The AuditFactory Downloads für die Interne Revision. Social Engineering & Ethical Hacking ein Kurzüberblick für Interne Revisoren

Transkript

1 The AuditFactory Downloads für die Interne Revision Social Engineering & Ethical Hacking ein Kurzüberblick für Interne Revisoren 10. Feb. 2015

2 Zum Autor Joachim A. Hader ist Geschäftsführer des Unternehmens secudor GmbH und Partner des Expertennetzwerks Forensic Thinktank. Herr Hader hat langjährige Expertise im Umfeld des betrieblichen Datenschutzes, sowie der Unternehmenssicherheit und Security Awareness, Digitale Forensik und Unternehmensberatung. Herr Hader ist Sachverständiger für EDV und Digitale Forensik, sowie zertifiziert als Datenschutzbeauftragter (DSB-TÜV). Kontakt: secudor GmbH Moststraße Langenaltheim Tel.: Mobil: info@secudor.de Web: Seite 2 von 9

3 Daten zwingen zu Taten Eine große Anzahl an Unternehmen wurde bereits Opfer von Cyber-Kriminalität. In den letzten Monaten hat sich die Situation deutlich verschärft, die Angriffe sind komplexer, passieren häufiger und sind zunehmend zielgerichtet. Rufschädigung, Produktionsstillstand, Insolvenz, Vertrauensverlust, finanzieller Schaden, dies alles können Auswirkungen sein, wenn das Thema Informationssicherheit in Unternehmen nicht mit der notwendigen Sorgfalt betrachtet wird. Viele Unternehmensverantwortliche sind der Meinung, Informationssicherheit ist ein Thema alleine der Spezialisten aus der IT und vertrauen auf technische Maßnahmen, um wichtige Daten zu schützen. Dabei wird der Faktor Mensch sehr oft unterschätzt., sagt der Joachim A. Hader, Geschäftsführer des Sicherheitsunternehmens secudor GmbH und Partner des Expertennetzwerks Forensic Thinktank. Beschäftigte - interne oder auch externe - werden oft - gewollt oder ungewollt - Mittäter bei einem Angriff auf wertvolle und vertrauliche Unternehmensdaten. Neben Hackerangriffen nutzen Angreifer oft auch Social Engineering, um einen Weg an technischen Sicherheitsmaßnahmen vorbei zu finden. Social Engineering (engl. eigentlich angewandte Sozialwissenschaft, auch soziale Manipulation ) nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhalten hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes o- der zur Freigabe von Finanzmitteln zu bewegen. Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um geheime Informationen oder unbezahlte Dienstleistungen zu erlangen. Meist dient Social Engineering dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten einzusehen; man spricht dann auch von Social Hacking. 1 1 Quelle: Wikipedia, abgerufen am 10. Februar 2015 Seite 3 von 9

4 Eine bewährte Gegenmaßnahme ist, die Organisation in Bezug auf mögliche Social Engineering Angriffe zu sensibilisieren Security Awareness schaffen., rät der Sicherheitsexperte. Die folgende Abbildung zeigt das Schema eines Angriffs auf ein Unternehmen. Spähen Angreifen Besetzen Plündern Untersuchung der Organisation auf Schwachstellen Analyse der Schwachstellen auf Angriffsmöglichkeiten Versand von persönlich wirkenden s mit Schadcode Mitarbeiter öffnet und aktiviert Schadcode Angreifer übernimmt die Steuerung Verteilung des Schadcodes auf weiteren Systemen Angreifer stiehlt Informationen und verwischt seine Spuren Positioniert eine Hintertüre im System für weitere Angriffe Abbildung 1: Schema eines Angriffs Mögliche Bedrohungsszenarien Unter Phishing versteht man Versuche, über gefälschte Webseiten, s oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten beispielsweise Kontoplünderung zu begehen und den entsprechenden Personen zu schaden. Es handelt sich dabei um eine Form des Social Engineering, bei dem die Gutgläubigkeit des Opfers ausgenutzt Seite 4 von 9

5 wird. Der Begriff ist ein englisches Kunstwort, das sich an fishing (Angeln, Fischen), bildlich das Angeln nach Passwörtern mit Ködern, anlehnt. Die Schreibweise mit -ph entstammt dem Hacker-Jargon. 2 Phishing Angriffe Phishing Angriffe sind oftmals an große Personengruppen gerichtet, um an Zugangsdaten zu gelangen oder Schadsoftware zu verbreiten. Diese Massenversendungen sind aber oftmals relativ einfach zu erkennen: Phisher tarnen sich als bekanntes Unternehmen, etwa eine Bank oder ein Finanzdienstleister und fordern in einer Daten an wie Namen und Adressen, Zugangscodes und Passwörter; dies meistens über getarnte Websites, die den echten Auftritten im Internet frappierend ähnlich sehen können. Phisher nutzen eine bedrängende oder emotionale Sprache und versuchen, durch sozialen oder sonstigen Druck die Nutzer zu einer Reaktion zu verleiten. Phishing-Webseiten können legitimen Webseiten erstaunlich ähnlich sehen, da darauf oftmals urheberrechtlich geschützte Grafiken von legitimen Webseiten verwendet werden. Unternehmen fordern in der Regel Kunden nicht dazu auf, sensible Daten einzugeben, ohne dies auf verbindliche Weise zu kommunizieren. s sind dabei eher die Ausnahme und meistens gefälscht. Betrügerische Nachrichten sind oftmals nicht personalisiert, erkennbar an Anreden wie Lieber Kunde, Vertrags- und Kundennummern fehlen; oftmals kann man gefälschte s daran erkennen. 3 Die Nachrichten sind manchmal in schlechtem Deutsch verfasst. Die Gründe dafür: Sie werden von Computerprogrammen aus anderen Sprachen automatisch übersetzt. 2 Quelle: Wikipedia, abgerufen am 10. Feb Quelle: Symantec Corporation, 10. Feb. 2015, Klick Seite 5 von 9

6 Die s enthalten kyrillische Buchstaben oder falsch aufgelöste bzw. fehlende Umlaute (z. B. nur "a" statt "ä" beziehungsweise "ae"). 4 Diese Kenntnisse können z.b. im Rahmen von Security Awareness-Schulungen an die Mitarbeiter im Unternehmen weitergegeben werden, um die Sensibilität zu fördern. Damit kann im Zweifelsfall eine vom Angreifer gewünschte Reaktion verhindert werden, bevor sie beginnt. Spear Phishing Angriffe Spear-Phishing nutzt grundsätzlich die gleichen Methoden wie das reguläre Phishing, ist aber insofern gefährlicher, als der Angriff hier gezielt und in der Regel auf eine eingegrenzte Gruppe von Personen beschränkt ist. Auch hier sollen Interna, Finanzdaten, geschäftliche oder militärische Geheimnisse und andere vertrauliche Informationen gestohlen werden. Nicht selten werden Hacker von Regierungen gesteuert, etwa wenn es um interessante Unternehmen geht, die wichtige Patente besitzen. Manche Cyberkriminelle nutzen vergleichbare Methoden und bieten dann Regierungen und Privatunternehmen vertrauliche Daten zum Rückkauf an. Das Perfide ist die maßgeschneiderte Attacke, wodurch selbst sonst nicht vertrauensselige Mitarbeiter s öffnen und Daten zur Verfügung stellen. Mit Hilfe dieser Daten gelangen die Angreifer in das Netzwerk. 5 Spear-Phishing - Ein Fall aus der Praxis: Ein strategisches Projekt hatte im Rahmen der erfolgreichen Erreichung eines wichtigen Meilensteins einen Teamevent organisiert. Etwa eine Woche nach diesem Event bemerkten Projektmitarbeiter, dass wichtige Projektergebnisse verfälscht worden sind. Trotz hoher Sicherheitsvorkehrungen der IT gegen Hackerangriffe von außen hat die Schadsoftware den Zugang zu den Rechnern gefunden. 4 Quelle: BSI, 10. Feb. 2015, Klick 5 Quelle: Kaspersky, 10. Feb. 2015, Klick Seite 6 von 9

7 Ein Mitarbeiter hat, voller Stolz, einen erheblichen Anteil an der erfolgreichen Erreichung des Meilensteins gehabt zu haben, von diesem Event und seiner Belobigung auf einer Social Media Plattform berichtet. Dieser Mitarbeiter bekam eine mit dem Betreff Max großartige Leistung, hier die Fotos vom Teamevent. Die beinhaltete einen sehr persönlichen und lobenden Text und einen Anhang. Absender war die Projektleitung. Die Projektleitung beauftragte ein auf Unternehmenssicherheit spezialisiertes Unternehmen mit der Ursachenforschung und Beweissicherung. Dieses stellte fest, dass mehrere Rechner und ein Server des Projektteams mit Schadsoftware infiziert waren. Die Schadsoftware hatte die Eigenschaft, Daten über einen verschlüsselten Kanal an einen externen Rechner zu schicken und dann die Daten auf der Quelle zu verändern. Die Absenderadresse der war gefälscht und kam scheinbar von der privaten adresse des Projektleiters. Der Anhang, eine ZIP-Datei, enthielt die Schadsoftware. Der Mitarbeiter öffnete die und den Anhang im guten Glauben und hat so seinen Rechner infiziert. Die Schadsoftware hat sich im Anschluss auf weitere Rechner durch Weiterleitung der verbreitet. Der installierte Virenschutz hat die Schadsoftware nicht erkannt, da dieser nicht auf dem aktuellen Stand war. Der Angreifer konnte nicht ermittelt werden. Schutzmaßnahmen Organisationen können Vorsichtsmaßnahmen umsetzen, um das Risiko von Social Engineering Angriffen zu minimieren; die nachfolgenden Möglichkeiten geben einen Überblick dazu. Welche konkreten Maßnahmen in einer Organisation umzusetzen wären, muss im Einzelfall diskutiert und festgelegt werden. Die Beispiele haben daher nur Überblickscharakter: Zielgruppenspezifisches Sensibilisierungs-Maßnahmen regelmäßig durchführen (Intranet, Security-Newsletter, Trainings, Coaching, Einzelunterrichtung, Plakate, Flyer, Security-Botschafter, Roundtables, Stammtische, usw.) Seite 7 von 9

8 Klare Kommunikationsregeln und Eskalationswege zur Meldung von Verdachtsfällen Organisatorische Maßnahmen: Erstellung und Durchsetzung von Sicherheitsrichtlinien im Unternehmen (Regelung für mobile Datenträger, wie Verschlüsselung; Nutzung von offenen WLAN; Homeoffice- Regelung; etc.). Sichere und normgerechte Vernichtung von vertraulichen Informationen (Papier und elektronische Medien) Nutzung von technischen Sicherheitsmechanismen zur Durchsetzung der geltenden Regelungen und zur automatischen Erkennung (z.b. Endpoint-Security, aktueller Virenschutz, verstecken von Systemen mit streng vertraulichen Informationen). Aufbau von Frühwarnsystemen zur frühzeitigen Entdeckung von verdächtigen Datenabflüssen. Das Maßnahmenset sollte durch Fachleute in regelmäßigen Abständen untersucht werden; hier bietet sich einerseits die Interne Revision natürlich an, vorausgesetzt, dass der technische Sachverstand vorhanden ist. Andererseits kann es aber auch sinnvoll sein, externe Expertise einzuholen, um so durch Benchmarks und Good Practices den Sicherheitslevel im Unternehmen laufend zu optimieren. JHA, ESC Seite 8 von 9

9 Rechtliche Hinweise: Die Rechte der als Beiträge und Downloads für die Interne Revision erschienenen Beiträge liegen uneingeschränkt bei The AuditFactory. Eine Nutzung jedweder Art, sei sie für wissenschaftliche oder kommerzielle Zwecke, ist nur nach ausdrücklicher, schriftlicher und im vornhinein der Nutzung abgegebenen Zustimmung durch die Geschäftsführung von The AuditFactory erlaubt. Die Nutzung für einzelne Revisionskolleginnen und -kollegen im Rahmen ihrer täglichen Arbeit ist uneingeschränkt erlaubt. Sollten Sie Interesse an einer Nutzung der veröffentlichten Informationen im Rahmen der Fortbildung für Interne Revisoren, bzw. als Grundlage für Facharbeit (Artikel und sonstige Texte, auch im Internet) haben, so kontaktieren Sie uns bitte. Wir geben Ihnen gerne die Zustimmung. Die Vorschriften des Urheberrechts werden hierdurch nicht berührt. The AuditFactory übernimmt keinerlei Gewähr für die Aktualität, Korrektheit, Vollständigkeit oder Qualität der bereitgestellten Informationen. Haftungsansprüche gegen uns, welche sich auf Schäden materieller oder ideeller Art beziehen, die durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw. durch die Nutzung fehlerhafter und unvollständiger Informationen verursacht wurden, sind ausgeschlossen. Seite 9 von 9