Unternehmen tun noch lange nicht genug, um ihre Mitarbeiter ausreichend in Cyber-Sicherheit zu schulen, meint Michael Connory. Nun hat der ethische Hacker demonstriert, wie angreifbar wir wirklich sind. [...]
Mit 12 Jahren erhielt Michael Connory, der heutige CEO des australischen Cyber-Sicherheitsunternehmens Security In Depth, seinen ersten Computer – ein IBM System / 370-Mainframe. Heute könnte er in seiner Rolle als ethischer Hacker in nur wenigen Minuten einen Social-Engineering-Angriff auf Ihr Unternehmen starten.
Erst letzte Woche hat er dem Team von CIO Australia hautnah demonstriert, wie einfach es für jemanden mit seinen Fähigkeiten ist, mit seiner hauseigenen Cyber-Attack-Simulation namens Candiru Ihre Verteidigung zu durchbrechen.
Unmittelbar vor Weihnachten erstellten Connory und sein Team eine einfache Phishing-E-Mail, um die Mitarbeiter des lokalen Büros eines 10-Milliarden-Dollar-Finanzdienstleistungsunternehmens zu überzeugen, einige ihrer persönlichen Daten preiszugeben. Sein Team wurde vom Unternehmen selbst mit dem Aufbau des Phishing-Angriffs beauftragt und wird zusätzlich dazu in einigen Wochen Cyber-Security-Schulungen für dessen Mitarbeiter halten.
Die Phishing-E-Mail mit dem Titel „Vielen Dank für Ihre harte Arbeit“ wurde an 140 Mitarbeiter des besagten Unternehmens versendet. Beim Öffnen wurde den Mitarbeitern ein Angebot für einen gefälschten Filmgutschein vorgelegt, der sie beim Anklicken an ein Portal weiterleitete, in dem sie aufgefordert wurden, persönliche Informationen wie Benutzernamen, Passwörter und Telefonnummern anzugeben.
Weil es kurz vor Weihnachten war, waren einige der betroffenen Mitarbeiter im Urlaub – und trotzdem haben insgesamt 41 Personen auf den Link in der E-Mail geklickt und in weiterer Folge ihre persönlichen Daten an einen vermeintlich unbekannten Host weitergegeben.
„Die Ergebnisse zeigen, dass viele Personen die E-Mail nicht geöffnet haben; trotzdem, einige haben es dennoch getan – und die Realität ist, dass viele Menschen tagtäglich einer solchen zum Opfer fallen“, erklärt Connory. „Wir könnten jetzt einfach abwarten und dann den Outlook- oder Google-Mail-Zugang oder was auch immer nutzen, um so auf (persönliche) E-Mails und Informationen zuzugreifen.“
Etwa drei Stunden nach Start der Phishing-Kampagne fand ein Mitarbeiter heraus, dass es sich bei der E-Mail um Spam handelte, und alarmierte den Rest des Unternehmens, so Connory. Seine Organisation wende bei den unvermeidlich regelmäßigen Hacking-Aktivitäten zwei unterschiedliche Methoden an. Die erste bestehe darin, eine „verbindliche Technologie“ zu verwenden, bei der die schädliche Software unmittelbar mit einem anderen Objekt, beispielsweise einem Bild, kombiniert werde.
Die zweite Methode, diejenige die das Unternehmen bevorzugt, besteht darin, einen Keylogger zu senden, um Zugriff auf einen Computer zu erhalten.
„Ein Beispiel könnte eine Bank sein – wir wollen nicht ihre Kunden ansprechen, denn das wäre dumm und viel zu langsam; stattdessen wollen wir die Bank selbst ansprechen. Wir wollen nicht zu unterscheiden sein – nicht gefunden werden. Wir können dabei einen sauberen Computer und eine saubere IP-Adresse haben“, so Connory.
Candiru kann auch überwachen, wann ein von Drittanbietern verwalteter Service Provider oder eine Sicherheitstechnologie, die vom Unternehmen verwendet wird, einen Angriff auf sich zieht. Das Finanzdienstleitungsunternehmen setzte beispielsweise Outlook 365 und die Cloud basierte E-Mail-Sicherheitssoftware Mimecast ein.
Das Mimecast-Produkt habe nur 18 Prozent der E-Mails abgerufen, gab Connory zu bedenken.
„Dem von Drittanbietern verwalteten Service Provider, den das Finanzdienstleistungsunternehmen nutzte, wurde die Sicherheitsbedrohung mitgeteilt, und doch es wurde nichts unternommen. Als Antwort erhielt man nur, dass es nichts Ernstes sei und dass man sich keine Sorgen machen brauche“, erklärt er weiterhin.
„Als wir die Prozesse überprüften, hatte nur ein Drittel derjenigen, die daraufgeklickt hatten, den Plan, wie mit so etwas umgegangen werden sollte, überhaupt verfolgt. Der Vorallreaktionsplan des Unternehmens brach vollständig zusammen und auch die verwalteten Dienste und die dahinterstehende Technologie brachen zusammen.“
„Aus diesem Fokus heraus konnten wir erhebliche Sicherheitslücken in der Unternehmensstruktur feststellen. Es handelt sich um ein Unternehmen, das mehr als 10 Milliarden US-Dollar verwaltet und mehr als 50.000 Mitarbeiter hat. Und das ist nur eines von vielen.“
Eine Schulung allein reicht nicht
Laut Connory ist es den meisten Unternehmen nicht gelungen, Schulungen im Bereich Cyber-Sicherheit für Ihre Mitarbeiter einzuführen.
„Der erste Schritt wäre es, eine Einführung zu geben und sofort klar zu machen: Klicken Sie nicht auf Links, die Sie nicht kennen, versuchen Sie, den Link zu identifizieren, und finden Sie heraus, ob ein gewisses Maß an Dringlichkeit dahintersteckt.“
„In der E-Mail, die wir [an die Mitarbeiter der Finanzdienstleistungsfirma] gesendet haben, hieß es: ‚Wenn Sie all dies bis Freitag tun, erhalten Sie Ihre [Film-]Gutscheine‘. Wir haben sogar den Namen des HR-Direktors falsch geschrieben. Wenn jemand es mit seiner Phishing-Mail ernst meint, würde er einen solchen Fehler nicht begehen. Wir jedoch haben ihn mit Absicht gemacht“, so Connory.
„Unternehmen bringen ihren Mitarbeitern bei, nach verdächtigen E-Mails Ausschau zu halten, aber diese setzen das, was sie gelernt haben, nicht unbedingt in die Praxis um; eine zweite oder gar dritte Cyber-Security-Schulung setzen sie dann schon gar nicht mehr ein“, meint er.
„Erst kürzlich habe ich die Überprüfung eines Unternehmens durchgeführt, das Opfer einer Datenpanne wurde und nun in ernsthaften Schwierigkeiten steckt. Sie hatten Hunderte von Millionen Dollar für neue Cyber-Sicherheitsprozesse ausgegeben – und doch sind sie gescheitert“, sagt er „Niemand kommuniziert und es gibt keinen Prozess bei der Verwaltung von Angriffen.“
Connory erklärte außerdem, dass die chinesische Cyberspionagegruppe APT10 diesen Mangel an Kommunikation zwischen Unternehmen ausnutze. Dieser Bedrohungsakteur ziele darauf ab, dass verwaltete IT-Dienstanbieter auf die IP-Adressen sowohl der MSPs selbst als auch ihrer Kunden zugreifen könnten.
„Das ist genau das, was APT10 getan hat. Wenn ich Zugriff auf das Google Mail-Konto eines Unternehmens erhalte und eine E-Mail-Adresse innerhalb eines Kontos eröffne, die als in Ordnung angesehen wird, kann ich diese dann an alle anderen übertragen. Dies bedeutet, dass Sie gewonnen haben.“ Es bedeutet, dass sie keine Benachrichtigung über einen potenziellen Cyberangriff erhalten werden.
„Eine der Taktiken, die diese Leute anwenden, ist das Senden einer Datei, die der Benutzer sieht und fragt: „Warten Sie, was hier los ist? Ich habe keine Datei erhalten, ich habe nichts getan. Durch das Erstellen einer Konversation erfährt das System, dass es sich dabei um eine gute und vertrauenswürdige Kommunikation handelt. Von diesem Standpunkt aus kann der Angreifer Dateien versenden, Viren und bösartigen Code anfügen – und weil er Zugriff darauf habe, sendet er das alles intern.“
*Byron Connolly ist Redakteur bei CIO Australia.
Be the first to comment