IT Security: Kundencase, der wachrüttelt!
In den vergangenen Monate sind in den Nachrichten andauernd Berichte über Cyberangriffe in der Schweiz aufgetaucht. Im Zusammenanhang mit den Angriffen sind prominente Namen wie Comparis, AMAG, Stadler Rail aber auch die Messe Basel aufgetaucht. Seit dem Beginn der Corona-Pandemie gab es einen exponentiellen Anstieg von Cyberattacken auf Unternehmen. Dies war global der Fall und ist somit nicht nur auf die Schweiz bezogen. IT Security rückt immer mehr ins Zentrum der IT-Strategie von Unternehmen.
Gemäss einer Analyse des Beobachters gab es in der Schweiz in den letzten fünf Jahren rund 4’800 Angriffe auf Schweizer Firmen. Davon haben sich 2’700 letzten Angriffe in den letzten 12 Monaten abgespielt. Bei diesen Zahlen geht es um Firmen, bei denen effektiv Daten gestohlen wurden und diese Daten zusätzlich im Darknet aufgetaucht sind. Das waren die Firmen, welche nicht auf die Lösegeldforderungen eingegangen sind. Die Dunkelziffer der Angriffe in der Schweiz ist dementsprechend um einiges höher. Laut Schätzungen von Experten gehen rund 40% der betroffenen Firmen auf die Lösegeldforderungen ein.
IT Security: Use case bei unserem Kundenunternehmen XY
Sachverhalt:
Es geht um eine Firma im Baugewerbe mit rund 65 Mitarbeitenden, davon sind ca. 10-15 Büromitarbeitende. Ende Juni hat sich der Sachverhalt gestartet, denn der Geschäftsführer ging in den Urlaub. Nach wenigen Tagen schickte der CEO aus seinem Urlaub ein Mail an die Finanzabteilung mit der Bitte einer Akontozahlung. Der zuständige Mitarbeiter meldete sich mit einer Rückfrage beim Geschäftsführer. Diese wurde per Mail rasch beantwortet und infolgedessen wurde die Akontozahlung ausgeführt. Des Weiteren wurde einige Tage später eine erneute Aufforderung an die Finanzabteilung gesandt, mit einer neuen Zahlungsaufforderung. Da es um den gleichen Sachverhalt wie bei der ersten Zahlung ging, wurde dies speditiv abgewickelt. Dementsprechend erfolgte der Schreckmoment nach der Rückkehr des Geschäftsführers aus dem Urlaub.
Was tatsächlich geschah – redIT als IT Partner gefragt
Nach der Erkennung des Cyberangriffs wurde redIT informiert und ins Boot geholt. Wir sind dem Fall auf die Spur gegangen, haben das Ganze rekonstruiert und herausgefunden, was sich tatsächlich abgespielt hat:
Der Geschäftsführer ging in den Urlaub . Ab diesem Zeitpunkt ist es dem Angreifer gelungen, den Zugang zum Postfach des Geschäftsführer zu erlangen. Zeitgleich wurde eine Umleitung für sämtliche Mails definiert, damit der Geschäftsführer keine Mails mehr erhält. In diesem Fall bedeutete dies, dass das ursprüngliche Mail mit der Akontozahlung vom Angreifer kam. Die Rückfragen und alle weiteren Mails sind entsprechend wieder direkt beim Angreifer gelandet bzw. wurden von ihm abgefangen. Der Geschäftsführer hat vom Ganzen überhaupt nichts mitbekommen.
Was redIT hinterfragt hat, war die Tatsache, dass das ganze zu Beginn der Ferien geschah. Zusätzlich waren die Mails stilistisch, von der Wortwahl und dem Tonfall sehr nahe am Stil des Geschäftsführers. Daher forschten wir noch tiefer nach. Es stellte sich heraus, dass der Zugang zum Account nicht erst in der Ferienzeit, sondern bereits Ende April erschlichen worden war. Es wurden eindeutig damals schon erste externe Anmeldungen getätigt. Das bedeutet, dass der Angreifer sich vorgängig das Wissen über Schreibstil, Umgang mit Mitarbeitenden etc. angeeignet hat.
Nach längeren Gesprächen und Analysen stellte sich dann heraus, dass ein privates Passwort vom CEO geleaked wurde. Da er jedoch bei mehreren Accounts das gleiche Passwort hatte, wurde somit auch der Geschäfts-Account erfolgreich gehackt.
An dieser Stelle: Bitte überdenken Sie, wie es bei Ihnen aussieht. Bei wie vielen Accounts verwenden Sie dasselbe Passwort?
Wir wissen, dass es sehr verlockend ist, dasselbe Passwort für verschiedene Konten zu verwenden. (Sei es Social Media, Netflix, Telecom, Krankenkasse, etc.)
«Wie kann man das ganze Thema IT Security angehen?»
Vor solchen Angriffen kann man sich schützen! Grundsätzlich ist es essenziell wichtig, sich selber Gedanken über die ganze IT Security im Unternehmen zu machen. Bei einem Security Assessment wird jeder Punkt wo Lücken vorhanden sind oder auch Handlungsbedarf besteht analysiert.
Denn die IT Security verhält sich wie eine Kette, sie ist nur so stark, wie ihr schwächstes Glied. Im obigen Case war der Mensch das schwächste Glied. Dies ist generell, wenn wir ein Security Assessemnt durchführen die Erkenntnis, dass der Mensch sowie die Infrastruktur meistens die «schwächsten» Glieder in der Sicherheitskette sind.
Beim Thema Mensch ist eine bewährte Methode das Glied zu stärken durch Schulungen und Security Trainings. Für dieses Thema bieten wir Security Awareness Trainings an, welche wir mit unseren Kunden durchführen. In den Trainings geht es hauptsächlich darum, die Mitarbeiter zu sensibilisieren, wo die Gefahren im Netz lauern. Wie beispielsweise Phising, Scam, Viren, Trojaner, Social Engineering etc.
Nicht zu vernachlässigen ist es zusätzlich zu trainieren, wie man richtig reagiert, wenn etwas schief läuft. Und somit einen Anteil zu der IT Security im Unternehmen beiträgt. Auf Wunsch kann man in den Trainings vorgängig gezielt simulierte Phishing Attacken auf die eigenen Mitarbeitenden durchführen. Entsprechend wird auf diese Phising Attacke im Training eingegangen und analysiert wo man reinfiel. Im Nachgang zum Training, werden erneut simulierte Attacken auf die Mitarbeitenden durchgeführt, um so die Lerneffekte zu überprüfen.
Phishing Mail
Man liest ein Mail und ist plötzlich mit einer anderen stressigen Situation konfrontiert.
Brennt das Licht bei meinem Auto? – Wie fahre ich heute nach Hause, wenn ich keine Batterie mehr habe?
Impulsiv überprüfen wir, ob es tatsächlich nicht uns selbst betrifft. Klickt man auf den Link, ist es passiert, obwohl es mehrere Anzeichen gibt, welche darauf hinweisen, dass es sich um ein ‘’falsches’’ respektive um ein Phishing Mail handelt. Achtetet man genau auf die Angaben, ist ersichtlich, dass die Absenderadresse nicht der Firmendomain entspricht. Ebenfalls erhält man die Warnung von Microsoft, dass es sich um keinen verifizierten Absender handelt. Oft sind zudem Schreibfehler ersichtlich. Testen Sie mit unserem Produkt Phish Threat, ob Ihre Mitarbeiter fit im Umgang mit missbräuchlichen Mails, sogenannten „Phishing-Mails“ sind.
«Warum wird das Ganze so angegangen?» – Die Erklärung der Notwendigkeit von IT-Security
Es gibt eine Theorie, welche besagt, dass unser Hirn aus zwei Systemen besteht:
- System 1: Arbeitet sehr intuitiv und automatisch – wir brauchen es um zu denken, wenn wir zum Beispiel Auto fahren oder uns im Gespräch an unser Alter erinnern.
- System 2: Arbeitet problemlösend und konzentriert – wir nutzen es um langsam zu denken, wenn wir zum Beispiel ein mathematisches Problem berechnen oder unsere Steuererklärung ausfüllen
Da langsames Denken bewusste Anstrengung erfordert, wird System 2 am besten aktiviert, wenn wir Selbstkontrolle haben, konzentriert oder fokussiert sind. In Situationen, in denen dies nicht der Fall ist, zum Beispiel wenn wir uns müde oder gestresst fühlen, übernimmt System 1 impulsiv die Kontrolle und beeinträchtigt unser Urteilsvermögen.
Schwachstellen Management
Doch dies sind nicht die einzigen Gefahren für Unternehmen. Unserer Erfahrung nach, ist häufig die eigene IT Infrastruktur verhältnismässig schlecht gepflegt. Deshalb gehen wir beim Schwachstellen Management auf die eigene Infrastruktur und Applikationen ein und analysieren, wo die Schwachstellen darin enthalten sind. Zusätzlich werden die potenziellen Gefahren respektive Eintrittspunkte für Angreifer ausfindig gemacht. Das Ganze auch immer mit dem Hintergedanken, den Mitarbeitenden das Leben ein Stückweit einfacher zu machen.
Überlegend Sie sich, wie viele Drucker in Ihrem Unternehmen im Einsatz sind? Allenfalls gibt es sogar Drucker, welche nicht über Ihre Informatik-Abteilung eingekauft wurden und «schnell» in Betrieb genommen wurden. Die meisten Drucker haben aus Werk default Passwörter wie «admin root» oder sonstige naheliegende Zahlenkombinationen.
Schafft es ein Angreifer, den Zugang zu einem solchen Drucker zu erlangen, ist es für Ihn relativ einfach über diesen Drucker eine Schadensoftware zu verteilen. Genauso einfach, wie dann alles mitzulesen was gedruckt wird und dies im Netz zu verkaufen oder zu publizieren. Deshalb gilt es auch hier zu beachten, je mehr Systeme und Applikationen im Einsatz sind, umso grösser ist das Risiko, dass etwas vergessen geht. Mit unserem Schwachstellenmanagement schaffen wir genau solche Probleme aus der Welt.
Der ehemalige Direktor vom FBI sagte einst zum Thema:
Es gibt nur zwei Arten von Unternehme: solche, die gehackt wurden, und solche, die noch gehackt werden.
Gehören Sie nicht dazu und schauen Sie sich unsere individuellen Lösungen für Ihre IT-Security an! – Kontaktieren Sie uns oder erfahren Sie mehr zu unserem IT Sicherheits Angebot: