Information Security Management Leitfaden Risiko Social Media und Social Engineering

Transkript

1 Information Security Management Leitfaden Risiko Social Media und Social Engineering Security by Culture

2 AGENDA Information Security Management 1 Risikofaktor Social Engineering Missbrauch von öffentlich zugänglichen Informationen Social Engineering und Social Media 2 Aktuelle Themen und Beispiele Steigende Tendenz der Selbstdarstellung Nutzer als Sicherheitslücke 3 Risiken und Konsequenzen für das Unternehmen Recherche zur Vertrauensübernahme, Social Engineering 4 Abwehrmaßnahmen Schulung von Mitarbeitern im Umgang mit möglichen Angriffen, Reporting 5 Fazit & Ausblick 6 Kontaktinformationen INSIDERSKNOWLEDGE

3 EINS RISIKOFAKTOR SOCIAL ENGINEERING RISIKOFAKTOR SOCIAL ENGINEERING Mögliche Risiken durch Social Media Durch die zunehmende private Nutzung von Social Media und der steigenden Möglichkeiten, sich im Internet mit Bekannten und Unbekannten auszutauschen und sich dabei selbst darzustellen, steigt auch das Risiko des Datenmissbrauchs. Angreifer können öffentlich zugängliche Informationen sammeln und zur Manipulation von Freunden und Kollegen missbrauchen, und sich somit Zugang zu vertraulichen I n f o r m a t i o n e n v o n P e r s o n e n u n d U n t e r n e h m e n b e s c h a ff e n. D e r Vertrauensvorschusses, der durch die Erwähnung von scheinbar privaten Daten in Konversationen und s begründet wird, kann missbraucht werden, um Sicherheitslücken und Zugriffsmöglichkeiten zu schaffen. In der Informationssicherheit sind die zwei häufigsten Motivationen von Social Engineering: " Das Erschleichen von Passwörtern " Die Installation von trojanischen Pferden Die Bereitschaft von Mitarbeitern, Daten über sich und das Unternehmen in Social Media preiszugeben, bietet Angreifern eine breitere Basis zur Vorbereitung von Social Engineering Attacken, die gezielt auf Vertrauen und etablierte Prozesse setzt und diese ausnutzt um Zugang zu sensiblen Daten zu gelangen. 2

4 EINS RISIKOFAKTOR SOCIAL ENGINEERING RISIKOFAKTOR SOCIAL ENGINEERING Missbrauch von öffentlich zugänglichen Informationen Gezielte-Phishing Max Muster An: Von: Betreff: Geburtstags-Gutschein Hi Max, Alles Gute zum Geburtstag! Wir schenken dir einen 10 itunes Gutschein: itunes_birthday_card_042j0345 Beste Grüße Ihr itunes Support Team Bereits wenige, auf Facebook nicht ausreichend eingeschränkte Informationen reichen aus, um einem Angreifer genügend Schwachstellen anzubieten. Eine Adresse sowie Geburtstage oder Interessen reichen oft, um jemanden dazu zu bringen auf einen Link zu klicken oder Dateien zu öffnen. 3

5 EINS RISIKOFAKTOR SOCIAL ENGINEERING SOCIAL ENGINEERING UND SOCIAL MEDIA Öffentlich zugängliche Daten in Social Media Social Media Portale, oft über google erreichbar, bieten einem Angreifer bei unvorsichtigen Nutzern oft eine Fülle von Informationen: Bewegungsprofile Fotos Arbeitsfeld Unternehmensstruktur und Hierarchie Hobbies und Interessen Beziehungsstatus Kontaktdaten Einkaufsvorlieben 4

6 AGENDA Information Security Management 1 Risikofaktor Social Engineering Missbrauch von öffentlich zugänglichen Informationen Social Engineering und Social Media 2 Aktuelle Themen und Beispiele Sicherheitslücken in Unternehmen und Militär 3 Risiken und Konsequenzen für das Unternehmen Nutzer als Sicherheitslücke Recherche zur Vertrauensübernahme, Social Engineering 4 Abwehrmaßnahmen Schulung von Mitarbeitern im Umgang mit möglichen Angriffen, Reporting 5 Fazit & Ausblick 6 Kontaktinformationen INSIDERSKNOWLEDGE 5

7 ZWEI AKTUELLE THEMEN AKTUELLE THEMEN UND BEISPIELE Mögliche Risiken durch Social Engineering RSA, einer der weltweit führenden Hersteller von Kryptolösungen, ist Opfer eines Angriffs geworden, bei dem Daten von Unternehmensservern gestohlen wurden. Vier s mit dem Betreff Recruitments 2011 wurden an Mitarbeiter geschickt. Eine davon wurde geöffnet, was den Angreifern ausreichte um in das System einzudringen. - Heise.de ( ) 2009 kreierte der amerikanische IT-Experte Thomas Ryan die fiktive Robin Sage, eine 25 Jährige Cybercrime Analystin, um durch Flirts und s an geheime Daten und Dokumente der NSA und des amerikanischen Militärs zu gelangen. Robin erhielt Zugang zu - und Bankkonten. Rasch erfuhr sie, wer mit wem im exklusiven Sicherheitsmilieu der USA verkehrt. Kurz bevor ihr Schöpfer sie wieder vom Netz nahm, bekam sie mehrere Jobangebote. - Süddeutsche Zeitung ( ) Der Diebstahl von Informationen gelang durch die gezielte Manipulation von Mitarbeitern, nicht durch Sicherheitslücken der Technik. 6

8 AGENDA Information Security Management 1 Risikofaktor Social Engineering Missbrauch von öffentlich zugänglichen Informationen Social Engineering und Social Media 2 Aktuelle Themen und Beispiele Sicherheitslücken in Unternehmen und Militär 3 Risiken und Konsequenzen für das Unternehmen Nutzer als Sicherheitslücke Recherche zur Vertrauensübernahme, Social Engineering 4 Abwehrmaßnahmen Schulung von Mitarbeitern im Umgang mit möglichen Angriffen, Reporting 5 Fazit & Ausblick 6 Kontaktinformationen INSIDERSKNOWLEDGE 7

9 DREI RISIKEN UND KONSEQUENZEN FÜR UNTERNEHMEN RISIKOFAKTOR SOCIAL ENGINEERING Nutzer als Sicherheitslücke Durch schnelle Anmeldung, leichte Bedienung der Grundfunktionen und Einbindung aller Geräte und Möglichkeiten werden Nutzer dazu animiert, verschiedene Social Media Angebote vielseitig und häufig zu gebrauchen. Mehrere Adressen dienen dem Schutz vor Passwortverlust, Handynummern Synchronisation dem Upload von Fotos und dem Login in Clubs und Parties. Die Datenschutz- und Sicherheitseinstellungen der meisten Portale sind freizügig eingestellt, um dem Nutzer seine sozialen Kontakte leicht auffindbar zu machen, und nicht von den Hauptfunktionen abzulenken. Doch es ist im Interesse und Aufgabenbereich des Nutzers, seine Informationen zu schützen und Zugang einzuschränken. Es liegt am Nutzer, die öffentlich zugänglichen Informationen in Social Media Portalen zu regulieren und zu kontrollieren. Den meisten ist eine Verfügbarkeit der Daten bis zu einem Missbrauch nicht bewusst, und führt, auch durch die erstmal offen Handlung vieler Plattformen zu Sicherheitsrisiken. 8

10 DREI RISIKEN UND KONSEQUENZEN FÜR UNTERNEHMEN RISIKOFAKTOR SOCIAL ENGINEERING Mögliche Risiken durch Social Media Die Tendenz zur Veröffentlichung des Privatlebens steigt, auch durch den Gebrauch von Social Media auf Smartphones mit GPS Daten. Nutzer senden mit Photos, Log-ins und Tweets oft auch Aufenthaltsorte, Reisedauer oder Tagesroutinen an Onlineplattformen, die bei nicht ausreichendem Schutz von Angreifern eingesehen und missbraucht werden können. Einige beliebte und plausible Anwendungsbeispiele: " Dringender Anruf des»zuständigen Dienstleisters«" Fehlalarm-Falle, Provokation zur Reaktion, die dann erst zur Sicherheitslücke führt. " Falsche Behauptungen, dass in der Anlage einer Mail ein wichtiger Software-Patch oder ein Upgrade enthalten ist. " Vortäuschung eines unterhaltsamen Inhalts, um den Anwender zur Ausführung eines Programms zu motivieren. " Anbieten eines Nutzens, um Daten zu erschleichen (Bonus-Punkt-Programme, Gutscheine, Rabatte). " s mit gefälschtem Absender oder von bereits kompromittierten Absendern suggerieren, dass sie von einem Vertrauten des Empfängers zu kommen scheinen. " Verpacken eines Schadprogramms so, dass es harmlos oder vertraut wirkt (z. B. Passwortfalle, Verwendung eines bekannten Icons oder einer harmlosen Datei-Endung, Integration in Office Macros). Das Risiko der Manipulation von Personen über die öffentlich verfügbaren Informationen wird weiter steigen. Die Methoden basieren auf alltäglichen, scheinbar normalen Szenarios und stellen eine signifikante Gefahr für Unternehmensdaten und vertrauliche Informationen dar. 9

11 AGENDA Information Security Management 1 Risikofaktor Social Engineering Missbrauch von öffentlich zugänglichen Informationen Social Engineering und Social Media 2 Aktuelle Themen und Beispiele Sicherheitslücken in Unternehmen und Militär 3 Risiken und Konsequenzen für das Unternehmen Nutzer als Sicherheitslücke Recherche zur Vertrauensübernahme, Social Engineering 4 Abwehrmaßnahmen Schulung von Mitarbeitern im Umgang mit möglichen Angriffen, Reporting 5 Fazit & Ausblick 6 Kontaktinformationen INSIDERSKNOWLEDGE 10

12 VIER ABWEHRMAßNAHMEN ABWEHRMAßNAHMEN Schutz vor Social Engineering Angriffen Da Social Engineering Angriffe sich alltäglicher Situationen bedienen, ist erhöhte Wachsamkeit und oft geschicktes Nachfragen auf Seiten des Mitarbeiters nötig. Neben der gezielten Einschränkung von öffentlichen Daten, die eine Manipulation schwieriger macht, ist ein Wissen um mögliche Angriffe und gefährdete Daten die erste Verteidigungslinie. Grundsatzregelungen in Unternehmen zum Umgang mit Passwörtern, Zugangsrechten oder öffentlichen Informationen sollten allen Mitarbeitern auferlegt werden. Training zum Umgang mit Social Media und verdächtigen Anfragen ist der Schlüssel zu einer effizienten Verteidigung und dem Schutz vertraulicher Informationen. " Training im Umgang mit persönlichen und firmeninternen Daten " Aufmerksamkeit für verdächtiges Verhalten und geschicktes Nachfragen " Klare Regelungen zum Umgang mit Daten und Zugriffsrechten im Unternehmen " Wertung eines Vorfalls als Angriff schützt den angegriffenen Mitarbeiters bei der Meldung des Vorfalls Der Mensch als aufmerksamer und informierter Mitarbeiter ist die beste Verteidungsmaßnahme zum Schutz vor Social Engineering. Keine Firewall oder Antivirus ersetzt einen sensibilisierter Mitarbeiter bei der Abwehr. Dieser wird sich auch im Umgang mit persönlichen Daten auskennen und die Angriffsfläche minimieren 11

13 AGENDA Information Security Management 1 Risikofaktor Social Engineering Missbrauch von öffentlich zugänglichen Informationen Social Engineering und Social Media 2 Aktuelle Themen und Beispiele Sicherheitslücken in Unternehmen und Militär 3 Risiken und Konsequenzen für das Unternehmen Nutzer als Sicherheitslücke Recherche zur Vertrauensübernahme, Social Engineering 4 Abwehrmaßnahmen Schulung von Mitarbeitern im Umgang mit möglichen Angriffen, Reporting 5 Fazit & Ausblick 6 Kontaktinformationen INSIDERSKNOWLEDGE 12

14 FÜNF FAZIT UND AUSBLICK FAZIT Der Mitarbeiter als Sicherheitslücke und Schutz Eine Betrachtung des Themas Social Engineering zeigt deutlich die Angriffskonzentration auf Vertrauensvorschüsse oder private Informationen von Mitarbeitern in Unternehmen. Arbeitgeber müssen eine klare Trennung von privaten und firmeninternen Daten vornehmen um die Privatsphäre des Mitarbeiters zu schützen. Ein Angreifer kümmert sich darum nicht, was die Rückverfolgung eines solchen Angriffs zusätzlich erschwert. Trainierte Mitarbeiter stellen in doppelter Hinsicht einen Schutz vor Social Engineering dar, wenn sie im Umgang mit privaten Daten in Social Media, als auch mit Firmendaten bei verdächtigen Anfragen geschult und sensibilisiert werden. Eine Einschätzung des Risikos für Social Engineering ist in jedem Unternehmen vorzunehmen, da bereits ein einziger Verlust von vertraulichen Daten unwiderruflich im Internet erscheinen kann und massiven wirtschaftlichen und rechtlichen Schaden verursachen kann. Die private Nutzung und Relevanz für Social Media führt zu einer schwierigen Situation für Unternehmen, die zwar sensible Daten schützen aber das private Verhalten von Mitarbeitern nicht regulieren können. Schulungen können diese Lücke schließen und privaten und Firmendaten schützen. 13

15 FÜNF FAZIT UND AUSBLICK AUSBLICK Tendenzen bei Angriffen und Schutz vor Social Engineering Die erhöhte Verbreitung von mobilen Smartphones und Social Media unterstützt Social Engineering Angriffsmethoden durch eine Fülle von frei verfügbaren und nützlichen Informationen. Einheitliche, personenbezogene Daten wie facebook Accounts machen es Angreifern leicht, über multiple Plattformen Daten zu sammeln und gezielt einzusetzen. Unternehmen, die auch zunehmend in Social Media vertreten sind, bleiben durch ihre Mitarbeiter angreifbar. Wie sich Technik und Daten weiterentwickeln, so werden sich auch Angriffs- und Verteidigungsmethoden entwickeln. Zentral bleibt jedoch die Fähigkeit der zu manipulierenden Person, skeptisch zu bleiben und vermeidlich harmlose Kontaktaufnahmen zu hinterfragen, um Risiken der Manipulation auszuschließen. Wer früher auf den Goldtaler biss, seine Handtasche eng am Körper trug, und heute seine Privatsphäre Einstellungen kennt, wird auch morgen im Umgang mit Anfragen und wichtigen Informationen vorsichtig und richtig handeln können. 14

16 AGENDA Information Security Management 1 Risikofaktor Social Engineering Missbrauch von öffentlich zugänglichen Informationen Social Engineering und Social Media 2 Aktuelle Themen und Beispiele Sicherheitslücken in Unternehmen und Militär 3 Risiken und Konsequenzen für das Unternehmen Nutzer als Sicherheitslücke Recherche zur Vertrauensübernahme, Social Engineering 4 Abwehrmaßnahmen Schulung von Mitarbeitern im Umgang mit möglichen Angriffen, Reporting 5 Fazit & Ausblick 6 Kontaktinformationen INSIDERSKNOWLEDGE 15

17 SECHS Kontaktinformationen INSIDERSKNOWLEDGE Security by Culture Wir unterstützen kleine und mittelständische Unternehmen bei der Entwicklung von Informations- Sicherheitsbewusstsein in der Unternehmenskultur. Die Mitarbeiter unserer Klienten sind die erste Verteidigungslinie zum Schutz von Geschäftsgeheimnissen und vertraulichen Daten. Wir bieten umfassende Sicherheitskonzepte an, die wir individuell an Ihr Unternehmen anpassen. Wir unterstützen Sie gerne bei: " Managementstrategien zur Stärkung des Sicherheitsbewusstseins im Unternehmen " Mitarbeitertrainings zur Identifikation von Angriffen und Wirtschaftsspionage " Trainings für Ihre IT-Mitarbeiter zur Identifikation und Abwehr aktueller Angriffsmethoden " Analyse und Beratung zur Sicherung bestehender IT-Infrastruktur " Und allen anderen Fragen zum Thema Informationssicherheit Für eine kostenlose Vorstellung unserer Beratungsleistungen können uns gerne über kontaktieren. IK- Sicherheitsleitfäden 16