Immer mehr IT-Abteilungen lassen sich vom Pentest oder dem Bug Bounty inspirieren und simulieren Cyberattacken, um ihre Teams besser zu sensibilisieren. Grund dafür ist der explosionsartige Anstieg der Cyberbedrohungen. Egal ob man nun die Sicherheitsmaßnahmen oder die digitalen Reflexe der Mitarbeiter prüfen möchte: Die Simulation von Cyberattacken könnte zu einer besseren Sensibilisierung führen.
Kennen Sie Jeremy aus dem Marketingteam? Den Neuen des Teams im ersten Stock. Sie halten ihn für harmlos? In Wirklichkeit ist Jeremy ein sehr erfahrener Hacker, der vom Unternehmensleiter eingestellt wurde, um vor Ort einen Penetrationstest durchzuführen. Ihm wurde freie Hand gelassen und seine Kollegen werden dies bald entdecken. Diese Geschichte könnte geradezu aus einem Thriller stammen, findet sich jedoch in der 36. Folge des Cyber-Sicherheits-Podcasts Darknet Diaries, Jeremy from marketing. Hierbei geht es um einen internen Angriff des Typs Red Team, der möglichst viele Schwachstellen aufdecken und somit das Sicherheitsniveau der Infrastrukturen und Netzwerke einstufen soll.
Darknet Diaries Ep 36: Jeremy from Marketing.
Special thanks to guest @TinkerSec.
Listen on @ApplePodcasts or at https://t.co/9zl8mnPKiV pic.twitter.com/OxDXMabqad
— DarknetDiaries (@DarknetDiaries) April 16, 2019
Heute bieten immer mehr Unternehmen Pentests sowie praktische Übungen für Mietarbeiter an. Rollenspiele, simulierte Cyberattacken: Die Entwicklung der Cyber-Kultur der Unternehmen wird immer immersiver. Gewisse IT-Abteilungen sehen das Problem wie folgt: Egal ob man nun die Sicherheitsmaßnahmen oder die digitalen Reflexe der Mitarbeiter prüfen möchte: Die Simulation von Cyberattacken könnte zu einer besseren Sensibilisierung führen.
Zahlreiche Penetrationstests
Pentesting oder Bug-Bounty-Programme, mit denen man ein Produkt oder eine Netzwerkinfrastruktur angreift, um seine Stabilität oder Sicherheit zu beweisen, sind in der Cyberwelt mittlerweile gang und gäbe. Im Bereich Cyber-Sicherheit reife Unternehmen wenden sich sogar häufig an externe Anbieter, um ihre Schutzeinrichtungen zu prüfen. „Beim Black-Box-Pentesting hat die beauftragte Person Zugriff auf dieselben Daten wie in der Realität und wird versuchen, das Netzwerk von außen anzugreifen“, erklärt Adrien Brochot, Product Manager bei Stormshield. „Andererseits kann man ihm auch Zugriff auf den Code und die Ablaufregeln gewähren, damit er durch Korrekturlesen des Codes versucht, die Schutzvorrichtungen zu umgehen. Dies nennt man dann White-Box-Pentesting“.
Die im Bereich Cyber-Sicherheit reifsten Unternehmen und Organisationen können ebenfalls Simulationen des Typs Red Team / Blue Team auf die Beine stellen. Das Red Team testet in diesem Fall die Sicherheit eines Unternehmens, eines IT-Netzwerks oder einer Anlage durch Hacking-Techniken, während das Blue Team versucht, sich zu verteidigen. Im Juni 2019 hatte das Ministerium der französischen Armeen beispielsweise eine solche Simulation vorgenommen, mit dem Ziel, „den Handlungen des Gegners vorzugreifen“. Solch eine Simulation einer Cyberattacke soll also die Schwachpunkte eines Unternehmens kenntlich machen. Wenn man die Übung noch effizienter gestalten möchte, sollte es ein Purple Team geben, das sich regelmäßig mit den anderen beiden Teams austauscht. Für die Puristen und wenn man einen möglichst umfassenden Perimeter möchte, gibt es dann auch noch das Yellow Team, das Green Team und das Orange Team, die allesamt in der BAD-Pyramide zu finden sind.
Im Rahmen der Penetrationstests wird die Angriffsfläche zuvor zwischen dem Unternehmen, das seine Infrastruktur testen möchte, und dem Anbieter, der den Pentest durchführt, festgelegt. „Es wird beispielsweise versucht, einen Online-Webserver anzugreifen oder eine Phishing-E-Mail zu versenden“, so Paul Fariello, Sicherheitsexperte bei Synacktiv weiter. „Wir erstellen sogar maßgeschneiderte Szenarien. Wir entsenden dann eine Person vor Ort, die versucht, in die Räumlichkeiten des Unternehmens einzubrechen und ein externes Eingabegerät wie einen USB-Stick anzuschließen“, führt Paul Fariello fort. Hierzu ist häufig eine erste Phase des Social Engineering notwendig. Und leider wirksam.
Fallen zur besseren Sensibilisierung
Eine vor Kurzem durchgeführte IBM-Studie, die im Blog Usecure genannt wird, unterstreicht, dass das menschliche Versagen 95 % der Sicherheitslücken eines Unternehmens ausmacht. Anders ausgedrückt: Die Handhabung des menschlichen Faktors könnte die meisten Lücken ausmerzen, da die perimetrische Sicherheit unzureichend und jede Person ein Angriffsvektor werden kann. In Frankreich, im Jahr 2017 gerieten somit 30.000 Mitarbeiter des Wirtschaftsministeriums in die Falle ... die ihnen ihre eigene Sicherheitsabteilung für Informationssysteme gestellt hatte. Die Abteilung verfolgte hiermit das Ziel, diese Mitarbeiter, die Phishing-Risiken ausgesetzt sind, zu sensibilisieren. Und das mit Erfolg!
Dies führt dazu, dass immer mehr IT-Abteilungen sich auf Pentesting zu stützen scheinen, um die Mitarbeiter in Bezug auf das Cyberrisiko zu sensibilisieren. Die Herausforderung? Sie einer Cyberattacke aussetzen, um sie besser zu schulen und ihnen die Handhabung potenzieller Schäden beizubringen. Im Juni 2019 wurden anlässlich des G7-Gipfels 24 Finanzinstitute der sieben Mitgliedsländer gebeten, eine großflächige Übung durchzuführen, um das Ausmaß der grenzüberschreitenden Cyberbedrohungen auf das Finanzwesen besser zu erfassen.
„Man darf nicht vergessen, dass diese Vorgänge langwierig und kostspielig sind“, erklärt Adrien Brochot. Es kann sich jedoch nicht jedes KMU erlauben, solche Cyber-Übungen umzusetzen. Aus diesem Grund entscheiden sich die CISO dann eher, sich an dem Prinzip des Rollenspiels zwischen Red/Blue/Purple Team in kleinerem Umfang zu inspirieren. Um möglichst reale Bedingungen zu bieten, sollten die verteidigenden Abteilungen auch möglichst nichts von der Übung wissen. „Man kann sich verschiedene praktische Übungen in Abhängigkeit der Abteilungen vorstellen. Ein Mitarbeiter der Personalabteilung könnte unwissentlich getestet werden, um die ordnungsgemäße Umsetzung der notwendigen Schutzvorrichtungen für eine Datei mit personenbezogenen Daten zu prüfen. Andere Abteilungen würden dann versuchen, mittels verschiedener technischer oder sozialer Methoden auf diese Datei zuzugreifen“, erklärt Adrien Brochot. Der CISO wird dabei versuchen, Parallelen zwischen der simulierten Cyberattacke und den wesentlichen Grundsätzen der IT-Sicherheit, wie beispielsweise dem Schutz der Passwörter oder den grundlegenden Regeln für den Schutz vor verdächtigen E-Mails, zu ziehen. Bei der praktischen Übung des Finanzministeriums wurde den per Phishing-E-Mail reingelegten Mitarbeitern eine Website mit Empfehlungen zur Nutzung von E-Mails und Sicherheitsvorkehrungen angezeigt, wie Yuksel Aydin, der die Übung leitende CISO, in der französischen Zeitung Figaro berichtet.
Das Simulationsgeschäft boomt
„Eine gute praktische Übung ist sicherlich tausendmal so wirksam wie eine PowerPoint-Schulung“, betont Paul Fariello. Die Herausforderung besteht darin, die Übungen der Pentests oder Rollenspiele mit effizienter Sensibilisierung zu verbinden. „Man muss sich also die Zeit nehmen, um die Übung in einen allgemeineren Kontext einzuordnen, die Cyberattacke schrittweise zu analysieren, um so alle Lehren hieraus schließen zu können“, führt er fort. „Manchmal ist es sogar von Vorteil, einige Monate später die praktische Übung zu wiederholen, um zu sehen, ob sich das Verhalten der Mitarbeiter geändert hat und die Sicherheitsvorkehrungen für solche Angriffe auch verstanden wurden“, ergänzt Adrien Brochot.
Eine gute praktische Übung ist sicherlich tausendmal so wirksam wie eine PowerPoint-Schulung
Paul Fariello, Sicherheitsexperte bei Synacktiv
Das Unternehmen IBM hat beispielsweise auf die Sensibilisierung der Unternehmen gesetzt. Im Sommer 2019 durchzog das Unternehmen Europa und ließ bei den Unternehmensleitern (kostenlos) Angstschweiß ausbrechen. Hierzu konfrontierte IBM sie mit Szenarien zu Cyberattacken, um so unter anderem die Unternehmen dazu zu bewegen, zahlpflichtige Schulungen zu besuchen. Ein anderes Ziel: Daran erinnern, dass es immer mehr Anbieter für Simulationen gibt, da die Cyberbedrohungen für alle Unternehmen zur Realität werden.
Wir sprachen in vorherigen Artikeln bereits verschiedene Möglichkeiten an, um eine effiziente und resiliente Cybersicherheitskultur in den Unternehmen zu erreichen: vom Lehren der Cyber-Sicherheit in der Schule bis zur Haftung der Mitarbeiter. Im Jahr 2020 sind die meisten IT-Abteilungen zwar noch auf der Suche nach der richtigen Sensibilisierungsmethode, man kann jedoch damit rechnen, dass die praktischen Übungen und sonstigen simulierten Cyberattacken schon bald in ihren Katalog aufgenommen werden könnten.
