Unternehmen müssen sich nicht nur vor kriminellen Hackern fürchten. Auch die eigenen Mitarbeiter stellen eine Bedrohung dar - manche sogar eine ganz besondere. [...]
Das vergangene Jahr markierte einen neuen Höhepunkt in Sachen Hacks, Scams und sonstiger Sicherheitsvorfälle. Dabei sind sich viele Untersuchungen zum Thema einig: Das Gros der Bedrohungen kommt von Innen. Auch für Sam Elliot vom Security-Anbieter Bomgar sind Mitarbeiter und externe Partner mit entsprechenden Zugriffsrechten die Hauptverdächtigen. Elliot warnt insbesondere vor diesen zehn Mitarbeiter-Kategorien:
10. Die Charity-Organisation
Der Weg ins Verderben kann mit integren Absichten beschritten werden: „Wie man beim Hack von JP Morgan Chase im Jahr 2014 gesehen hat, kommt die Kreativität bei solchen Angriffen nie zu kurz“, betont Elliot. „Viele große und kleine Wohltätigkeitsorganisationen erhalten im Rahmen von Kooperationen Zugriff auf die Mitarbeiter-Datenbanken von Unternehmen oder halten sensible Informationen über teilnehmende Mitarbeiter vor.“
Der Weg ins Verderben kann mit integren Absichten beschritten werden: „Wie man beim Hack von JP Morgan Chase im Jahr 2014 gesehen hat, kommt die Kreativität bei solchen Angriffen nie zu kurz“, betont Elliot. „Viele große und kleine Wohltätigkeitsorganisationen erhalten im Rahmen von Kooperationen Zugriff auf die Mitarbeiter-Datenbanken von Unternehmen oder halten sensible Informationen über teilnehmende Mitarbeiter vor.“
9. Der Cloud-Manager
Daten in der Cloud vorzuhalten kann ein Risiko darstellen: „Je mehr Daten ihren Weg in die Cloud finden, desto wichtiger werden die privilegierten User, die die Infrastruktur managen,“ so Elliot. „Diese Personen haben umfassenden Zugriff auf Unternehmens-Daten und stellen deshalb lukrative Ziele für Hacker dar.“
Daten in der Cloud vorzuhalten kann ein Risiko darstellen: „Je mehr Daten ihren Weg in die Cloud finden, desto wichtiger werden die privilegierten User, die die Infrastruktur managen,“ so Elliot. „Diese Personen haben umfassenden Zugriff auf Unternehmens-Daten und stellen deshalb lukrative Ziele für Hacker dar.“
8. Der befristet Beschäftigte
Gerade bei zeitlich befristeten Verträgen ist Nachlässigkeit der falsche Ansatz: „In der Einzelhandelsbranche und anderen serviceorientierten Bereichen der Industrie werden Saison- und Zeitarbeiter eingestellt – auch in den IT-Abteilungen. Diese werden oft mit zeitlich begrenzten Zugriffsrechten auf Online-Systeme und entsprechender Hardware ausgestattet. Für diese Mitarbeiter sollten die gleichen IT-Sicherheitsregeln gelten, wie für alle anderen“, empfiehlt der Experte.
Gerade bei zeitlich befristeten Verträgen ist Nachlässigkeit der falsche Ansatz: „In der Einzelhandelsbranche und anderen serviceorientierten Bereichen der Industrie werden Saison- und Zeitarbeiter eingestellt – auch in den IT-Abteilungen. Diese werden oft mit zeitlich begrenzten Zugriffsrechten auf Online-Systeme und entsprechender Hardware ausgestattet. Für diese Mitarbeiter sollten die gleichen IT-Sicherheitsregeln gelten, wie für alle anderen“, empfiehlt der Experte.
7. Der externe Partner
„Viele Unternehmen – insbesondere große – setzen für ihr Tagesgeschäft auf ein komplexes Netzwerk von externen Händlern“, erklärt Elliot. „Wie bereits mehrere schlagzeilenträchtige Fälle gezeigt haben, stellt es ein Risiko dar, diese Händler via VPN mit direktem Zugriff auf das Unternehmensnetzwerk auszustatten. Denn diese Zugänge könnten Hackern als Gateway dienen. Unternehmen sollten den Zugriff ihrer Händler limitieren und kontrollieren.“
„Viele Unternehmen – insbesondere große – setzen für ihr Tagesgeschäft auf ein komplexes Netzwerk von externen Händlern“, erklärt Elliot. „Wie bereits mehrere schlagzeilenträchtige Fälle gezeigt haben, stellt es ein Risiko dar, diese Händler via VPN mit direktem Zugriff auf das Unternehmensnetzwerk auszustatten. Denn diese Zugänge könnten Hackern als Gateway dienen. Unternehmen sollten den Zugriff ihrer Händler limitieren und kontrollieren.“
6. Der Social Media Manager
Viele Social-Media-Experten glauben daran, dass jede Art von Aufmerksamkeit gut ist. „Social-Media-Admins sind ständig online und stehen in der Netz-Öffentlichkeit. Über diese Personen findet man wahrscheinlich schnell erste Kontaktinformationen über Karriere-Netzwerke wie LinkedIn“, gibt Elliot zu bedenken. „Kriminelle Hacker könnten außerdem versuchen, sich selbst als Social Media Manager auszugeben, um Zugriff auf Systeme oder Informationen zu bekommen.“
Viele Social-Media-Experten glauben daran, dass jede Art von Aufmerksamkeit gut ist. „Social-Media-Admins sind ständig online und stehen in der Netz-Öffentlichkeit. Über diese Personen findet man wahrscheinlich schnell erste Kontaktinformationen über Karriere-Netzwerke wie LinkedIn“, gibt Elliot zu bedenken. „Kriminelle Hacker könnten außerdem versuchen, sich selbst als Social Media Manager auszugeben, um Zugriff auf Systeme oder Informationen zu bekommen.“
5. Der neue IT-Entscheider
Unwissenheit schützt vor Schaden nicht: „Hacker agieren oft überraschend raffiniert und informieren sich zunächst online, um dann über Social-Engineering-Taktiken ihr Glück zu versuchen,“ weiß der Experte. „Neue IT-Administratoren, die noch nicht mit Protokollen und Prozessen vertraut sind, könnten von Cyberkriminellen ins Visier genommen, beziehungsweise in die Falle gelockt werden.“
Unwissenheit schützt vor Schaden nicht: „Hacker agieren oft überraschend raffiniert und informieren sich zunächst online, um dann über Social-Engineering-Taktiken ihr Glück zu versuchen,“ weiß der Experte. „Neue IT-Administratoren, die noch nicht mit Protokollen und Prozessen vertraut sind, könnten von Cyberkriminellen ins Visier genommen, beziehungsweise in die Falle gelockt werden.“
4. Der Ex-Mitarbeiter
„Eine Sicherheitslücke, die so gut wie alle Unternehmen betrifft, ist die Löschung von Zugangsdaten, nachdem Mitarbeiter ausgeschieden sind“, so Elliot. „Wer diese Zugänge nicht löscht, geht das Risiko ein, angegriffen zu werden. Die Angriffsfläche so zu reduzieren, gehört zum Einmaleins der IT-Sicherheit.“
„Eine Sicherheitslücke, die so gut wie alle Unternehmen betrifft, ist die Löschung von Zugangsdaten, nachdem Mitarbeiter ausgeschieden sind“, so Elliot. „Wer diese Zugänge nicht löscht, geht das Risiko ein, angegriffen zu werden. Die Angriffsfläche so zu reduzieren, gehört zum Einmaleins der IT-Sicherheit.“
3. Der Security-Berater
Extern bleibt extern: „Eine ganzheitliche IT-Sicherheitsstrategie erfordert oft auch die Unterstützung von mehreren Security-Anbietern“, ist sich Elliot sicher. „Bevor Sie jedoch Zugangsdaten verteilen, sind Sie gut damit beraten, zu überprüfen, wie es eigentlich um die Sicherheit des Anbieters selbst bestellt ist.“
Extern bleibt extern: „Eine ganzheitliche IT-Sicherheitsstrategie erfordert oft auch die Unterstützung von mehreren Security-Anbietern“, ist sich Elliot sicher. „Bevor Sie jedoch Zugangsdaten verteilen, sind Sie gut damit beraten, zu überprüfen, wie es eigentlich um die Sicherheit des Anbieters selbst bestellt ist.“
2. Die Assistenz der Geschäftsleitung
Kleine Info, große Sache: „In vielen Unternehmen besitzt die Assistenz der Geschäftsleitung umfassende Zugriffsrechte – unter anderem auf Personal- und Finanzdaten. Das macht sie zu einem besonders attraktiven Ziel für kriminelle Hacker.“
Kleine Info, große Sache: „In vielen Unternehmen besitzt die Assistenz der Geschäftsleitung umfassende Zugriffsrechte – unter anderem auf Personal- und Finanzdaten. Das macht sie zu einem besonders attraktiven Ziel für kriminelle Hacker.“
1. Der CEO
Der Mann oder die Frau an der Spitze, sollte auch auf Ihrer Security-Liste ganz oben stehen: „Das FBI hat den monetären Verlust durch Scams, die gezielt auf das C-Level ausgerichtet waren, für die letzten drei Jahre auf circa 2,3 Milliarden Dollar geschätzt“, sagt Elliot. „Diese Art der Angriffe auf die Daten von Geschäftsführern zeigt, dass die kriminellen Hacker auf sämtlichen Hierarchie-Ebenen angreifen.“
Der Mann oder die Frau an der Spitze, sollte auch auf Ihrer Security-Liste ganz oben stehen: „Das FBI hat den monetären Verlust durch Scams, die gezielt auf das C-Level ausgerichtet waren, für die letzten drei Jahre auf circa 2,3 Milliarden Dollar geschätzt“, sagt Elliot. „Diese Art der Angriffe auf die Daten von Geschäftsführern zeigt, dass die kriminellen Hacker auf sämtlichen Hierarchie-Ebenen angreifen.“
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation csoonline.com.
Be the first to comment