Social Engineering ist mit Abstand die Bedrohung Nummer eins, gefolgt von ungepatchter Software. Somit ist klar, dass Maßnahmen zum Schutz dieser Schwachstellen zu treffen sind. Erfahren Sie in diesem Beitrag, warum und wie ein Antiphishing-Konzept ihre letzte Verteidigungslinie stärkt.
Seit mehr als 30 Jahren werden Cybersicherheitsvorfälle untersucht. In den letzten 20 Jahren wurde der Fokus speziell auf die beliebtesten Trends bei Angriffsvektoren gelegt, die die Cybersicherheit bedrohen. In diesen letzten beiden Jahrzehnten belegten zwei Angriffsvektoren (aus einem Dutzend möglicher Vektoren) abwechselnd und mit Abstand die Spitzenreiterposition: Social Engineering und ungepatchte Software. Beiden Angriffsvektoren machen 70 bis 90 Prozent aller Cybersicherheitsvorfälle und böswilliger Datenschutzverletzungen aus. Heute stellt alles andere zusammengenommen rund 10 Prozent des Risikos dar.
Bis vor etwa sieben Jahren waren ungepatchte Software und insbesondere ungepatchtes Sun/Oracle Java für die meisten Angriffe verantwortlich. 2014 zeigte der Cisco 2014 Annual Security Report, dass ungepatchtes Java selbst 91 Prozent aller erfolgreichen Web-Exploits ausmachte. Und andere Anbieter gaben an, dass sie bei zusätzlicher Berücksichtigung ungepatchter Adobe-Produkte (z.B. Adobe Reader, Acrobat, Flash, usw.) für sich genommen 99 Prozent des Risikos ausmachten.
Automatisiertes Software-Patching
Automatisiertes Software-Patching hat sich jedoch in einem Maße verbessert, dass ungepatchte Software nun, obwohl sie noch zu den zwei Hauptbedrohungen gehört, Social Engineering und Phishing gegenüber ins Hintertreffen gerät. Einige Untersuchungen zufolge ist ungepatchte Software in rund 20 bis 40 Prozent aller böswilligen Datenverstöße involviert, obwohl sie oft auch Teil einer Social-Engineering-Kampagne ist.
Besucht ein Nutzer beispielsweise eine kompromittierte Webseite, prüft ein böswilliges „Web-Exploit-Kit“ den Computer des Nutzers auf ein oder mehrere ungepatchte Exploits. Wenn es eine ungepatchte Schwachstelle findet, versucht es, den Computer des Nutzers „stillschweigend“ zu infizieren (was als „Drive-by-Download“ bekannt ist). Findet es nicht, wonach es gesucht hat, wird es versuchen, den Nutzer, der die Seite besucht, durch Social Engineering dazu zu bringen, vertrauliche Informationen preiszugeben oder Trojaner-Inhalt auszuführen.
Zusammen sind und waren Social-Engineering-Methoden und ungepatchte Software über zwei Jahrzehnte lang für die überwiegende Mehrheit der Angriffe verantwortlich. Und scheinbar ist weit und breit nichts in Sicht, was diese Tatsache zeitnah ändern könnte, wobei diese Methoden eines Tages sicher entthront werden (z.B. von Cloud-Bedrohungen, Angriffen auf Quantenkryptographie, usw.). Wenn man diese entscheidende Tatsache erst einmal verstanden hat – nämlich dass Social Engineering mit Abstand die Bedrohung Nummer eins ist, gefolgt von ungepatchter Software – wird völlig klar, dass jedes System zum Schutz des Computers Maßnahmen zur Bekämpfung von Social Engineering und Patching beinhalten muss.
Technische und nicht-technische Kontrollen
Alle mit der Computer-Sicherheit verbundenen Probleme können durch Einsatz technischer und nicht-technischer Kontrollen verringert oder behoben werden. Da jedes Computer-Problem ein Problem mit Menschen, Tools und Prozessen ist, muss jeder einzelne Punkt verbessert werden, damit die Bedrohungen, zu deren Bekämpfung sie da sind, gestoppt werden können.
Jede Abwehrmaßnahme sollte mit der entsprechenden Richtlinie beginnen. Dazu gehört, dass eine jährliche Acceptable Use Policy (AUP) vorhanden ist, die jeder neue Mitarbeiter lesen und unterzeichnen muss, um zu bestätigen, dass er sie verstanden hat. Sie sollte aktualisiert und den Mitarbeitern jedes Jahr erneut zur Lektüre und Unterzeichnung zugesandt werden. Die AUP ist ein allgemeines Informations- und Richtliniendokument, das die Grundzüge der Dateninformationssicherheit sowie die Bedrohungen und Risiken der Cybersicherheit im Detail darlegt und Mitarbeitern eine grobe Richtschnur zu der Frage liefert, wie diese Risiken und Bedrohungen bekämpft werden können.
Acceptable Use Policy (AUP)
Falls Sie keine AUP-Richtlinie haben – das Internet ist voller Beispiele. In diesem PDF finden Sie eines davon.
Stellen Sie sicher, dass Ihre AUP einen Abschnitt zu Social Engineering (und Patching) enthält, so dass Nutzer gleich vom ersten Tag an die Gefährdung kennen und die entsprechenden Abwehrmaßnahmen zur Hand haben. Der AUP sollte ein Sicherheitsrichtliniendokument folgen, in dem alle Kontrollen und Verfahren aufgelistet sind, die Mitarbeiter befolgen müssen, um geschützt zu sein. Dazu gehört, sich auszuloggen, wenn man nicht an seinem Computer ist, kritische Software-Schwachstellen rechtzeitig zu patchen und keine unvorhergesehenen Dateianhänge anzuklicken.
Der AUP und dem Dokument zu den allgemeinen Sicherheitsrichtlinien sollte ein weiteres Dokument folgen, das speziell zur Bekämpfung von Social Engineering und Phishing erarbeitet wurde. Der Grund dafür ist die riesige Bedrohung, die diese Angriffsvektoren für die Umgebung darstellen. Das Dokument solle eine vernünftige Darlegung der Bedrohungen und Risiken durch Social Engineering enthalten, sowie Definitionen und Beispiele und alles andere, was Mitarbeiter wissen und tun müssen.
Sie müssen beispielsweise wissen, wie sie Social Engineering und Phishing erkennen können, was sie tun müssen, falls sie darauf stoßen, und welche Gegenmaßnahmen einzuleiten sind. Die speziellen Antiphishing-Dokumente sollten Links zu ausführlicheren Dokumentationen mit Richtlinien und Tools enthalten, die Organisationen zur Beseitigung dieser Risiken und Bedrohungen nutzen können. Darüber hinaus sollten sie auch die Frage behandeln, wie das Unternehmen Mitarbeiter in Bezug auf diese Bedrohungen und Risiken kontinuierlich schulen kann (z.B. simulierte Phishing-Emails, usw.). Für Leser, die nicht über eine spezielle Antiphishing-Dokumentation verfügen, halten viele Anbieter von Security Awareness-Training jede Menge Dokumentationen bereit.
Fazit
Da Social Engineering und Phishing im Zusammenhang mit Angriffen zu den größten Bedrohungsvektoren gehören, muss ihre Bekämpfung ein wesentlicher Teil der letzten Verteidigungslinie, oder besser noch, der ersten Verteidigungslinie einer jeden Organisation sein.