Warum VAPs die wahren VIPs eines Unternehmens sind
Keine Woche ohne neue Cyberangriffe. Immer mehr KMUs und Konzerne werden in der Schweiz Opfer von Hackern und Erpressern. Die grösste Schwachstelle: der Mensch. Jedoch sind nicht alle Mitarbeitenden dabei gleich gefährdet. Dieser Beitrag zeigt auf, wie man "Very Attackable Persons" (VAPs) erkennen und schützen kann.
Wie schütze ich mich und meine Kunden? Diese Frage stellen sich mehr und mehr Unternehmen. Lange Zeit lag die Antwort darauf vor allem in technischen Lösungen. Firewalls und Antivirus-Software, die immer ausgeklügelter wurde, jeden neuen Trojaner kennen musste, um Computer und Netzwerk sicherer zu machen. "Eine neue Masche muss her", dachten sich kriminelle Hacker.
90 Prozent aller Attacken beginnen mit einer E-Mail, sagen Fachleute
Immer mehr nutzen die "bösen Jungs" die Mitarbeitenden ihrer Opfer als ungewollte Komplizen, indem diese etwa auf einen ominösen Link klicken und damit den verheerenden Trojaner unbewusst auf dem Firmennetzwerk installieren, der das ganze Netzwerk lahmlegen kann.
Diese Personen sind am meisten gefährdet
Bei der Auswahl ihrer Opfer gehen die meisten Hacker längst nicht mehr nach dem Zufallsprinzip vor. Welche Mitarbeitenden geraten besonders häufig ins Fadenkreuz der Cyberkriminellen? Es sind nicht die, die man als Erstes vermuten würde. Nicht der CEO, der CFO oder die Vorsitzende des Verwaltungsrats. Nicht die VIPs.
Es ist die Assistentin des CEOs, die seine Geschäftsreisen bucht; der Sachbearbeiter in der Finanzabteilung, der Zahlungsfreigaben erteilt oder die Einkäuferin, die sich um die Warenbeschaffungen für den ganzen Konzern kümmert.
Diese besonders angreifbaren Personen ("Very Attackable Persons") zeichnen sich durch ihre relativ hohen Befugnisse in ihrem Fachbereich und nicht durch ihre Rolle in der Unternehmenshierarchie aus. Ein falscher Klick oder ein unüberlegtes Öffnen einer Datei durch diese Mitarbeitenden sorgt für eine Mehrzahl der weltweit registrierten personifizierten Cyberattacken. Die Entwicklung hin zum hybriden Arbeiten hat diese akuten Gefahren nochmals verschärft. Wichtige Transaktionen, bei denen viel Geld fliesst, werden via ungesichertes Wi-Fi aus dem Lieblingscafé nebenan freigegeben. The new normal.
Wie schütze ich mich und meine Kunden?
Wer sich vor solchen Übergriffen schützen möchte, sollte bei der Security-Strategie im eigenen Unternehmen menschliche Interaktionen in den Mittelpunkt stellen und nicht die technischen Geräte, die Mitarbeitende benutzen. Dies kann zum Beispiel ständige Schulungen mit hohem Praxisbezug beinhalten. Awareness Trainings, die simulieren, wie Ransomware-Attacken getarnt sind, tragen dazu bei, vorsichtiger zu sein, das eigene Verhalten zu hinterfragen und das Unternehmen sicherer zu machen.
Unternehmen, die verstehen, dass ihre "Very Attackable Persons" nicht die "Very Important Persons" sind, können dabei besonderes Augenmerk auf diese VAPs legen und verhindern, über die empfindlichsten Stellen Opfer von Hackerangriffen zu werden.
----------
Ein Sicherheitskonzept ist veraltet, sobald das Dokument geschrieben ist
Hacker suchen sich immer den einfachsten Weg, um in ein Unternehmensnetzwerk einzudringen: über Mitarbeitende. Manche von ihnen sind für Hacker besonders interessante Ziele. Was so eine "Very Attackable Person" auszeichnet und wie Unternehmen – technisch und organisatorisch – damit umgehen, erklärt Robert Rolle, Lead Competence Center & BDM bei Alltron. Interview: Coen Kaat
Was zeichnet eine "Very Attackable Person" aus?
Robert Rolle: Das Hauptmerkmal einer "Very Attackable Person" liegt darin, dass sie in ihrem Fachgebiet verhältnismässig viele Berechtigungen hat. Ihre Rolle in der Unternehmenshierarchie ist nicht zentral. Denken Sie zum Beispiel an einen Assistenten des Geschäftsführers, der auf Reisen ist, eine Finanzbeamtin die Zahlungen genehmigt, oder eine Einkäuferin, die für den Wareneinkauf der gesamten Gruppe verantwortlich ist.
Welches sind die grössten Risiken, die dadurch für Unternehmen entstehen?
Die grössten Risiken sind finanzielle Schäden, etwa durch Betrug, aber auch Reputationsverlust und die aus den Schadensfällen resultierenden Opportunitätskosten für nicht erfolgreich abgeschlossene Geschäfte.
Ist die "Schwachstelle Mensch" nicht eher auf ein ungenügendes Sicherheitskonzept im Unternehmen zurückzuführen?
Auch das grösste Sicherheitskonzept dieser Welt scheitert, wenn es den Faktor Mensch nicht einplant. Warum? Erstens: Das Konzept ist veraltet, sobald das Dokument geschrieben ist – jeden Tag entstehen tausende neue Malware-Variationen. Zweitens: Wer sich gegen "alles" schützen möchte, muss "alles" bezahlen, und das wird "unbezahlbar" Drittens: Das Leben verläuft nicht wie ein Flussdiagramm in einem Konzept. Es treten spontan ungeplante Situationen ein. Das ist menschlich und darauf können (nur) Menschen spontan reagieren.
Wo und wie setzt man diesbezüglich die Cyberabwehr an?
Die Krux ist, dass die Hacker nur einmal eine einzige Lücke in einem Unternehmen finden müssen, um an ihr Ziel zu kommen. Unternehmen müssen allerdings jeden Tag Hacker abwehren, an vielen Orten: an Servern, Clients, Webpages wie Onlineshops und an physikalischen Umgebungen sowie in menschlichen Interaktionen. Um Firmen und ihre Very Attackable Persons zu schützen, ist es daher besonders wichtig, die digitalen Identitäten der Mitarbeitenden mit Multi-Faktor-Authentifizierung zu schützen, die Echtheit von (unterschriebenen) Dokumenten mit Signaturen zu sichern und externe Dokumente ebenso zu verifizieren. Und dann ein Rechte- und Rollenkonzept zu erstellen und zu leben. Es gilt der Grundsatz: "So viel Rechte wie nötig, so wenig Rechte wie möglich." Bei so einem Konzept darf auch an den Kontext gedacht werden. Als Beispiel denken wir hier wieder an die Einkäuferin, welche die Warenbeschaffung übernimmt. Wenn diese stets im Büro in Basel arbeitet, darf ein hervorragendes Rechtemanagement erkennen, woher ein Login-Versuch kommt und eine IP die sich etwa aus Südamerika mit den Benutzerdaten eben dieser Einkäuferin einloggt sperren oder zumindest eine geeignete weitere Authentifizierung aktivieren.
Gibt es ausser den technischen auch organisatorische Massnahmen, um die Sicherheit zu erhöhen?
Unbedingt! Wichtig sind typische Fehlerszenarien, wie etwa einen Social-Engineering-Angriff zu skizzieren und Gegenmassnahmen zu definieren, sowie diese Gegenmassnahmen dann zu üben. Der Köder bei so einem Social-Engineering-Angriff kann ein gefälschter lukrativer und kurzfristiger Auftrag eines noch unbekannten Kunden sein. So etwas geschieht etwa über eine Phishing-E-Mail oder einen Social-Engineering-Anruf, früher auch einfach als "Telefonbetrug" bekannt. Die wichtigste Massnahme ist und bleibt die regelmässige Sensibilisierung der Mitarbeitenden. Und das kann sogar Spass bringen! Mit den richtigen (Online-)Trainings geht dies leicht, effektiv und mit Freude.