommunikation und Informationssicherheit denken viele an Anti-Virus oder Spam-Filter. Das sind grundlegende Komponenten der Grundsicherung. Die wirklich wichtigen Fragen für die Implementation beantworten aber weder Richtlinien noch Konfigurationen. Welche Inhalte in welcher Sprache verarbeitet Ihr Unternehmen? Müssen Sie alle Briefe in jeder Form beantworten? Sobald es um die digitale Welt geht, wird aber nicht alles anders. Natürlich erhalten Sie täglich Geschäftsbriefe. Was auf gedrucktem Papier wie Werbung oder Papier ausschaut, schaut meist digital auch danach aus. Die Sicherheitsprobleme, die aus Kommunikation entstehen, werden nur leider auf die IT Abteilung abgewälzt. Natürlich möchte die Personalabteilung neue Bewerbungen von allen möglichen Eingabequellen annehmen, weil Talente entgehen könnten. Das wissen auch potentielle Angreifer und werden genau den Kanal nutzen, der einen Angriff am einfachsten macht.
Ausspähen über die Personalabteilung / Human Resource / HR
Neben der technischen Ebene gibt es auch noch die des Social Engineerings. Eingehende Unterlagen wie, der CV oder Referenzen, werden geprüft. Man kann aber selbst mit dem aktuellsten Stand der Technik nicht in Minuten entscheiden, ob es sich um eine echte Bewerberin oder einen Bewerber zwecks Ausspähung handelt. Ganz klar, man kann nicht alle Neueinsteiger gleich verdächtigen, aber darum geht es ja nicht. Es geht darum wie Sie sich der Außenwelt präsentieren und wie Sie mit dem Risiko umgehen, den jeder potentielle Geschäftsbrief birgt. Speziell bei Penetration Tests ohne Kenntnis der internen Struktur, ist eine Bewerbung ein guter Weg Einblick in ein Unternehmen zu erlangen.
Die Erkenntnisse kann man zusammenfassen:
- Der IT fehlen die Informationen für die Umsetzung der Maßnahmen.
- Bestimmte Abteilungen werden immer filterlos/öffentlich erreichbar sein müssen.
- Angreifer werden diese Umstände immer ausnutzen.
Sicherheit von Kopf bis Fuß — oder doch umgekehrt?
Richtlinien und Compliance alleine helfen bei diesem Problem nicht weiter. Sie benötigen klare Prozesse, die die Technik und die betroffenen Abteilungen z.B. HR kennen. Wenn klar ist welche Sprachen Dokumente haben dürfen, die verarbeitet werden, dann hilft das der IT Abteilung bei der Konfiguration der Filter, um ein Beispiel zu nennen.
Leider beginnen manche bei der Absicherung am Endgerät und implementieren Maßnahmen, ohne bei den Geschäftsprozessen zu beginnen. In Sicherheitsberatungen sollten Sie auf Berater zurückgreifen, die bei ihren Untersuchungen sowohl die Organisation als auch die technische Implementation im Blick haben. Letztlich ist die Umsetzung von Informationssicherheit nur das Finden und Füllen von Lücken, die alle irgendwo haben. Man darf dabei den Faktor Mensch und seine Aufgabe im Unternehmen nicht vergessen.
Weitere Informationen:
Achtung Social Engineering
Der Unsinn von Social Engineering
Tagesseminar IT-Sicherheit in Industrie mit IEC 62443
Seminar: IT-Security / Information Security am 13.–14. November 2017
