Smarte Endgeräte – ‘Internet of Things’ als Gefahrenherd

, ,

Morgens im Büro. Dank smarter Kaffeemaschine haben Sie schon auf dem Weg zur Arbeit für Ihren ersten Koffein-Kick gesorgt. Beim Lesen der neuesten E-Mails fällt Ihnen eine Nachricht besonders auf: Sie werden höflich darum gebeten, 10.000 € in Bitcoins zu überweisen. Andernfalls bleiben Ihre über Nacht verschlüsselten Unternehmensdaten gesperrt. Panisch versuchen Sie, auf den File Server zu zugreifen. Und tatsächlich erhalten Sie den Hinweis, dass ohne kryptografischen Schlüssel kein Zugang möglich ist … Wie konnte das passieren?

Ein Einfallstor für Angriffe

Neben der Automatisierung vieler Aufgaben bringen smarte Endgeräte im Internet-of-Things (kurz IoT) noch eine weitere Eigenschaft mit: Sie haben oftmals erhebliche Sicherheitslücken, die von Dritten für Angriffe auf ein Firmennetzwerk ausgenutzt werden können.

Einer der Gründe hierfür ist der Druck auf Entwicklerseite, immer schneller und kostengünstiger neue Produkte auf den Markt zu bringen. So entstehen Fehler in der Herstellung, die wiederum Sicherheitslücken erzeugen können.

Eine weitere Gefahr besteht darin, dass solche Geräte bei der unternehmenseigenen IT-Sicherheitsstrategie ganz einfach vergessen werden – wieso sollte ich eine Kaffeemaschine sicher machen!?

Sind die kleinen Helfer erst einmal über das Internet erreichbar, können sie über entsprechende Tools ausfindig gemacht werden. Bis zur Instrumentalisierung für einen Angriff sind es dann nur noch wenige Schritte.

Privat erworben, geschäftlich genutzt

Was für Sie futuristisch klingen mag, ist bereits Realität – und die Bedrohungslage steigt. Die Anzahl der IoT-Geräte soll nach Expertenmeinung im Jahr 2021 bereits die 50-Milliarden-Grenze erreichen.

Um die Auswirkungen einer Manipulation zu erahnen, weisen wir auf einen Angriff in jüngster Vergangenheit hin, bei dem Dienste von einigen Großunternehmen wie Amazon, Spotify und Netflix für mehrere Stunden lahmgelegt wurden. Wie das passierte? Hunderttausende smarter IoT-Geräte wurden zur Bildung eines Bot-Netzes instrumentalisiert und anschließend Unmengen von Anfragen an die Server der Unternehmen geschickt. Die Folge: Die Server überlasteten.

Auch wenn sie unternehmensseitig bislang eher selten im Einsatz sind – immer häufiger nutzen Mitarbeiter ihre eigenen smarten Geräte auch beruflich. Das macht eine sinnvolle Kontrolle schwer.

Deshalb empfehlen wir, die berufliche Verwendung privater Geräte zu untersagen oder streng zu reglementieren.

Allerdings: Grundsätzlich sollte man den Einsatz solcher Produkte nicht verteufeln, schließlich gibt es sinnvollere Anwendungsgebiete als die Online-Beauftragung einer Tasse Kaffee.

Wichtig ist vorausschauendes Planen und die Definition sicherheitskonformer Vorgaben bezüglich der Integration in Arbeitsabläufe. Insbesondere berücksichtigt werden sollte die Aufnahme ins Unternehmens-Patchmanagement.

Das Internet of Things und smarte Endgeräte – Chancen und Risiken

IoT bietet dem Mittelstand unternehmerische Vorteile. Um vorhandene Risiken zu beseitigen, empfiehlt sich eine – gemeinsam mit dem IT-Dienstleister entwickelte – Sicherheitsstrategie.

Gerne sprechen wir mit Ihnen über die Möglichkeiten, die IoT Ihnen bietet. Rufen Sie uns kostenfrei an unter 0800 4883 338 oder schreiben Sie uns eine Mail. Weitere Informationen zum Thema Sicherheit finden Sie hier.

© Foto bruce mars von Pexels
/von

Die 7 Todsünden der IT-Sicherheit

… und was Sie dagegen tun können.

Ein ITQ-Artikel von Dennis Joist | Egal ob gehackte Benutzerkonten oder Datendiebstahl in der Wirtschaft – tagtäglich berichten die Medien über Schreckensszenarien im Bereich der IT-Sicherheit. Oftmals denkt der Betrachter zwar darüber nach, wie sich ein solcher Vorfall auf das eigene Unternehmen auswirken würde, eine Verhaltensänderung findet jedoch selten statt.

Dabei sind es meistens einfachste Maßnahmen, die den Widerstand und den Schutz vor solchen Angriffen erheblich erhöhen. Wir haben die häufigsten und gravierendsten Nachlässigkeiten von Unternehmen zusammengefasst und Empfehlungen beigefügt, um Abhilfe zu schaffen.

 

1. Mangelhafte Passwörter

Der Fehler wird bereits bei der Auswahl der Passwörter gemacht, indem diese nicht der erforderlichen Komplexität entsprechen. Zudem gehen Mitarbeiter zu sorglos mit Passwörtern um und schreiben diese auf Zettel oder notieren sie anderweitig.

Tipp: Verwendung eines Passwort-Managers zur Verwaltung der Kennwörter und automatischen Generierung.

 

2. Unzureichendes Patchmanagement

Cyber-Kriminelle nutzen gerne Schwachstellen in Software und Anwendungen aus, um in das Informationssystem des Unternehmens einzudringen. Aber auch veraltete Versionen von Virenschutzprogrammen sind ein Risiko, wenn diesen nicht die neuesten Bedrohungen aus dem Netz bekannt sind.

Tipp: Implementieren sie eine Software-Lösung, die automatisiert die Verfügbarkeit von Sicherheitsupdates und Patches steuert. Daneben sollten die IT-Verantwortlichen immer auf den aktuellsten Stand sein, welche Sicherheitslücken Hersteller veröffentlichen.

 

3. Ausuferung von Zugriffsrechten

Die Möglichkeit der Mitarbeiter auf unternehmenseigene Daten zu zugreifen ist in der Regel viel zu weitgefasst. Obwohl die Informationen nicht für die Aufgabenerledigung erforderlich sind, können viel zu viele Personen diese einsehen. Wird nun das Passwort des Benutzers geknackt, kann der Angreifer plötzlich nahezu alle Ordner und Anwendungen öffnen bzw. bedienen. Besonders kritisch wird es, wenn ein Administratorkonto betroffen ist, das nicht entsprechend eingeschränkt wurde.

Tipp: Die Benutzerrechte sollten auf ein Mindestmaß eingeschränkt werden. Alle Rechte, die nicht zur Aufgabenerledigung notwendig sind, müssen deaktiviert werden.

 

4. Fehlende Mitarbeitersensibilisierung

Knapp die Hälfte aller Sicherheitsvorfälle sind auf die eigenen Mitarbeiter zurückzuführen. Es ist weniger böswilliges Verhalten als vielmehr die Unwissenheit oder mangelndes Gefahrenbewusstsein, welches für Schäden verantwortlich ist.

Tipp: Mitarbeiter müssen in geeigneter Weise auf die Gefahren im Umgang mit IT-Systemen hingewiesen und geschult werden. Allein die Übergabe einer Arbeitsanweisung und eine Unterschrift zur Einhaltung sind nicht ausreichend! Sensibilisierungsmaßnahmen müssen kontinuierlich und spezifisch stattfinden, um einen Effekt erzielen zu können.

 

5. Defizite im Datensicherungskonzept

Egal ob durch Hardwareverschleiß, Unachtsamkeit oder einen Sicherheitsvorfall, Daten gehen früher oder später verloren. Hat das Unternehmen keine angemessene Vorsorge getroffen, kann der Datenverlust katastrophale Folgen haben, wenn bspw. Entwicklungspläne oder die Kundendatenbank nicht mehr verfügbar sind.

Tipp: Erarbeitung eines Datensicherungskonzept unter Beachtung der Schutzbedürftigkeit der Informationen. Legen sie ein Sicherungsintervall fest und führen sie regelmäßig Tests durch, ob die gesicherten Daten sich wiederherstellen lassen können.

 

6. Vernachlässigung mobiler Endgeräte

Laptops, Smartphones, Tablets und andere IoT-Geräte (‘Internet of Things’) sind entweder nur unzureichend geschützt oder wurden gar nicht im Sicherheitskonzept berücksichtigt. Schwachstellen dieser Geräte sind beliebtes Einfallstor für Hacker, um Zugriff auf die IT-Systeme des Unternehmens zu erhalten.

Tipp: Auch mobile Endgeräte müssen dringend in das Patchmanagement miteinbezogen und mit den gängigen Virenschutzprogrammen ausgestattet werden.

 

7. Keine Reglementierung von E-Mails

E-Mails sind wahre Virenschleudern und für jeden zweiten Sicherheitsvorfall verantwortlich. Teilweise werden elementare Sicherheitseinstellung – wie die Deaktivierung von verdächtigen Anhängen oder aktiven Inhalten – ausgelassen. Aber auch der korrekte Umgang mit E-Mails und das Erkennen gefälschter Nachrichten ist nicht jedem Mitarbeiter bekannt.

Tipp: Abgesehen von PDF-Dokumenten sollten keine E-Mail-Anhänge ohne weitere Prüfung zu öffnen sein. Aktive Inhalt, wie Bilder oder Videos in Nachrichten müssen deaktiviert werden, da andernfalls bereits beim Anschauen der E-Mail im Hintergrund Schadprogramme installiert werden können. Es muss allen Mitarbeiter bekannt sein, was charakteristisch für eine gefälschte Nachricht ist.

 

Die Umsetzungen der beschriebenen Maßnahmen sind allesamt wenig aufwendig und auch mit geringem Budget durchsetzbar. Frühzeitiges Handeln verhindert kostspielige Gegenmaßnahmen. Kontaktieren Sie uns zu diesem Thema gerne kostenfrei unter der Nummer 0800 4883 338.

/von

Schneider + Wulf auf der it-sa 2019

Die it-sa – Europas größte Fachmesse für IT-Sicherheit

Vom 08. bis 10. Oktober 2019 fand die it-sa 2019 statt. Sie ist eine der bedeutendsten Plattformen für Cloud-, Mobile- und Cyber-Security sowie Daten- und Netzwerksicherheit in der Welt und damit Treffpunkt für C-Level Experten, IT-Sicherheitsbeauftragte aus Industrie, Dienstleistung und Verwaltung sowie Entwickler und Anbieter von Produkten und Services rund um das Thema IT Security.

815 Aussteller aus 25 Ländern Europas, Asien und den USA informierten auf der Fachmesse über innovative Lösungsansätze der IT-Sicherheit.

 

Messeauftritt voller Erfolg

An unserem Gemeinschafts-Stand mit den Synergiepartnern Aconitas und DATARECOVERY fand das interessierte Messepublikum geballtes IT-Fachwissen. Während Aconitas ihre individuellen Hosting-Lösungen sowie das Produkt Pleasant Password Server präsentierte, stellte DATARECOVERY seine Dienstleistung als Datenrettungs-Spezialist vor.

Wir von Schneider + Wulf berieten Interessenten zu den Themen Penetrationstest, Schwachstellen-Management, Social Engineering und der Basisprüfung ITQ. Unser Security Consultant Jens Regel gewährte faszinierende Einblicke in die Welt der Hacker und der Cyberkriminalität.

“Wir sind positiv überrascht über das große Interesse an der Messe und blicken auf eine erfolgreiche it-sa 2019 zurück.” sagt Sven Wulf. “Mit dem Ergebnis sind wir sehr zufrieden, denn wir haben viele intensive Gespräche mit Entscheidungsträgern geführt und viele neue Kontakte geknüpft.”

 

Hier einige Eindrücke unseres gemeinsamen Messe-Auftritts:

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden


In diesem Sinne: Bleiben Sie sicher!

/von

Die E-Mail – der Wolf im Schafspelz

,

Interne Risiken für die firmeneigene Informationstechnik gibt es viele: Brände, Stromausfälle, Hardware-Fehler, Mängel bei der Bedienung der Software durch Mitarbeiter uvm. Dieser Artikel befasst sich jedoch mit einer speziellen externen Gefahr: der E-Mail als Einfallstor für Schadsoftware.

E-Mail häufigste Ursache für Infizierung von IT-Systemen mit Schadprogrammen

Der Kreativität von Cyber-Kriminellen sind bei der Programmierung von Schadprogrammen kaum Grenzen gesetzt. Von der Ausspähung vertraulicher Informationen bis zur vollständigen Verschlüsselung der Unternehmensdaten ist vieles möglich. Die Folgen können desaströs sein. Insbesondere, wenn kostspielige Entwicklungsdaten an die Konkurrenz weiterverkauft werden oder der Betrieb über einen längeren Zeitraum nicht auf wichtige Dateien zugreifen kann, entsteht schnell hoher finanzieller Schaden.

Entsprechende Schadprogramme sind hauptsächlich in E-Mail-Anhängen versteckt. Wirksam werden diese, wenn der Anhang geöffnet wird. Beliebt ist auch der Versand von Links, die der Empfänger unter irgendeinem Vorwand dringend anklicken muss.

Leider kann bereits das schlichte Öffnen einer solchen E-Mail zur Infizierung führen – nämlich dann, wenn diese im HTML-Format übertragen wird und Bilder oder andere mediale Inhalte eingebettet sind.

Was kann ich unternehmen, um mich gegen diese Gefahr zu schützen?

Als erstes sollten die E-Mail Clients so eingestellt sein, dass selbstausführende Inhalte deaktiviert und bestimmte Dateiformate bereits vor dem Eingang im Postfach aussortiert werden.

Die wichtigste Maßnahme ist jedoch die Sensibilisierung der eigenen Mitarbeiter dahingehend, wie verdächtige E-Mails zu erkennen sind.

Folgende Merkmale lassen auf einen Absender schließen, der nichts Gutes im Schilde führt:

    • Falsche oder unpersönliche Anrede des Empfängers
    • Schlechtes Deutsch oder viele Grammatikfehler
    • Inhaltlich nicht für das Unternehmen relevant
    • Aufforderung zum dringlichen Handeln
    • Daten sollen auf einer externen Seite eingegeben werden
    • Die Öffnung eines Anhanges wird angewiesen
    • Der Absender ist bislang nicht bekannt
    • Bezeichnungen in der E-Mailadresse stimmen nicht mit dem Inhalt überein
    • Der Mailheader weicht von der Versandadresse ab
    • Der Betreff ergibt keinen Sinn
    • Das Format des Anhanges endet auf .exe, .com, .vbs, .bat, .sys oder .reg

Werden diese einfachen Sicherheitsvorkehrungen beachtet, wird das Risiko eines Befalls mit Schadprogrammen erheblich reduziert.

Lassen Sie sich von uns unter der Nummer 0800 4883 338 beraten, welche organisatorischen Maßnahmen und technischen Lösungen erforderlich sind, um Angriffe über E-Mails zu verhindern.

Mehr zum Thema IT-Sicherheit finden Sie hier.

Mehr zum Thema Erhöhung der IT-Sicherheit im deutschen Mittelstand finden Sie auf der Seite der ITQ GmbH.

/von

Der Türsteher für Netzwerk und WLAN: Macmon

,

Wer zur Party will, muss erst am Türsteher vorbei. Wer in Ihre Firma hineinspazieren möchte, muss am Empfang vorbei. Und wer in Ihr Netzwerk oder WLAN will ..?

Das sollten Sie genauestens prüfen! Eine sogenannte Network Access-Lösung nimmt Ihnen diese Aufgabe ab – wir arbeiten mit Macmon. Sie schützt vor unautorisierten Zugriffen in das Netzwerk oder WLAN.

 

Unternehmensnetzwerke – oft mangelhaft geschützt

Im Zuge von Penetrationstests werden unsere Sicherheitsanalysten häufig damit beauftragt, die Zugriffsmöglichkeit in interne Netzwerke von Unternehmen zu prüfen. Dabei wird ganz simpel ein Notebook per Stecker mit dem Netzwerk verbunden.

In 99,9 Prozent der Fälle erleben wir, dass dieser Schutz tatsächlich nicht vorhanden ist!

Je nachdem wie es segmentiert ist, hat ein Angreifer dann im Schlimmsten Fall Zugriff auf das gesamte Netzwerk. Denn beim Verbinden wird eine IP-Adresse zugewiesen und erlaubt uns das Verbinden zu den Servern. Selbst wenn wir über keine Anmeldedaten zu den Servern verfügen, ist damit jedoch das Kommunizieren mit den Servern möglich; sprich: Wir können Sicherheitslücken finden und Schwachstellen aufdecken.

Eine Network Access-Lösung wie Macmon schützt genau vor einem solchen Szenario, denn dann werden unautorisierte Geräte, deren Kabel in eine Netzwerkbuchse gesteckt werden, umgehend erkannt und der Zugriff unterbunden.

 

Flexibel mit Macmon

Sie können unterschiedlichste Aktionen konfigurieren – die einfachste wäre, den entsprechenden Port zu deaktivieren. Eine Nutzung, egal ob autorisierter oder unautorisierter Geräte, wäre dann erst nach manueller Entsperrung wieder möglich.

Eine andere Möglichkeit ist, dass unbekannte Geräte erkannt und in ein isoliertes VLAN, also in ein Gastnetz, geleitet werden. Vor dort aus ist kein Zugriff auf jegliche Infrastrukturkomponenten gegeben, ein Gast könnte jedoch im Internet surfen oder seine Mails abrufen.

 

Die gleiche Vorsicht sollten Sie beim Thema WLAN walten lassen. In den meisten Unternehmen gibt es mittlerweile die Trennung zwischen Gast- und Unternehmens-WLAN. Für das Gast-WLAN gibt es meist ein langes und kompliziertes Passwort, den sogenannten Pre Shared Key, den der Gast im WLAN für die SSID eingibt.

Doch: Häufig wird dieses Passwort jahrelang nicht mehr geändert mit dem Argument, dass eine Änderung viele weitere Korrekturen im System zur Folge hätte.

Das Problem: Ehemalige Mitarbeiter haben dann noch Zugriff. Sie könnten sich beispielsweise in die Nähe des Unternehmens begeben, sich einloggen und illegale Dinge über den Internet-Anschluss, der auf die Firma geschlüsselt ist, durchführen.

 

Sie haben Fragen zum Thema oder zur Lösung Macmon? Unter 0800 4883 338 beantworten wir Sie ihnen gerne!

/von

Hacker müssen draußen bleiben: Multifaktor-Authentifizierung

,

Haben Sie auch schon das Schreiben Ihrer Bank erhalten, in welchem Sie darüber informiert werden, dass das iTAN-Verfahren abgeschaltet wird und Sie zum neuen, sicheren photoTAN-Verfahren wechseln sollen beziehungsweise müssen? Ziel ist das Erschaffen einer ‚starken‘ Kundenauthentifizierung, um damit die Sicherheit beim Online Banking zu erhöhen.

Das erweiterte Verifizierungsverfahren ist in diesem Fall zum Schutz Ihrer persönlichen Werte da. Als Inhaber oder Geschäftsführer eines Unternehmens sollte Ihnen dieses Thema auch wichtig sein, um die Werte Ihres Unternehmens zu schützen. Denn, wie Sie wissen, gibt es unzählige Möglichkeiten, Passwörter zu stehlen.

Wie also können Sie sicher sein, dass sich nicht eine fremde Person in Ihrem Netzwerk anmelden möchte?

Mit einer Multifaktor-Authentifizierung (MFA) können Sie dem Angreifer mehrere, unüberwindbare Barrieren bauen. Wir selbst setzen die Lösung AuthPoint von WatchGuard ein, denn sie bietet eine einfache und effektive Multifaktor-Authentifizierung, die überall verfügbar ist.

Zusätzlich zur Passwort-Eingabe erfolgt ein weiterer Eingabecode zur Authentifizierung. Aber warum heißt es Multifaktor-Authentifizierung? Die Multifaktor-Authentifizierung beschreibt folgende Faktoren: Ihr Passwort, den Code via Push Message, die Telefon-Biometrie sowie einer daraus generierten sogenannten ‘Telefon-DNA’.

Die verwendete Mobile App von AuthPoint ist zudem kompatibel mit Apple iOS und Android. Sollte für die Nutzung der App keine Internet-Verbindung bestehen, so hat man auch die Möglichkeit, sich seinen Code via QR Code generieren zu lassen. Und selbst wenn Sie kein Telefon zur Verfügung haben und auch die App für Sie nicht zugängig sein sollte, so steht Ihnen das AuthPoint-Portal browserbasierend im Web zur Verfügung.

 

Wie funktioniert AuthPoint?

Sie melden sich – wie gewohnt – mit Ihrem Passwort an. WatchGuard nutzt dafür ein Portal, in dem das Passwort hinterlegt ist. Nach der Eingabe erhalten Sie den zweiten Authentifizierungscode per Push Message, welchen sie zusätzlich eingeben. Ein Angreifer könnte zwar Ihr Passwort stehlen, müsste dann jedoch auch Ihr Mobiltelefon haben, um sich zu einem System Zutritt zu verschaffen.

 

Kundenbetreuer Sebastian Gottschalk erklärt: “Mithilfe von Passwort-Richtlinien kann man im Unternehmen schon recht viel Sicherheit schaffen, indem man Passwörter mit bestimmten Voraussetzungen wie Anzahl der Zeichen, Sonderzeichen, Groß- und Kleinbuchstaben sowie Ziffern vorschreibt und diese auch regelmäßig ändert. Im besten Fall verfügen Sie über ein Passwort-Tool, das komplexe und einzigartige Passwörter erzeugt.

Nichtsdestotrotz ist man nie davor gefeit, dass eine nicht berechtigte Person das Passwort eines Anwenders ergattert. Eine Multifaktor-Authentifizierung erzeugt daher grundsätzlich ein sehr viel höheres Sicherheitsniveau.”

 

Es gibt viele 2-Faktor-Lösungen am Markt. Der Hersteller WatchGuard arbeitet ausschließlich mit der OTP-Technologie (‘One Time Password’), also mit einer einmaligen Vergabe des Authentifizierungs-Codes.

Das Passwort ist auch nur eine gewisse Zeitspanne, welche Sie selbst bestimmen, nutzbar. Verstreicht die gesetzte Frist, muss der Anmeldeprozess wiederholt werden – eine weitere Sicherheitsmaßnahme.

 

Varianten der Übermittlung des Authentifizierungscodes bei WatchGuard AuthPoint

  • per Push-Message
  • via AuthPoint-App (Apple iOS und Android)
  • browserbasierend über das WatchGuard-Portal ‚AuthPoint‘
  • per QR Code; den QR Code einfach per Handy einscannen und sich so authentifizieren (Offline)

 

Sebastian Gottschalk: “In der heutigen Zeit im Rahmen von Sicherheitstechnologiequalität und Schwachstellenmanagement, und auch generell für Unternehmen, die ihre Leitlinie nach dem BSI Grundschutz ausrichten, ist eine Multi-Faktor-Authentifizierung unerlässlich. Da sie inzwischen auch bezahlbar ist, gibt es aus meiner Sicht keinen Grund, keine zu haben.”

 

Sie besitzen keine Produkte von WatchGuard? Kein Problem! Nutzbar ist die AuthPoint MultiFaktor-Authentifizierung auch ohne den Besitz einer WatchGuard Firewall. Heißt, selbst wenn Sie eine ‘fremde’ Firewall-Lösung einsetzen, ist AuthPoint für Sie als Multifaktor-Authentifizierung möglich respektive nutzbar.

Kontaktieren Sie uns unter 0800 4883 338 kostenfrei zu diesem Thema, wir beraten Sie gerne.

/von

Rauchen ist schädlich … für die Sicherheit Ihrer Daten!

,

Wenn Sie glauben, dass Hacker mit einer Sturmmaske vorm Bildschirm sitzen, um arglose Opfer für ihre Attacken zu suchen, dann liegt das vor allem an den Medien, die dieses Bild geprägt haben, weil es Aufmerksamkeit erregt.

Die Wahrheit sieht anders aus. Zum einen – das mit den Sturmhauben stimmt so nicht. Zum anderen sind Hacker nicht immer ‚die Bösen‘ (wie Sie wissen, verfügen auch wir über Sicherheits-Experten, die Hacker-Angriffe simulieren, um Ihnen die Schwachstellen in Ihrer IT aufzuzeigen).

Im letzten Newsletter haben Sie alles zum klassischen Prüfmodul ‚Computer Based Social Engineering‘ erfahren. Heute möchten wir Sie über das (noch viel spannendere Thema) ‚Human Based Social Engineering‘ informieren. Bei dieser Art des Angriffs geht es darum, physische Sicherheitsvorkehrungen vor Ort im Zusammenspiel mit den Mitarbeitern zu überprüfen.

 

‘Human Based’ in der Praxis

Kürzlich wurden wir beauftragt, an einem beliebigen PC im Unternehmen einen Keylogger zu platzieren. Ein Keylogger ist eine Hard- oder Software, die verwendet wird, um die Eingaben des Benutzers an einem Computer mit zu protokollieren, dadurch zu überwachen oder zu rekonstruieren.

Unser Sicherheitsexperte kundschaftete also zunächst das gesamte Unternehmen aus, wie es ein Hacker auch tun würde, online und vor Ort: Wie groß und anonym ist das Unternehmen? Wie sind die Betriebszeiten? Welche Zugänge gibt es? Wo ist welche Abteilung? Welche Sicherheitsmaßnahmen gibt es? Gibt es einen Empfang? Sicherheitspersonal? Und gibt es Schichtwechsel? Wen kann ich als Referenz nennen? usw.

Auch fingierte Telefonanrufe bei Mitarbeitern sind Teil der Informationsbeschaffung und damit Teil des Tests. Angriffsziel ist hier gerne die Zentrale, die man bittet sich zu den Ansprechpartnern durchstellen zu lassen. Öffentlich zugängliche Informationsquellen wie XING, LinkedIn oder auch Social Media bieten dem Hacker das nötige Hintergrundwissen über Funktion und Bekanntschaften, um am Telefon glaubwürdig herüber zu kommen.

Bereits einige Male gelang es unseren Mitarbeitern, sich anhand einer gefälschten Identität am Empfang vorbei zu schmuggeln. Die Tarnmöglichkeiten sind hier vielseitig, da selbst in mittelständischen Firmen ständig Dienstleister ein- und ausgehen – sei es der Telekommunikations- oder IT-Techniker oder auch die betreuende Drucker-Firma.

Dieses Mal jedoch fiel seine Wahl auf das Rauchereck – ein beliebter Prüfpunkt. Hier gesellte sich unser ‚Spion‘ dazu, rauchte eine Zigarette mit und ging mit dem Erstbesten, der die Tür öffnet, ins Gebäude hinein.

Notiz: Solche Raucher-Treffs stellen speziell in großen Unternehmen ein Problem dar – die hohe Mitarbeiteranzahl sorgt für hohe Anonymität. Unsere Security Consultants erleben auch häufig, dass solche Zugänge während der Bürozeiten frei zugänglich sind. Entweder, weil sie von vornherein nicht verschlossen sind oder aus Bequemlichkeit ein Keil die Tür geöffnet hält.

Kaum ins Gebäude gelangt, kann mit der Arbeit begonnen werden. Dabei wird jede Schwachstelle notiert und bewertet, jedoch ohne Abteilungen oder Namen zu nennen. Unser Ergebnisbericht bleibt absolut anonym und soll der Führungsebene lediglich die Wahrscheinlichkeit eines solchen Angriffes aufzeigen.

 

Gerne bieten wir Ihnen Maßnahmen wie den 10-Punkte-Plan an, eine Art Leitfaden oder Awareness-Training. Es gibt viele Ansätze zur Verbesserung der Informationssicherheit. Welche zu Ihren Bedürfnissen passen, erfahren Sie im Zuge der Beratung. Kontaktieren Sie uns unter 0800 4883 338.

/von

Viren? Hacker? – Kenn ich, betrifft mich aber nicht!

Ein ITQ-Artikel von Dennis Joist

Rund zwei Drittel aller mittelständischen Unternehmen sind bereits Opfer von Cyber-Attacken geworden. Im Ergebnis mussten davon fast die Hälfte zeitweilig den Betrieb einstellen. Im Durchschnitt treten pro Unternehmen vier IT-Sicherheitsvorfälle pro Jahr auf.

Die nackten Zahlen: Der durchschnittliche Schaden in einem mittelständischen Unternehmen beläuft sich auf 380.000,- € jährlich!

In kleineren Betrieben mag diese Summe sicherlich niedriger ausfallen – aber selbst ein kleinerer Schaden kann bei vielen Klein- und Kleinstunternehmen zumindest zu Liquiditätsengpässen führen.

Der weit verbreitete Gedanke kleiner Betriebe (‘Bei uns ist nix zu holen’), stellt sich als gefährlicher Irrglaube heraus. Denn gerade in diesen Unternehmen ist es um die IT-Sicherheit schlecht bestellt. So haben Hacker erleichterte Zugriffsmöglichkeiten auf die IT-Systeme.

 

Der Weg des geringsten Widerstandes – beliebtes Handlungsmotto von Cyber-Kriminellen!

Häufigstes Einfallstor für derartige Angriffe sind Mails mit Schadprogrammen. Diese werden zwar grundsätzlich von Viren-Schutzprogrammen erkannt … jedoch versagen diese Programme bei neuen, unbekannten Viren. Dann genügt das unachtsame Öffnen eines Anhanges, um IT-Systeme zu infizieren.

‘Bruder Leichtfuß’ in Gestalt des eigenen Mitarbeiters ist leider meist Verursacher Nummer 1, wenn es um die Ursache von IT-Sicherheitsvorfällen geht.

Der Grund eines solchen Fehlverhaltens ist aber in der Regel in der Leitungsebene des Unternehmens zu suchen, die mangels Sensibilisierungs- und Schulungsmaßnahmen nicht dazu beiträgt, ein entsprechendes Problembewusstsein bei seinen Mitarbeitern zu schaffen.

Mindestens ebenso wichtig wie die Umsetzung grundsätzlicher technischer Schutzmaßnahmen ist es, interne Arbeitsanweisungen, Richtlinien, Prozesse und Verfahren offen an Mitarbeiter zu kommunizieren und diese nicht nur bekannt zu machen, sondern auch zu prüfen, ob deren Regelungsinhalt verstanden worden ist. Mit der Vorlage eines Sammelsuriums von Sicherheitsanweisungen zur Unterschrift ist es nicht getan, wenn nicht sichergestellt werden kann, dass diese am Ende des Tages auch verstanden und befolgt werden.

Betrachtet man allein die Abhängigkeit der Geschäftsprozesse von der Funktionalität der IT-Systeme, wird einem schnell bewusst, welche gravierenden Folgen stundenweise oder gar tagelange Ausfälle der Informationstechnik haben können.

Getreu der Prämisse ‘Aktion statt Reaktion’ sollte daher überprüft werden, ob das interne Sicherheitsniveau angemessen ist. Eine sinnvolle Überlegung: Beauftragen Sie einen unabhängigen, neutralen Experten für Informationssicherheit und umgehen Sie so die Gefahr der ‘Betriebsblindheit’.

 

Was das kostet …

Viele Sicherheitsmaßnahmen sind nicht zwangsläufig mit hohen Kosten verbunden, sondern auch mit kleinerem Budget umsetzbar: Schulungen oder die Formulierung eindeutiger Arbeitsanweisungen, um damit organisatorischen Fehlern vorzubeugen, sind hierfür Beispiele.

Eine regelmäßige Überprüfung des Unternehmens auf Sicherheitsmängel ist insbesondere für die Unternehmensleitung relevant, um im Schadensfall den Nachweis erbringen zu können, unternehmerischen Sorgfaltspflichten nachgekommen zu sein. Andernfalls kann es zum Fortfall des Versicherungsschutzes bis hin zur persönlichen Haftung des Geschäftsführers kommen.

Zur Versinnbildlichung möge man sich ins Gedächtnis rufen, dass fehlende regelmäßige Wartung des Autos früher oder später teuer wird und zu kostspieligen Reparaturen führt. Das Fahrzeug wird ausfallen oder läuft nicht mehr zuverlässig.

Gleiches kann dem eigenen Unternehmen blühen.

 

Sie haben Fragen zu diesem Artikel oder zum Thema IT-Sicherheit im Allgemeinen? Kontaktieren Sie uns unter 0800 4883 338 kostenfrei.

/von

Die Basisprüfung ITQ – budgetfreundlicher Einstieg in die Informations-Sicherheit für KMU

,

Grundsätzliches Verständnis zur Wichtigkeit einer sicheren und funktionierenden Informationstechnik ist in KMU oft vorhanden. Allerdings sind die getroffenen Sicherheitsmaßnahmen meist nicht ausreichend oder es bestehen Lücken bei der Absicherung.

Häufig wird Informationssicherheit mit hohen Kosten und komplexen technischen Fragen verbunden – dies wirkt abschreckend und verhindert weitere Beschäftigung mit der Materie.

Mithilfe der Basisprüfung ITQ des Institut für Technologiequalität ITQ wurde speziell für kleine und mittelständische Unternehmen ein budgetfreundliches Werkzeug geschaffen, um einen bezahlbaren Einstieg in die Verbesserung der Informationssicherheit zu ermöglichen. Es hilft dabei, wichtige Unternehmenswerte wie Entwicklungspläne, vertrauliche Informationen und Geschäftsdaten gegen Diebstahl oder sonstigen Verlust zu schützen. Zudem zeigen Sie, dass Ihr Unternehmen ein verlässlicher Geschäftspartner ist, der verantwortungsbewusst mit fremden Informationen und Werten umgeht.

Die Methodik und der Inhalt der Basisprüfung ITQ wurde von Experten mit langjähriger Erfahrung auf dem Gebiet der Informationssicherheit entwickelt. Diese Vorgehensweise – einen geeigneten Einstieg in die Informationssicherheit zu schaffen und auf Basis der Prüfung das eigene Sicherheitsniveau festzustellen, zu verbessern und aufrechtzuerhalten – hat sich in jahrelanger Praxis vielfach bewährt.

Gängig ist die Prüfung des gesamten Unternehmens, dennoch können auch einzelne Bereiche Gegenstand der Prüfung sein.

 

Informationssicherheit ist als ein Zyklus zu verstehen

Beginnend mit der Ermittlung des Sicherheitsstandes, weiter zur Implementierung von Maßnahmen bis hin zur wiederkehrenden Prüfung, ob ermittelte Risiken durch Maßnahmen weiterhin erfolgreich beseitigt werden oder neue Risiken entstanden sind, gegen die es vorzugehen gilt.

Neben der Prüfung der technischen Voraussetzungen, werden weiter auch organisatorische sowie infrastrukturelle Vorgaben geprüft und gemeinsam bedarfsgerechte Maßnahmen ausgewählt, um die Sicherheit zu steigern. Objekte der Basisprüfung ITQ sind die Geschäftsprozesse, Anwendungen, IT-Systeme und betriebsrelevante Räumlichkeiten des Unternehmens.

 

Das Ergebnis kann sich sehen lassen

Immer mit dem Ziel vor Augen, eine praxisnahe Lösung zu erarbeiten, werden diejenigen Maßnahmen vorgeschlagen, die von unseren Experten nach langjähriger Erfahrung als wirkungsvoll bewertet wurden – wobei insbesondere wirtschaftliche Gesichtspunkte Berücksichtigung finden.

Oftmals können bereits durch wenig kostenintensive Maßnahmen große Erfolge erzielt und das Sicherheitsniveau des Unternehmens wesentlich gesteigert werden. Die Erfahrung hat gezeigt, dass häufig im organisatorischen Bereich Nachholbedarf besteht und durch kurzfristige Umsetzung von Maßnahmen – ohne großen finanziellen Aufwand – viel zur Steigerung der Informationssicherheit beigetragen werden kann.

Nach Durchführung der Prüfung wird der Unternehmensleitung ein Ergebnisbericht übergeben, der den derzeitigen Stand der Informationssicherheit mit dem Idealbild vergleicht. Darauf aufbauend wird ein Katalog mit Maßnahmenempfehlungen zur Verfügung gestellt. Diese zeigen, wie erfasste Mängel beseitigt werden können.

Die Reihenfolge der Maßnahmen wird anhand bestehender Risiken und Wirkungsreichweite unverbindlich festgelegt, besonders kritische Mängel werden entsprechend hervorgehoben. Auf Basis dieses vorgeschlagenen Umsetzungsplanes kann die Unternehmensleitung die Reihenfolge der Umsetzung selbst bestimmen und wählen, welche Maßnahmen im Betrieb getroffen werden sollen.

 

Informationssicherheit ist keine einmalige Handlung, sondern als wiederkehrender Prozess zu verstehen. Insofern sollte das avisierte Sicherheitsniveau Schritt für Schritt erarbeitet und kontinuierlich verbessert werden. Ein funktionierendes Informationssicherheitsmanagement wird treffend durch ebendiesen Prozess beschrieben.

 

Sollte wir Ihr Interesse geweckt haben, zögern Sie nicht unter der 0800 4883 338 kostenfrei mit uns in Kontakt zu treten und ein unverbindliches Angebot anzufordern. Individuelle Prüfungen bieten wir bereits ab 999,- € an!

/von

Mit Social Engineering das Sicherheits-Bewusstsein im Unternehmen ermitteln

Einer der wichtigsten Faktoren im Zusammenhang IT-Sicherheit in Unternehmen ist die ‘Komponente Mensch’, also das Sicherheits-Bewusstsein der Mitarbeiter. Wie Sie bereits wissen, verschaffen Sie sich mit einem Penetrationstest (simulierter Hacker-Angriff) Überblick über das Sicherheitsniveau im eigenen Betrieb (Detailinformationen hierzu finden Sie hier). Um festzustellen, wie es um das oben erwähnte Sicherheitsverständnis bestellt ist, gibt es das Prüfmodul ‘Social Engineering’.

Will ein Hacker Geschäftsgeheimnisse ausspähen, setzt er in der Regel am ‘schwächsten Kettenglied’ an. Und dieses ist – neben über das Internet zur Verfügung gestellten Diensten – leider oftmals das Personal.

 

Was genau ist Social Engineering?

Social Engineering bezeichnet die zwischenmenschliche Beeinflussung von Personen. Das bedeutet, es wird versucht, durch gekonnte Fragestellung eine Person in die Irre zu führen oder zu manipulieren. Dies kann durch eine persönliche Kontaktaufnahme zum potenziellen Opfer (Human based) oder auf elektronischem Wege (Computer based) per Mail, Messenger, Soziale Netzwerke, Telefonanrufe sowie manipulierte USB Sticks geschehen.

 

Wie sieht ‚Computer Based Social Engineering‘ in der Praxis aus?

Entweder beginnt unser Security Consultant bei Null und sammelt Kontaktdaten Ihrer Mitarbeiter oder Sie stellen ihm eine Liste mit relevanten Mail-Adressen zur Verfügung – dabei wird natürlich DSGVO-konform gearbeitet.

Mit diesen Informationen wird dann beispielsweise ein Spear Phishing-Angriff durchgeführt: Durch den Versand einer präparierten Mail an einen dedizierten Personenkreis versucht der Consultant, an Informationen zum Zugriff auf das Unternehmensnetzwerk zu gelangen.

Die jeweilige Vorgehensweise wird an die unternehmerischen Gegebenheiten angepasst. Ein Beispiel: Wird ein Web-basiertes Mail-System genutzt, simuliert unser Consultant dessen Anmeldeseite. Per Mail gibt er sich als Vertreter des zuständigen IT-Dienstleisters aus bittet Ihre Angestellten unter dem Vorwand, es hätte technische Änderungen gegeben, sich am besagten Mail-System anzumelden. Steigen die Mitarbeiter darauf ein, sind die Anmeldedaten abgegriffen.

Ein so simulierter Angriff wird lückenlos ausgewertet – die Anzahl der geöffneten Mails, der Link-Klicks und natürlich, wie häufig Anmeldedaten hinterlassen wurden. Daraus ergibt sich, wie umsichtig Ihre Mitarbeiter sind.

 

Möchten Sie das Sicherheitsbewusstsein Ihres Unternehmens auch einmal von uns unter die Lupe nehmen lassen? Gerne beraten wir Sie zum Thema Social Engineering unverbindlich unter 0800 4883 338 (kostenfrei innerdeutsch).

PS: In den kommenden Wochen stellen wir Ihnen das ebenso spannende Thema Human Based Social Engineering vor.

/von