von Rob Sobers
Bei der haarsträubenden Hacking-Geschichte von Mat Honan fielen sowohl Amazon als auch Apple Social-Engineering-Attacken zum Opfer. Dies ist auf tiefgreifende Schwachstellen in ihren Prozessen zur Identitätsüberprüfung zurückzuführen. Die große Frage lautet: Wie gut sind Ihre unternehmensinternen Prozesse vor Social Engineering geschützt?
Haben Sie je den IT-Helpdesk angerufen, um Ihr Passwort zurücksetzen zu lassen? Wie überprüft der Helpdesk dabei Ihre Identität? Werden Sie nach Ihrem Namen und Ihrer Abteilung gefragt? Nach dem Namen Ihres Chefs? Nach der Nummer auf Ihrem Mitarbeiterausweis?
Ich hoffe, dass die Geschichte von Mat Honan Sicherheitsteams in Unternehmen aller Größen dazu veranlasst, Social Engineering sehr ernst zu nehmen.
Was können wir tun?
Eine sehr effektive Taktik zum Schutz vor Social Engineering ist, Phishing- und Social-Engineering-Attacken in abgemilderter Form selbst an Ihren Mitarbeitern zu testen. Wir lernen daraus, wenn wir uns am heißen Ofen verbrennen – und genauso können Ihre Mitarbeiter aus einer simulierten Hacking-Attacke lernen, worauf sie achten müssen.
Irren ist menschlich, und manche Leute lassen sich zumindest manchmal an der Nase herumführen. Für den Fall, dass dies geschieht, müssen wir deshalb unbedingt die Risiken minimieren. Und hier kommt das Prinzip der geringsten Rechte ins Spiel.
Ein Beispiel für eine Schwachstelle in Organisationen ist der Autorisierungsprozess. Dieser ist häufig anfällig für Social-Engineering-Attacken, und das Prinzip der geringsten Rechte wird hier oft nicht umgesetzt. Meist entscheidet die IT-Abteilung darüber, wer Zugang zu Daten erhält – ohne zu wissen, wer wirklich Zugriff darauf haben sollte.
Rufen Sie Ihren Helpdesk an und behaupten Sie, Sie seien der neue stellvertretende Personalleiter und benötigten Zugriff auf Gehaltsdaten sowie die Abrechnungssoftware. Es kann gut sein, dass Sie damit durchkommen. Und wann würde diese unzulässige Berechtigung überprüft, entdeckt und aufgehoben werden?
Genau deshalb sind Data Ownership und Autorisierungsprozesse für Varonis so wichtig. Wenn alle Zugriffsanforderungen für Personaldaten an eine Person in der Personalabteilung weitergeleitet werden, ist die Wahrscheinlichkeit, dass zu großzügige oder schlichtweg falsche Berechtigungen gewährt werden, deutlich geringer. Wenn Mitarbeiter der Personalabteilung die Zugriffsrechte regelmäßig überprüfen (am besten mithilfe automatisierter Empfehlungen), sinkt die Wahrscheinlichkeit unberechtigter Zugriffe noch weiter.
Dies sind nur einige der Vorsichtsmaßnahmen, um das Prinzip der geringsten Rechte zu implementieren und die Sicherheit zu verbessern.
Wie Mat Honan später schrieb:
„Da sich immer mehr Informationen über uns an immer mehr Stellen im Internet befinden, müssen wir sicherstellen, dass diejenigen, denen wir diese Informationen anvertrauen, die erforderlichen Maßnahmen zu deren Schutz ergreifen. Bisher ist das nicht der Fall. Und bis es soweit ist, könnte das, was mir passiert ist, genauso gut auch Ihnen passieren.“
Dies gilt auch für unsere Unternehmensdaten in der Cloud und hinter der Firewall.
Foto: Tony Fischer
The post Social Engineering im Unternehmen appeared first on Varonis Deutsch.