Unterschätzte Security-Gefahren

Der  Softwareanbieter Gitlab hat seine Mitarbeiter absichtlich in eine selbst erstellte Phishing-Falle gelockt.

Um die Sicherheit zu überprüfen hat sich Gitlab zu diesem Schritt entschieden.
Mit erschreckendem Erfolg: 20 Prozent der Opfer fielen darauf rein. Das sollte jedem Unternehmen zu denken geben.

Securityexperten warnen seit Jahren vor der ständig wachsenden Gefahr durch die immer neue und ausgefeilter werdende Phishing-Angriffe. Die meisten Anwender glauben immer noch, dass sie selbst niemals in eine solch vermeintliche Falle tappen können. Auch viele Unternehmen sehen das ähnlich und gehen davon aus, dass gelegentliche Warnungen vor gefährlichen E-Mails ihre Mitarbeiter ausreichend auf die drohenden Gefahren vorbereiten.

Selbstversuch bei Gitlab

Das diese Herangehensweise an das Problem äußerst Naiv ist, beweist nun auch eindrucksvoll ein Selbstversuch des IT Unternehmens Gitlab

Um die für das eigene Unternehmen realistisch einschätzen zu können, wurde getestet, wie schnell sich die Mitarbeiter, immerhin zum Großteil alles IT-Profis, in eine Phishing-Falle locken lassen.
Hierzu wurde zunächst die Domain gitlab.company registriert und eine authentisch wirkende Login-Seite wurde installiert. Anschließend wurde eine E-Mail an 50 Mitarbeiter versendet mit der Aufforderung sich für ein System Update einzuloggen. Dieses Vorgehen, welches relativ wenig Aufwand und Knowhow erfordert und dem typischen Angriff von Cyberkriminellen entspricht, wurde bei Github in Schulungen, und im Sicherheitshandbuch gewarnt und es wurde aktiv davor gewarnt.

Eine deutliche Warnung für alles Unternehmen sollte folgendes Ergebnis sein.

17 der 50 Empfänger klickten den Link zu der vermeintlichen Login Seite und 10 von ihnen trugen dort tatsächlich ihre realen Login-Daten ein. Nur sechs der Empfänger meldeten die verdächtige E-Mail an ihre Sicherheitsabteilung!

Eine Erfolgsquote von 20 Prozent macht deutlich, wie trügerisch die selbst attestierte Sicherheit in der Praxis sein kann. Lediglich  auf mögliche Gefahren ist dafür die denkbar schlechteste Lösung. Zur Digitalisierung gehört es auch, sich immer wieder mit den möglichen Gefahren dieser auseinanderzusetzen und das Unternehmen bestmöglich und aktiv zu schützen.

Grundvoraussetzung ist eine klar definierte und sich stetig weiterentwickelnde Security-Strategie. Mitarbeitern auf allen Ebenen muss diese Stragegie ins bewusssein berufen werden und  sie muss auch ständig auf die aktuelle Bedrohungslage ausgerichtet werden. Schulungen auf solche Angriffe und andere mögliche Sicherheitsrisiken gehören ebenfalls dazu.

Es gilt hier eigene Sicherheitslücken wie beispielsweise in der Rechte- und Rollenvergabe zu erkennen und zu beseitigen. Dies ist ein fortlaufender Prozess. Besprochen werden sellte ebenfalls, wodurch die Resilienz beim Angriffsfall gesteigert werden kann.

Hier kann ein Threat Management oder ein Business Continuity Plan weiterhelfen.

Die Unternehmensführung muss erkennen, dass es notwendig ist die dafür notwendigen Ressourcen zur Verfügung zu stellen, denn im Schadensfall sind die Kosten meistens immens.