Cybersecurity: Social Engineering und der Sicherheitsfaktor Mensch - Erfahrungen aus einer Revisionsprüfung

Transkript

1 Cybersecurity: Social Engineering und der Sicherheitsfaktor Mensch - Erfahrungen aus einer Revisionsprüfung

2 Inhalt 01 Einführung 02 Vorbereitung 03 Testhandlungen 04 Praktische Erfahrungen

3 01 Social Engineering ist erfolgreich 1 Angreifer nutzen nicht mehr rein technische Sicherheitslücken in IT Systemen aus, sondern machen sich zunehmend menschliche Schwächen zunutze mit den einfachsten Mitteln. In der jüngsten Vergangenheit verbuchten so auch deutsche Unternehmen Verluste in Millionenhöhe. Erfolgreiche Angriffsmethoden in Unternehmen weltweit ISACA and RSA Conference Survey 2016 Phishing 60% Malware Social Engineering Hacker Versuche 36% 41% 52% Handeln aus Neugier - Öffnen fremder Datenträger, Dateien, Anhänge Verlust mobiler Geräte Insider-Diebstahl 16% 34% Vertrauen falscher Identitäten bei dubiosen Anrufen - Chef-Masche SQL-Injection 15% Drive-by Exploits Man-in-the-Middle Attacken Keine Angabe 8% 7% 11% Mitteilung vertrauensvoller Daten auf dem Prinzip der Gegenseitigkeit - Passwort gegen Schokolade Keine der Genannten 15% 0% 20% 40% 60% 80% 100% Ist Ihr Unternehmen ausreichend geschützt? 1 Quelle: Protiviti 3

4 02 Vorbereitung der Prüfung Wie wurde es geprüft? Aufbau der Revisionsprüfung Vorbereitung z. B. Einbindung relevanter Bereiche Testhandlungen z. B. Phishing s, Telefonanrufe Nachbereitung z. B. Auswertung, Artikel im Intranet Es wurde ausschließlich das menschliche Verhalten getestet. Die Technik, wie z. B. Spamfilter oder Virenschutz, wurde nicht überprüft. Das Ergebnis der durchgeführten Testhandlungen lieferte ein klares Bild vom tatsächlichen Verhalten der Mitarbeiter. 4

5 02 Vorbereitung der Prüfung Eine gute Vorbereitung ist essentiell für ein gutes Prüfergebnis Folgende Bereiche wurden im Vorfeld der Prüfung involviert: Datenschutz Genehmigung über die Verwendung von Mitarbeiterdaten (Name, Bereich, Telefonnummer, -Adresse). Vereinbarung über die anonymisierte Auswertungen der Testhandlungen durch einen Dienstleister. Konzernbetriebsrat Betriebsrat ist nach 80 Abs. 2 BetrVG über Ausmaß, Zeitraum und Modalitäten der Testhandlungen zu unterrichten. Mitbestimmungsrecht aus 87 Abs.1 Nr. 6 BetrVG ist ebenfalls zu berücksichtigen. Sicherheitsbereiche Group Security Governance Group Security Services (ASP für operative Sicherheitsfragen) Cyber Defense & Situation Management Wichtig ist es, alle Bereichsleiter zu involvieren, bei denen Meldungen eingehen könnten (insbes. Verantwortliche für akute Sicherheitsthemen, Spam-Filter, Zutrittsschutz, Whistleblower etc.) Um den Erfolg der Prüfung nicht zu gefährden, sollten so wenig Personen wie möglich und so viele wie nötig informiert werden. 5

6 02 Vorbereitung der Testhandlungen Eine gute Vorbereitung ist essentiell für ein gutes Prüfergebnis Auswahl der Stichprobe Auswahlprozess seitens Revision: Risikoorientierte Auswahl potentieller Testkandidaten. Berücksichtigt wurden insbesondere Bereiche, die mit hochsensiblen Daten agieren. In der Stichprobe waren alle wesentlichen Unternehmenseinheiten enthalten. Auswahl der doppelten Anzahl des tatsächlichen Stichprobenumfangs, z.b. wurden bei einer Anzahl von 1000 Phishing- s 2000 potentielle Testkandidaten ausgewählt. Auswahlprozess seitens des Dienstleisters: Tatsächliche Stichprobenziehung durch den Dienstleister aus der Liste potentieller Testkandidaten. Die Tests wurden stichprobenartig und unangekündigt durchgeführt. Wahrung der Anonymität und Vorbereitung standardisierter Antwort- Der Dienstleister zog tatsächliche Stichprobe, die nicht an die Revision kommuniziert wurde. Der Dienstleister wertete die Ergebnisse der Testhandlungen soweit wie möglich anonymisiert aus. Anonymisierte Übermittlung der Ergebnisse an die Revision. Standardisierte Antwort- für Mitarbeiter, die einen potentiellen Angriff melden. 6

7 03 Testhandlungen Unvorhergesehene Mitarbeiterreaktionen beachten Telefon Vortäuschen eines Anrufs vom IT-Helpdesk der Deutschen Telekom mit der Aufforderung an den Mitarbeiter, seine IP-Adresse weiterzugeben. Verwendung einer nicht existie- renden Telefonnummer, die der IT-Helpdesk-Nummer stark ähnelte. Zutritt Versuch der Umgehung von physischen Einlasskontrollen in selektierten Gebäuden der DTAG auf verschiedenste Arten: offensichtlich DTAG-externe Person (Pizzalieferant) Person mit und ohne Besucherausweis bat Mitarbeiter um Einlass bzw. versuchte mitzulaufen Versand von Irrläufer- s mit vorgetäuschtem schadhaften Anhang an selektierte Zielgruppe. -Adresse ähnelte echter DTAG Adresse. Absender der war fiktiver DTAG-Mitarbeiter und somit im internen Adressbuch nicht aufgeführt. Anhang war html -Datei ohne Inhalt. USB-Sticks USB-Sticks wurden mit einer html -Datei präpariert. USB-Sticks wurden in den Räumlichkeiten der DTAG hinterlegt (u. a. in offenen Bürowelten und anderen geteilten Arbeits-flächen). 7

8 03 Testhandlungen Auswertung Sofern Mitarbeiter sensible Daten preisgegeben haben, wurde dies gezählt. Es wurden die Fälle gezählt, in denen die Testperson Zutritt zu den Räumlichkeiten der DTAG erhalten hat. Sofern Mitarbeiter auf den -Anhang geklickt haben, wurde diese Information an den Dienstleister übermittelt und gezählt. Sofern ein Mitarbeiter die auf dem Stick enthaltene Datei geöffnet hat, wurde die Information an den Dienstleister übermittelt und gezählt. Nicht ausgewertet wurde, wie viele Mitarbeiter den USB-Stick tatsächlich in ihren PC gesteckt haben, da dies die Ausführung von Code/Scripts erfordert hätte. Zusätzlich wurde die Anzahl der Rückmeldungen von Mitarbeitern ausgewertet: An welchen Bereich erfolgte die Rückmeldung? War dieser Bereich für Social Engineering Angriffe auch zuständig? 8

9 04 Praktische Erfahrungen Zeitkomponente Frühzeitige Einbindung der zu involvierenden Bereiche. Freigabe durch Datenschutz, Betriebsrat sowie der Abschluss des Dienstleistungsvertrags können mehrere Monate in Anspruch nehmen. Durchführung Testhandlungen /Telefonanrufe Prüfungsleiter muss während des Versands der s bzw. der Durchführung der Telefonanrufe erreichbar sein, um alarmierte Mitarbeiter zu beruhigen. Mitarbeiter hacken zurück Zutritt in Verbindung mit USB-Drop Prüfungsleiter sollte Kenntnis über Zeit und Ort der Testhandlungen haben. Die testende Person sollte zumindest Kontaktdaten des Prüfungsleiters haben, damit dieser ggf. die Testhandlungen bestätigen kann. Sollte die Testhandlung Zutritt nicht erfolgreich sein, muss die testende Person dennoch Zutritt zum Gebäude erhalten, um die Testhandlung USB-Drop durchführen zu können. Beunruhigte Mitarbeiter können ggfs. dafür sorgen, dass die Testhandlungen abgebrochen werden müssen. Schnelles Handeln des Prüfungsleiters und eine gute Zusammenarbeit mit dem Dienstleister waren für den Erfolg der Testhandlungen unerlässlich. 9

10 Fragen und Antworten? 10

11 Ansprechpartner Susanne von Campenhausen Project Lead Transformation Internal Audit bei Group Audit & Risk Management Deutsche Telekom AG Friedrich-Ebert-Allee Bonn Telefon:

12 Anhang Technische Maßnahmen 1 Spamfilter Untersuchung eingehender s bereits während der Kommunikation der SMTP-Server Bei Identifikation einer Spam- wird die Kommunikation vor der Zustellung abgebrochen Verwendung von Filtern und Listen zum erkennen von Spam- s Blacklist Sammlung von IP-Adressen, denen Spam unterstellt wird IP-Adressen und Domains auf der Liste werden blockiert Tarpitting Antwort des SMTP-Servers künstlich verlängern Bei sehr vielen Empfängern wird die Reaktionszeit des lokalen Mailservers verlangsamt Sender muss warten, bis er weitere s abschicken kann Weitere Maßnahmen USB-Schnittstellen deaktivieren Aktueller Virenschutz 1 Quelle: Protiviti 12

13 Anhang Organisatorische Maßnahmen 1 Awareness-Schulungen Bewusstsein der Mitarbeiter im Bezug auf Social Engineering Angriffe stärken Vorstellung der verschiedenen Angriffsarten Schulung zur Identifikation solcher Angriffe Anlaufstelle Einrichtung einer Anlaufstelle im Security Incident Prozess Platzierung der Kontaktdaten direkt im Blickfeld auf dem Bildschirm Anonymisierte Kontaktaufnahme Weitere Maßnahmen Abschließen einer Hacker-Versicherung Bildung von Rückstellungen für Hacker- Angriffe Allgemein ist ein 100%iger Schutz nicht möglich! 1 Quelle: Protiviti 13