header_home_wuerfel_1920px.jpg

Technische Massnahmen sind für die IT-Sicherheit nicht alles − Faktor Mensch einkalkulieren

ChristianGolzDie Menschenrechtsorganisation Amnesty International berichtete kürzlich von gross angelegten Hacker-Angriffen auf Google- und Yahoo-Konten von Menschenrechtsaktivisten. Wie die Vorfälle zeigen, reicht auch eine Zwei-Faktor Authentifizierung nicht aus, um ein Online-Konto zuverlässig zu schützen. Wer gedankenlos auf Aufforderung Passwörter eingibt, ohne sich zu versichern, auf der korrekten Webseite zu sein, wird ein leichtes Opfer.

In den von Amnesty beschriebenen Fällen sind die Hacker äusserst geschickt vorgegangen: Sie sendeten an die Nutzer eine E-Mail mit dem Hinweis, dass Anomalien bei ihrem Konto erkannt worden seien und sie deshalb auf der verlinkten Webseite ihre Anmeldedaten eingeben müssten. Die Betroffenen gelangten auf eine gut gefälschte, täuschend echt aussehende Google- oder Yahoo-Webseite. Die Unvorsichtigen gaben dort ihre Anmeldeinformationen ein. Durch den automatischen Login des Angreifers im tatsächlichen Konto ausgelöst, erhielt das Opfer im nächsten Schritt die Meldung, dass ein Code zur Verifizierung des zweiten Faktors notwendig sei. Gab der Betroffene dann den Code für den zweiten Faktor ein, erlangte der Hacker Zugriff auf das Konto. Er vergab anschliessend ein App-Passwort, mit dem der Zugang zu einem Online-Dienst von verifizierten Geräten ohne zweiten Faktor ermöglicht wird. Die Hacker konnten danach ungestört auf das Konto des Betroffenen zugreifen.

hacker-2300772_1920Photo by TheDigitalArtist on Pixabay

Zwei-Faktor-Authentifizierung weiterhin wichtig

Wenn einmal die Anmeldedaten samt zugehörigem Zwei-Faktor-Authentifizierungstoken preisgegeben sind, wird einen Angreifer nichts davon abhalten, die Herrschaft über ein persönliches Online-Konto zu übernehmen. Das soll nicht heissen, dass man auf die Zwei-Faktor-Authentifizierung getrost verzichten kann. Sie sollte weiterhin dort zum Einsatz kommen, wo es möglich ist. Denn ein Grossteil der Attacken werden dadurch schon abgewehrt.

Für Unternehmen und Organisationen ist jedoch essentiell, die Mitarbeiter darüber aufzuklären, wie solche Angreifer daran arbeiten, die Sicherheitsbarrieren auszuhebeln. Sie müssen dafür sensibilisiert werden, dass man als Online-Nutzer allzeit aufmerksam bleiben muss. Oft reicht nämlich schon ein kritischer Blick auf die URL oder die Absender-Adresse, um den Betrug aufzudecken. Keine Frage, die Hacker wenden mittlerweile viel Zeit für die Phishing-Mails auf, um sie authentisch wirken zu lassen. Vorbei sind die Zeiten, in denen die Mails in unverständlichem Deutsch abgefasst oder die Fake-Websites auf den ersten Blick zu entlarven sind. Auch die URLs sind oft so ähnlich, dass sie auf den ersten Blick nicht als falsch erkannt werden.


Kontinuierliche Sensibilisierung ist entscheidend

Umso wichtiger ist es aber, die Mitarbeiter zu schulen und sie über diese, zuvor genannten Indizien, aufzuklären. Die Möglichkeiten reichen dabei vom eLearning, über das persönliche Training bis hin zum klassischen Handbuch. Den grössten Erfolg verspricht eine Kombination der drei Varianten, denn es hilft nicht, die Mitarbeiter nur einmal für ein bestimmtes Thema zu sensibilisieren, sondern dies muss kontinuierlich und stetig passieren. Nur so kann ein Unternehmen sicherstellen, dass die Mitarbeiter im richtigen Augenblick korrekt handeln.
Um den Erfolg einer Sensibilisierung zu messen, ist es nötig, vorher eine Test-Phishing-Attacke durchzuführen. Nachdem die Sensibilisierung zu einem Thema abgeschlossen ist, misst man über eine weitere Test-Phishing-Attacke den Grad der Verbesserung, kurz gesagt, wie viele Mitarbeiter weniger fielen auf den Angriff herein. Allerdings muss das Awareness-Training regelmässig wiederholt werden, denn nur so gerät das erlangte Wissen nicht wieder in Vergessenheit und die Mitarbeiter bleiben aufmerksam.

rawpixel-600787-unsplashPhoto by rawpixel on Unsplash


Führungsebene muss involviert werden

Der Erfolg einer Sensibilisierung hängt aber auch in entscheidendem Masse vom Top-Management ab. Denn nur wenn auch die Unternehmensleitung erfährt, wie gefährlich gut gemachte Angriffe sein können, werden die finanziellen Mittel bereitgestellt und die Schulungen verpflichtend gemacht. Zudem motiviert das Committment «von oben» die Mitarbeiter zusätzlich.

Natürlich ist eine Sensibilisierung kein Allheilmittel. Am Ende benötigt es weiterhin auch die technischen IT-Sicherheitsmassnahmen, um die Konten respektive die Unternehmens-Infrastruktur vor Brute-Force Attacken und anderen Angriffsvarianten zu schützen. Und auch auf der organisatorischen Seite sind die nötigen Prozesse zu installieren, die den korrekten sowie schnellen Umgang mit Informationssicherheitsvorfällen handhaben.
Kurzum: Mit einer aktuellen technischen Infrastruktur, den richtigen organisatorischen Massnahmen und regelmässiger Sensibilisierung kann so manche Hacker-Attacke verhindert werden.

Suchst du einen Partner für deine Digitale Transformation? Lerne uns kennen. 

Weiterführende Informationen

 

Topics: Sicherheit Security