Die meisten Mitarbeiter erwarten nicht, aufzuwachen und zu erfahren, dass der Zahltag aufgrund von Phishing verschoben wurde. Und Sie würden wahrscheinlich nicht vermuten, dass der CFO seine Nebenbeschäftigung von einem Firmencomputer aus betreibt oder dass sich die Unternehmensanmeldeinformationen eines Mitarbeiters im Darknet befinden, weil er viele Stunden auf Dating-Sites verbracht hat. Das langsame Internet ist keine Überraschung, aber diese Bandbreite zu entdecken aus einer Arbeiter-Webcam-Show mit „Erwachsenenmotiven“ abgezogen wird, ist eine Spur alarmierender. Willkommen im Leben eines IT-Sicherheitsexperten.
Es sind Geschichten wie diese, die für IT-Sicherheitsexperten überraschend typisch sein können. Tatsächlich sind Cybersicherheitsbedrohungen – sowohl innerhalb als auch außerhalb des Unternehmens – so groß geworden, dass die Cybersicherheit innerhalb des IT-Sektors ein Eigenleben entwickelt hat. Es ist so groß geworden, dass die Nachfrage nach Cybersicherheitsexperten stark ansteigt. Laut Daten von CyberSeek, einer kostenlosen Karriere- und Personalressource für Cybersicherheit, gab es allein in den USA „während des 12-Monats-Zeitraums zwischen April 2017 und März 2018 301.873 offene Stellen im Bereich Cybersicherheit im privaten und öffentlichen Sektor“. Horrorgeschichten zur Cybersicherheit von Unternehmen wie die, die Sie gleich lesen werden, sind ein wichtiger Grund dafür.
Hosten einer Show für Erwachsene auf Unternehmensservern
Während unangemessenes Online-Verhalten das Hauptproblem in der IT-Welt zu sein scheint, wird es oft nicht von Hackern, sondern von internen Mitarbeitern demonstriert. Raj Goel, Gründer des in NYC ansässigen Managed Service Provider (MSP) Brainlink, dachte, dass er in seinen über 20 Jahren in der IT alles gesehen habe. Aber ein kürzlicher Vorfall war etwas, was er sich nie vorgestellt hatte.
Der CFO eines Kunden wandte sich an Brainlink, um herauszufinden, warum seiner IT-Abteilung ständig die Bandbreite ausging, selbst nachdem sie gerade Geld für ein Upgrade ausgegeben hatten.
„Diese Jungs hatten, wie ich es nennen würde, eine ‚fette Pfeife‘“, sagt Goel, „aber aus irgendeinem Grund sagten ihre IT-Leute immer wieder, sie seien komplett voll. Also habe ich nachgesehen und festgestellt, dass einer dieser IT-Leute eine Webcam-Pay-per-View-Website außerhalb des Firmennetzwerks betreibt. Es war eine Pornoseite und anscheinend waren seine Freundin und ihre Freunde das Talent.“
Noch schockierender: Dies dauerte mehr als zwei Jahre, und niemand bemerkte es – selbst nachdem die Aktionen dieses Mitarbeiters das Unternehmen mehr als 180.000 US-Dollar gekostet hatten und das Netzwerk alle drei Monate aktualisieren musste, weil es so langsam lief.
Also habe ich nachgesehen und festgestellt, dass einer dieser IT-Leute eine Webcam-Pay-per-View-Website außerhalb des Firmennetzwerks betreibt. Es war eine Pornoseite und anscheinend waren seine Freundin und ihre Freunde das Talent.“
„Die Erkenntnis hier war, dass der CFO proaktiver hätte sein sollen. Er erkundigte sich bei der IT, und sie gaben ihm nur keine Antworten auf seine Fragen“, sagt Goel. „Die Lehre daraus ist, dass es selbst dann, wenn Sie ein internes IT-Team oder einen MSP haben, wichtig ist, (irgendwann) einen Dritten hinzuzuziehen, um eine unabhängige Prüfung oder Bewertung durchzuführen. Sie müssen sich vergewissern, dass Sie einen ROI erzielen und dass alle ihre Aufgaben erledigen.“
Nebenauftritt des CFO
Goel erinnert sich auch an einen Vorfall, bei dem ihn ein Gesundheitsunternehmen anrief, um eine Compliance- und Sicherheitsüberprüfung durchzuführen, und er herausfand, dass der CFO ein von seinem Büro völlig getrenntes Unternehmen führte.
„Ich habe ihn gefragt und erwähnt, dass ich jeden Tag eine Anmeldung bei einer Remote-Verbindung sehe, und sobald er das hörte, sah der Typ fassungslos aus … Ich dachte, er würde einen Herzinfarkt bekommen, als ich es ihm sagte. Zuerst sagte er nichts, gab dann aber zu, dass er nebenbei für sein eigenes Unternehmen arbeitete“, sagt Goel.
Während Goel anmerkt, dass der Manager keine Unternehmensressourcen nutzte, verbrachte der Mitarbeiter immer noch die Hälfte seines Tages damit, sein privates Import-/Exportgeschäft in der Arbeitszeit des Unternehmens zu führen, indem er sich aus der Ferne in seinen Heimcomputer einloggte. Goel und sein Team fanden dies heraus, indem sie den Firewall-Traffic des Netzwerks untersuchten. Zuerst erwartete er, dass die Probleme möglicherweise von einem externen Rechenzentrum herrührten. Als er sich jedoch an den CFO wandte, hatte er nicht mit der Reaktion gerechnet, die er erhielt:
„Ich habe ihn gefragt und erwähnt, dass ich jeden Tag eine Anmeldung bei einer Remote-Verbindung sehe, und sobald er das hörte, sah der Typ fassungslos aus … Ich dachte, er würde einen Herzinfarkt bekommen, als ich es ihm sagte. Zuerst sagte er nichts, gab dann aber zu, dass er nebenbei für sein eigenes Unternehmen arbeitete“, sagt Goel.
Phishing verschiebt den Zahltag
Manchmal erkennen Unternehmen nicht, dass ein Verstoß aufgetreten ist. Und selbst nachdem sie einen entdeckt haben, ergreifen sie nicht immer die notwendigen Sicherheitsmaßnahmen.
„Ein öffentlich bekannt gewordener externer Verstoß könnte den Ruf schädigen, und dann investiert der Kunde nicht in Sicherheitskontrollen, nur um herauszufinden, dass die Hacker nie gegangen sind und immer noch ihr Netzwerk infiltrieren“, Bart Barcewicz, Gründer von MSP B Suite Cyber Security, teilt Tom’s Hardware mit.
„Wenn jemand Regeln und Authentifizierung eingerichtet hätte, wäre er benachrichtigt worden, dass Informationen geändert wurden“, sagt Barcewicz. „Das größte [Problem] war, dass sie nach diesem Vorfall nicht in eine Cybersicherheitslösung investieren wollten und nicht aus dieser Erfahrung gelernt haben.“
Nehmen Sie das große Produktions-/Vertriebsunternehmen, für das Barcewicz bei einem früheren Job gearbeitet hat. Er sagt, dass ungefähr 10 Mitarbeiter dort eine Phishing-E-Mail erhalten haben, auf die sie hereingefallen sind und ihre Office 365-Anmeldeinformationen und andere Anmeldeinformationen an ahnungslose Hacker gesendet haben. Die Hacker nutzten dann die Informationen, um in die Gehaltskonten dieser Firma einzudringen, und änderten alle Kontoinformationen der Mitarbeiter. Da das Unternehmen keine Warn- oder Sicherheitskontrollen installiert hatte, wurde der Verstoß erst zwei Wochen später entdeckt, als die Mitarbeiter ihre Gehaltsschecks nicht erhielten.
„Wenn jemand Regeln und Authentifizierung eingerichtet hätte, wäre er benachrichtigt worden, dass Informationen geändert wurden“, sagt Barcewicz. „Das größte [Problem] war, dass sie nach diesem Vorfall nicht in eine Cybersicherheitslösung investieren wollten und nicht aus dieser Erfahrung gelernt haben.“
Dark Web-Verzweiflung
Eine andere Situation, die Barcewicz bei mehreren Kunden beobachtet hat, sind Mitarbeiter, die Unternehmens-Login-Informationen (z. B. ihre geschäftlichen E-Mail-Adressen) verwenden, um sich für persönliche Websites wie soziale Medien und Dating-Dienste anzumelden. Während der Zugriff auf diese Websites während der Arbeitszeit normalerweise verpönt ist, wird es zu einem Sicherheitsproblem, wenn die Unternehmensinformationen eines Benutzers auf einer Website verwendet werden, die verletzt wurde, und diese Anmeldeinformationen im Dark Web landen. Barcewicz entdeckte genau diese Situation, nachdem er eine Dark-Web-Analyse für ein Ingenieurbüro mit 2.500 Mitarbeitern durchgeführt hatte.
„Sie sagen buchstäblich, dass sie jede Online-Bewegung des Benutzers aufzeichnen, sagen, dass sie ihn per Webcam beobachtet haben und dass sie, wenn sie nicht in Bitcoins bezahlen, ihre Kontaktliste über alles informieren werden, was sie getan haben.“
Barcewicz stellt auch fest, dass ein weiterer Dark-Web-Betrug immer beliebter wird, bei dem Hacker den Computer eines Benutzers kapern und damit drohen, sein unangemessenes Online-Verhalten allen auf seiner Kontaktliste zu melden:
„Sie sagen buchstäblich, dass sie jede Online-Bewegung des Benutzers aufzeichnen, sagen, dass sie ihn per Webcam beobachtet haben und dass sie, wenn sie nicht in Bitcoins bezahlen, ihre Kontaktliste über alles informieren werden, was sie getan haben.“
Barcewicz rät Mitarbeitern, Arbeitsinformationen nicht für private Zwecke zu verwenden.
„Jemand könnte diese Informationen nehmen und sie dann für einen Betrug verwenden, z. B. um Ihre Informationen als Lösegeld gegen Bitcoin-Geld einzubehalten“, sagt er.
Kampf gegen den Wahnsinn
Einer der Gründe, warum die Nachfrage nach Sicherheitsexperten so groß ist, liegt darin, dass sie nicht nur gegen eine Fülle von Bedrohungen von außen kämpfen müssen; Sie verwalten auch eine gesunde Menge an Risiken innerhalb der Organisation. Dies kann von einem Mitarbeiter kommen, der Zugang zu Servern und anderer Technologie hat, und noch mehr, nachdem ein Mitarbeiter gegangen ist – insbesondere, wenn es sich nicht um einen einvernehmlichen Abschied handelt. Um dem abzuhelfen, empfiehlt Barcewicz Maßnahmen wie die Implementierung einer Zwei-Faktor-Authentifizierung und die Installation eines Passwort-Managers.
„Das Minimum für jedes Unternehmen ist die Verwendung einer zweistufigen Passwortauthentifizierung, wenn möglich, sowie die Verwendung verschiedener Passwörter über ein Passwort-Manager-Tool“, sagt er. „Wir empfehlen außerdem, Ihr Passwort (für sensible Websites) alle drei bis sechs Monate zu ändern, aber mit der zweistufigen Authentifizierung muss dies normalerweise nicht so oft durchgeführt werden.“
Und Barcewicz praktiziert, was er seinen Kunden predigt. Er persönlich verwendet einen webbasierten Passwortmanager, der automatisch ein eindeutiges Passwort für jede Website generiert, auf der er sich anmeldet (sowie eine zweistufige Authentifizierung). Er sagt, das liegt daran, dass automatisch generierte Passwörter schwieriger zu knacken sind. „Hacker suchen nicht immer nach dem genauen Passwort“, sagt er. „Sie versuchen, Variationen und Muster herauszufinden, weil sie wissen, dass sie auf anderen Websites oft so verwendet werden.“
Sowohl Barcewicz als auch Goel sagen, dass die Moral dieser Geschichten darin besteht, dass es für Geschäftsinhaber am besten ist, einen externen IT-Sicherheitsgutachter hinzuzuziehen, der weiß, was er tut.
„Das Minimum für jedes Unternehmen ist die Verwendung einer zweistufigen Passwortauthentifizierung, wenn möglich, sowie die Verwendung verschiedener Passwörter über ein Passwort-Manager-Tool“, sagt er.
„Eine gute Einschätzung schadet nie“, sagt Goel. „Aber man muss das Geld ausgeben; Verwenden Sie niemanden, der einfach ein kostenloses Tool herunterlädt und Ihnen dann sagt, was Sie hören möchten. Sie brauchen jemanden, der sich Dinge wie Verkehrsmuster, Daten, Benutzerverhalten und andere wichtige Bereiche ansieht.“
Barcewicz fügt hinzu, dass der Widerstand gegen Veränderungen einige Kunden davon abgehalten hat, in angemessene Cybersicherheit zu investieren. Im Fall des Kunden, dessen Gehaltsabrechnung gehackt wurde, weigerten sich die Führungskräfte immer noch, ihren Ansatz zur Cybersicherheit zu verbessern. „Sie wollten ihre Arbeitsweise nicht ändern, und Geld war überhaupt nicht der Grund“, sagt er. „Es war eher der Widerstand gegen Veränderungen; das war der Hauptgrund.“
Was ist Ihre verrückteste IT-Sicherheitsgeschichte? Können Sie den Webcam-Skandal toppen? Lassen Sie es uns in den Kommentaren unten wissen.
