Zero Trust ist nicht nur etwas für Cybersicherheitsspezialisten - es ist für Unternehmen eine notwendige neue Lebensweise. [...]
Im vergangenen Sommer wandten sich Strafverfolgungsbehörden sowohl an Apple als auch an Meta und forderten im Rahmen von „Notfalldatenanfragen“ Kundendaten an. Die Unternehmen kamen der Aufforderung nach. Leider stellte sich heraus, dass es sich bei den „Beamten“ um Hacker handelte, die einer Cyber-Bande namens „Recursion Team“ angehören.
Vor etwa drei Jahren erhielt der Vorstandsvorsitzende eines in Großbritannien ansässigen Energieunternehmens einen Anruf vom Vorstandsvorsitzenden der deutschen Muttergesellschaft des Unternehmens, in dem er angewiesen wurde, eine Viertelmillion Dollar an einen ungarischen „Lieferanten“ zu überweisen. Er kam der Aufforderung nach. Leider handelte es sich bei dem deutschen „CEO“ in Wirklichkeit um einen Cyberkriminellen, der die Stimme seines Gesprächspartners mit Hilfe von Deepfake-Audio-Technologie fälschte.
Die eine Gruppe von Kriminellen konnte Daten stehlen, die andere Geld. Und der Grund dafür war Vertrauen. Die Informationsquelle der Opfer darüber, mit wem sie sprachen, waren die Anrufer selbst.
Was genau ist Zero Trust?
Zero Trust ist ein Sicherheitsmodell, das sich nicht auf Perimetersicherheit stützt. Perimetersicherheit ist das alte und allgegenwärtige Modell, das davon ausgeht, dass jeder und alles innerhalb des Firmengebäudes und der Firewall vertrauenswürdig ist. Sicherheit wird dadurch erreicht, dass man Personen außerhalb der Umzäunung am Eindringen hindert.
Ein britischer Doktorand an der Universität von Stirling namens Stephen Paul Marsh prägte 1994 den Begriff „Zero Trust“. (Das Konzept, das auch als „De-Perimeterization“ bezeichnet wird, wurde in Richtlinien wie Forrester eXtended, Gartners CARTA und NIST 800-207 gründlich ausgearbeitet).
Die Perimetersicherheit ist aus einer Reihe von Gründen überholt, vor allem aber wegen der zunehmenden Verbreitung von Fernarbeit. Weitere Gründe sind: Mobile Computing, Cloud Computing und die zunehmende Raffinesse von Cyberangriffen im Allgemeinen. Und natürlich können die Bedrohungen auch von innen kommen.
Mit anderen Worten: Es gibt keine Netzwerkgrenzen mehr – nicht wirklich – und selbst wenn es Grenzen gibt, können sie durchbrochen werden. Wenn Hacker erst einmal in das Innere des Netzes eingedrungen sind, können sie sich relativ leicht darin bewegen.
Mit Zero Trust soll all dies behoben werden, indem jeder Benutzer, jedes Gerät und jede Anwendung jedes Mal, wenn sie auf eine Komponente des Netzwerks oder auf Unternehmensressourcen zugreifen, einen individuellen Authentifizierungs- oder Autorisierungstest bestehen muss.
Bei Zero Trust sind Technologien im Spiel. Aber Zero Trust selbst ist keine Technologie. Es ist ein Konzept und bis zu einem gewissen Grad auch eine Denkweise. Wir neigen dazu, es als eine Denkweise für Netzwerkarchitekten und Sicherheitsspezialisten zu betrachten. Das ist ein Irrtum; es muss die Einstellung aller Mitarbeiter sein.
Der Grund dafür ist einfach: Social Engineering ist ein nichttechnisches Hacken der menschlichen Natur.
Warum nur Zero Trust Social Engineering besiegen kann
Ein grundlegender Ansatz für die Anwendung von Zero Trust auf Social-Engineering-Angriffe ist alt und bekannt. Nehmen wir an, Sie erhalten eine E-Mail, in der behauptet wird, sie stamme von der Bank und es gäbe ein Problem mit Ihrem Konto.
Klicken Sie einfach hier, um Ihren Benutzernamen und Ihr Passwort einzugeben und das Problem zu lösen, heißt es. Die richtige Vorgehensweise in dieser Situation (wenn Sie sich nicht sicher sind) ist, die Bank anzurufen und sich zu vergewissern.
Bei jeder Art von Social-Engineering-Angriff besteht die beste Vorgehensweise darin, niemals die Ihnen angebotene Zugangsmethode zu verwenden, sondern eine eigene zu finden. Verwenden Sie die Person, die Sie kontaktiert, nicht als Informationsquelle darüber, wer Sie kontaktiert. Überprüfen Sie immer unabhängig.
In der Vergangenheit war es einfach, eine E-Mail zu fälschen. In naher Zukunft wird es genauso einfach sein, eine Live-Stimme oder ein Video zu fälschen.
Neben E-Mail-Spoofing können Unternehmen auch durch Phishing, Vishing, Smishing, Spear-Phishing, Snowshoeing, Hailstorming, Clone-Phishing, Whaling, Tabnabbing, Reverse Tabnabbing, In-Session-Phishing, Website-Fälschung, Link-Manipulation, Link-Hiding, Typosquatting, Homograph-Attacken, Scareware, Tailgating, Baiting, DNS-Spoofing und viele andere angegriffen werden.
Ihre Zero-Trust-Schulung sollte Ihre Mitarbeiter mit all diesen Angriffsarten vertraut machen. Das einfache Wissen um die vielen heimtückischen Methoden, mit denen Menschen dazu gebracht werden, unbefugten Zugriff zuzulassen, hilft ihnen zu verstehen, warum Zero Trust die Lösung ist.
In seinem ausgezeichneten Buch „Ghost in the Wires“ aus dem Jahr 2011 beschreibt der ehemalige Superhacker Kevin Mitnick eine seiner effektivsten Social Engineering-Techniken: Man sieht Mitarbeiter vor einem Gebäude, die gerade hineingehen wollen, und folgt ihnen einfach durch die Tür, mit dem Selbstbewusstsein von jemandem, der dort hingehört. Die Angestellten sehen diese Zuversicht als Bestätigung dafür an, dass sie einem Fremden die Tür aufhalten müssen.
Als Apple und Meta von gefälschten Polizeibeamten kontaktiert wurden, hätten sie sich die Details der Anrufer notieren, den Hörer auflegen und die Behörde anrufen sollen, um das zu überprüfen.
Als der CEO des britischen Unternehmens von jemandem kontaktiert wurde, der behauptete, der CEO des Mutterunternehmens zu sein, hätte ein Rückruf erfolgen müssen und nicht eine Überweisung auf der Grundlage des ersten Anrufs.
Wie man Zero Trust bei Social Engineering einsetzt
Die gute Nachricht ist, dass viele Unternehmen Zero-Trust noch nicht implementiert haben oder noch nicht einmal einen Zero-Trust-Fahrplan entwickelt haben, aber der Einsatz von Zero-Trust gegen Social Engineering kann sofort umgesetzt werden.
Finden Sie einen Weg, um jeden Teilnehmer an Audio- oder Videokonferenzen zu authentifizieren.
Mit anderen Worten: Durch Änderungen in Schulungen, Richtlinien und Praktiken muss jede eingehende Kommunikation, in der um etwas gebeten wird – Überweisung eines Geldbetrags, Angabe eines Kennworts, Änderung eines Kennworts, Anklicken eines Anhangs, Anklicken eines Links, Einlass in das Gebäude – verifiziert und authentifiziert werden, und zwar sowohl die Person als auch der Weg, über den die Anfrage erfolgt.
Bei fast allen Social-Engineering-Angriffen geht es darum, dass ein böswilliger Akteur das Vertrauen einer Person mit Zugangsberechtigung erlangt und diesen Zugang dann missbraucht.
Die Herausforderung beim Einsatz von Schulungen und einer Sicherheitskultur, die bei allen Mitarbeitern eine Mentalität des Zero-Trusts hervorrufen soll, besteht darin, dass die Menschen selbst gerne vertrauenswürdig sind. Menschen sind beleidigt, wenn ihnen gesagt wird: „Lassen Sie mich das erst überprüfen.“
Das sollte der größte Teil der Schulung sein: Mitarbeiter und Führungskräfte dazu zu bringen, darauf zu bestehen, dass man ihnen nicht traut. Man kann sich nicht einfach darauf verlassen, dass die Leute nicht vertrauen – man muss sie dazu bringen, selbst darauf beharren, dass man ihnen nicht traut.
Wenn ein leitender Angestellter einen Anhang an einen Mitarbeiter schickt und dieser ihn einfach herunterlädt und öffnet, ohne sich vorher zu vergewissern (z. B. indem er anruft und nachfragt), sollte dies von der Führungskraft als schwerwiegender Verstoß gegen die Sicherheitspraktiken gewertet werden.
Kulturell gesehen sind die meisten Unternehmen meilenweit davon entfernt, diese Praxis zu übernehmen. Und das ist es, was tausendmal wiederholt werden muss: Die Zero-Trust-Autorisierung von allem ist für die Vertrauenswürdigen und die Unvertrauenswürdigen gleichermaßen.
Bei so vielen Arbeitnehmern, die im Büro, zu Hause, in anderen Staaten oder sogar in anderen Ländern arbeiten, ist es an der Zeit für einen radikalen Neustart – eine Zero-Trust-Revolution, wenn Sie so wollen – in der Art und Weise, wie wir in der täglichen Geschäftskommunikation miteinander umgehen.
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Computerworld.
*Mike Elgan schreibt als Kolumnist für unsere US-Schwesterpublikation Computerworld und weitere Tech-Portale.
Be the first to comment