Social Engineering im Unternehmen

von Rob Sobers Bei der haarsträubenden Hacking-Geschichte von Mat Honan fielen sowohl Amazon als auch Apple Social-Engineering-Attacken zum Opfer. Dies ist auf tiefgreifende Schwachstellen in ihren Prozessen zur Identitätsüberprüfung zurückzuführen....
Michael Buckbee
2 minute gelesen
Letzte aktualisierung 17. August 2022

von Rob Sobers

Bei der haarsträubenden Hacking-Geschichte von Mat Honan fielen sowohl Amazon als auch Apple Social-Engineering-Attacken zum Opfer. Dies ist auf tiefgreifende Schwachstellen in ihren Prozessen zur Identitätsüberprüfung zurückzuführen. Die große Frage lautet: Wie gut sind Ihre unternehmensinternen Prozesse vor Social Engineering geschützt?

Haben Sie je den IT-Helpdesk angerufen, um Ihr Passwort zurücksetzen zu lassen? Wie überprüft der Helpdesk dabei Ihre Identität? Werden Sie nach Ihrem Namen und Ihrer Abteilung gefragt? Nach dem Namen Ihres Chefs? Nach der Nummer auf Ihrem Mitarbeiterausweis?

Ich hoffe, dass die Geschichte von Mat Honan Sicherheitsteams in Unternehmen aller Größen dazu veranlasst, Social Engineering sehr ernst zu nehmen.

Was können wir tun?

Eine sehr effektive Taktik zum Schutz vor Social Engineering ist, Phishing- und Social-Engineering-Attacken in abgemilderter Form selbst an Ihren Mitarbeitern zu testen. Wir lernen daraus, wenn wir uns am heißen Ofen verbrennen – und genauso können Ihre Mitarbeiter aus einer simulierten Hacking-Attacke lernen, worauf sie achten müssen.

Irren ist menschlich, und manche Leute lassen sich zumindest manchmal an der Nase herumführen. Für den Fall, dass dies geschieht, müssen wir deshalb unbedingt die Risiken minimieren. Und hier kommt das Prinzip der geringsten Rechte ins Spiel.

Ein Beispiel für eine Schwachstelle in Organisationen ist der Autorisierungsprozess. Dieser ist häufig anfällig für Social-Engineering-Attacken, und das Prinzip der geringsten Rechte wird hier oft nicht umgesetzt. Meist entscheidet die IT-Abteilung darüber, wer Zugang zu Daten erhält – ohne zu wissen, wer wirklich Zugriff darauf haben sollte.

Rufen Sie Ihren Helpdesk an und behaupten Sie, Sie seien der neue stellvertretende Personalleiter und benötigten Zugriff auf Gehaltsdaten sowie die Abrechnungssoftware. Es kann gut sein, dass Sie damit durchkommen. Und wann würde diese unzulässige Berechtigung überprüft, entdeckt und aufgehoben werden?

Genau deshalb sind Data Ownership und Autorisierungsprozesse für Varonis so wichtig. Wenn alle Zugriffsanforderungen für Personaldaten an eine Person in der Personalabteilung weitergeleitet werden, ist die Wahrscheinlichkeit, dass zu großzügige oder schlichtweg falsche Berechtigungen gewährt werden, deutlich geringer. Wenn Mitarbeiter der Personalabteilung die Zugriffsrechte regelmäßig überprüfen (am besten mithilfe automatisierter Empfehlungen), sinkt die Wahrscheinlichkeit unberechtigter Zugriffe noch weiter.

Dies sind nur einige der Vorsichtsmaßnahmen, um das Prinzip der geringsten Rechte zu implementieren und die Sicherheit zu verbessern.

Wie Mat Honan später schrieb:

„Da sich immer mehr Informationen über uns an immer mehr Stellen im Internet befinden, müssen wir sicherstellen, dass diejenigen, denen wir diese Informationen anvertrauen, die erforderlichen Maßnahmen zu deren Schutz ergreifen. Bisher ist das nicht der Fall. Und bis es soweit ist, könnte das, was mir passiert ist, genauso gut auch Ihnen passieren.“

Dies gilt auch für unsere Unternehmensdaten in der Cloud und hinter der Firewall.

Foto: Tony Fischer

 

The post Social Engineering im Unternehmen appeared first on Varonis Deutsch.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

was-sie-wissen-sollten-bevor-sie-auf-office-365-umsteigen
Was Sie wissen sollten bevor Sie auf Office 365 umsteigen
Die Migration von Unternehmensdaten auf cloudbasierte Speicher ist ein aufwendiges Unterfangen. Um sicherzustellen, dass Office 365-Daten gut verwaltet, geschützt und zugänglich sind, sollten Sie auf einige Punkte besonders achten. Klicken...
insider-bedrohungen,-teil-3:-mittel-und-gelegenheit
Insider-Bedrohungen, Teil 3: Mittel und Gelegenheit
Wenn Sie schon die letzten Blog-Einträge aus dieser Serie gelesen haben, dann wissen Sie bereits, dass die psychologischen Motive von Insidern so komplex sind, dass man zu ihrer Erklärung ein...
leitfaden-zu-yara-regeln:-lernen-sie,-mit-diesem-malware-forschungstool-zu-arbeiten
Leitfaden zu YARA-Regeln: Lernen Sie, mit diesem Malware-Forschungstool zu arbeiten
YARA-Regeln werden zur Klassifizierung und Identifizierung von Malware-Proben verwendet, indem Beschreibungen von Malware-Familien auf Grundlage von Text- oder Binärmustern erstellt werden.
anleitung-für-die-journal--und-diagnosefunktion-in-exchange
Anleitung für die Journal- und Diagnosefunktion in Exchange
von Manuel Roldan-Vega Die Erstellung von Journalen und Diagnoseprotokollen sind Dienste zur Überwachung und Überprüfung von Aktivitäten auf Microsoft-Exchange-Servern. Sie bieten grundlegende Auditing-Funktionen für E-Mail-Vorgänge (z. B. wer welche Nachricht an...