Unter­neh­men geben viel Geld für die Sicher­heit ihrer Geschäfts­ge­heim­nisse aus. Fire­walls, Viren­scan­ner und Anti-Spam-Schutz nüt­zen jedoch wenig, wenn die Mit­ar­bei­ter und Mit­ar­bei­te­rin­nen breit­wil­lig Infor­ma­tio­nen und Geschäfts­ge­heim­nisse preisgeben.

Das Inter­net als Mittäter

Es ist erstaun­lich, wie viel man über ein Unter­neh­men und seine Mit­ar­bei­ten­den her­aus­fin­den kann und wie leicht das mög­lich ist. Mit der Google Suche kann man nach ver­trau­li­chen Doku­men­ten suchen, wel­che ihren Weg durch unvor­sich­tige Mit­ar­bei­tende in das World Wide Web gefun­den haben. Geben Sie bei­spiels­weise die fol­gende Such­an­frage bei Google ein: „intext:Vertraulich filetype:doc | filetype:docx“

Social Media-Sei­ten wie Xing oder Lin­ke­dIn sind eine gross­ar­tige Quelle für Email-Adres­sen und Infor­ma­tio­nen über die Mitarbeitenden.
Stel­len Sie sich vor, wie ein poten­ti­el­ler Angrei­fer vor­ge­hen könnte: Der Sys­tem-Admi­nis­tra­tor einer Firma hat einen Account bei Xing, der Angrei­fer schreibt in des­sen Namen eine E‑Mail an alle Mit­ar­bei­ten­den, die ihre Adresse auf Xing frei­ge­ben. In der E‑Mail wer­den die Mit­ar­bei­ten­den auf­ge­for­dert das Pass­wort auf dem Web-Mail Por­tal auf­grund eines Sys­tem­d­up­dates ein­zu­ge­ben, wel­ches der Angrei­fer selbst­ver­ständ­lich gefälscht hat (Bsp. webmail.ubs.ch wird zu webmail.usb.ch). Es ist keine grosse Her­aus­for­de­rung, eine sol­che Anfrage nahezu per­fekt zu gestal­ten. Mit einem (ver­meint­lich) legi­ti­men und bekann­ten Namen als Absen­der hin­ter­fra­gen die meis­ten nicht die Legi­ti­mi­tät der Mail, da Updates bei IT-Sys­te­men zum All­tag gehören.
Tests aus der Pra­xis zei­gen, dass schon inner­halb von weni­gen Stun­den eine grosse Anzahl der Mit­ar­bei­ten­den ihre Benut­zer­na­men und Pass­wör­ter unwis­sent­lich an eine fremde Per­son weitergeben.

Die Lösung

Lei­der kann man diese Art von Angriff nicht mit dem Kauf von Soft­ware oder einer „schmu­cken Plug and Play Box“ lösen. Aus tech­ni­scher Sicht hat der Angrei­fer eine legi­time Mail verschickt.

Das Pro­blem kann nur an der Wur­zel ange­gan­gen wer­den. Dies sind die Mitarbeiter.
Regel­mäs­sige Sen­si­bi­li­sie­rungs-Mass­nah­men wie Mit­ar­bei­ter-Schu­lun­gen oder Social Engi­nee­ring-Prü­fun­gen durch einen exter­nen Part­ner hel­fen dabei, die Quote der Mit­ar­bei­ten­den zu sen­ken, die bereit sind, sen­si­ble Infor­ma­tio­nen preiszugeben.
Aber auch auf der orga­ni­sa­to­ri­schen Seite kön­nen Mass­nah­men hel­fen, einen Angriff so früh wie mög­lich zu stop­pen. Mit­ar­bei­tende benö­ti­gen eine Anlauf­stelle, wenn sie ver­mu­ten Opfer eines Angriff gewor­den zu sein.