Neue Artikelserie: OSINT
Hacken in Filmen oder Serien läuft oft so ab: Ein Typ im Kapuzenpulli sitzt in einem dunklen Raum, in atemberaubendem Tempo haut er Befehle in die Tastatur, über den schwarzen Bildschirm jagen grüne Zeilen bis endlich… ACCESS GRANTED. Er ist drin. Gerade mal dreißig Sekunden hat es gedauert die Sicherheitsvorkehrungen der hochgeheimen Regierungsbehörde auszuhebeln.
Dass das nur ein Klischee ist, ist wohl den meisten bewusst. Dennoch wird hacken von den meisten Menschen vor allem mit technischen Fähigkeiten in Verbindung gebracht. Mit Linux basierten Kommandozeilentools die zig Parameter wie –p oder –sV als Eingabe erwarten. An die Verwendung von IP-Adressen. An das Interpretieren irgendwelcher winzigen Details wie der Antwortzeit eines Servers für ein bestimmtes Paket.
Und ja, die Kenntnis solcher Tools und auch die theoretischen Hintergründe wie das Wissen über Netzwerkprotokolle wie TCP oder UDP macht natürlich einen wesentlichen Teil der täglichen Arbeit aus. Allerdings sind auch viele interessante Informationen komplett öffentlich zugänglich. Ohne den Einsatz komplizierter Tools, einfach nur über Google. Der englische Begriff dafür ist OSINT, also Open Source Intelligence. Was genau unter diesen Begriff fällt, wo man die entsprechenden Informationen findet und gegebenenfalls verknüpft, welche Tools dabei zum Einsatz kommen können und last but not least auch welche Gegenmaßnahmen existieren, all diesen Themen wollen wir uns in einer neuen Serie von Blog Posts zum Thema OSINT widmen.
Phishing bei Unternehmen: So werden Mitarbeiter zur IT-Schwachstelle
Datenschutz stellt ein wertvolles Gut dar, insbesondere in Unternehmen. Diese pflegen neben dem Umgang mit den eigenen Daten jene von Kunden und Geschäftspartnern. Da verwundert es nicht, dass Unternehmen häufiges Ziel von Phishing sind. Dieses Abfangen von Daten kann unterschiedliche Ziele verfolgen. In jedem Fall entsteht für Unternehmen ein empfindlicher Schaden. Seine Mitarbeiter bilden eine der größten IT-Schwachstellen.
Funktionsweise und Ziele von Phishing
Unter den Begriff Phishing fallen Maßnahmen, die den Zugang zu persönlichen Daten und damit Identitätsdiebstahl ermöglichen. Dies gelingt über schadhafte Websites oder den elektronischen Datenverkehr, wie beispielsweise E-Mail oder SMS. Meist ahmen Betrüger vertrauensvolle Absender nach, um somit die Gutgläubigkeit von Mitarbeitern auszunutzen. Phishing ist oft nur der erste Schritt, um ein Unternehmen zu infiltrieren. Angreifern geht es üblicherweise darum, umfassenden Zugang zu der Datenstruktur eines Unternehmens zu erhalten. Gelingt dies, lassen sich Ihre Daten nicht nur stehlen. Angreifer sind imstande, diese zu löschen oder gegen andere Daten auszutauschen. Hinter alldem stecken meist Bestrebungen, Personen- und Unternehmensdaten zu verkaufen. Auch lässt sich damit umfassende Industriespionage betreiben. Dies ist besonders fatal für Unternehmen, die an innovativen Produkten und Dienstleistungen arbeiten. Denkbar ist zudem, dass Angreifer versuchen, an Daten von Firmenkonten zu gelangen. Dies ermöglicht es ihnen, unterschiedlich hohe Geldbeträge zu erbeuten. Ein fataler Vorgang, da es einige Zeit dauern kann, bis finanzielle Unregelmäßigkeiten auffallen.
So kommt es zu Schwachstellen bei Mitarbeitern
Ist Phishing von Erfolg gekrönt, steckt dahinter oftmals ein Fehlverhalten von Mitarbeitern. Das bedeutet nicht immer, dass diese bewusst und aus Bequemlichkeit dementsprechende Risiken eingehen. Die Probleme liegen vielmehr häufig bei Unwissenheit und einem damit verbundenen mangelnden Bewusstsein für hohes Risikopotenzial. Hinzu kommt, dass Phishing-Angriffe über unterschiedliche elektronische Kommunikationswege stattfinden. Verlassen Sie sich beispielsweise auf Ihren Schutz für E-Mails, kann es zu einem bösen Erwachen kommen. Denn Angriffe können ebenso über Ihre Telefonanlage oder mobile Endgeräte erfolgen. Phishing-Versuche erfolgen demnach auf verschiedenen Wegen. Außerdem sind sie teilweise schwer auszumachen. Das liegt beispielsweise daran, dass Angreifer heutzutage ihre Maßnahmen sehr gezielt einsetzen.
Hinter erfolgreichen Angriffen stecken häufig auch Nachlässigkeiten im Bezug auf den Umgang mit Computern und mobilen Endgeräten. Schutzmechanismen funktionieren nur, wenn wir sie und die damit verbundenen Betriebssysteme aktuell halten. Gehen Sie beispielsweise nachlässig mit Systemupdates um, erhöhen Sie das Risiko für Phishing massiv.
Datenschutz vs. Usability
Beim Datenschutz in Unternehmen kollidieren zwei wesentliche Aspekte miteinander. Zum einen müssen Datenschutzmaßnahmen sicher, umfassend und auf ein Unternehmen zugeschnitten sein. Zum anderen sollen sie die Usability von Computer- und Netzwerksystemen nicht einschränken. Hier kommt hinzu, dass Mitarbeitern auch im unternehmerischen Kontext ein Schutz ihrer Privatsphäre zusteht. Umfassende Datenschutzsysteme benötigen zugleich aber umfassende Zugriffsrechte seitens der zuständigen Administratoren. Daher gilt es, für jedes Unternehmen individuelle Sicherheitslösungen zu finden und umzusetzen. Um Daten zu schützen, bedarf es des Bewusstseins, dass es sich bei Phishing um ein dynamisches Problem handelt. Dieses verlangt eine permanente Aktualisierung der Maßnahmen zum Datenschutz auf der Basis einer ausführlichen Schwachstellenanalyse. Zudem erfordert es eine ständige Sensibilisierung der Mitarbeiter zu dem Thema, beispielsweise in Form von Schulungen. Nur so lässt sich diese IT-Schwachstelle in Ihrem Unternehmen beheben.