Dienstag, 21. Mai 2019

Warum es bei Angriffen selten um einen selbst geht und man oft nur Mittel zum Zweck ist.

Gastkommentar von DI Harald Schenner, Experte für Informationssicherheit und digitale Transformation
Was heißt hier „Angriff“? Wie soll ich angegriffen werden? Tut das weh?
Vorweg - es geht hier nicht um einen körperlichen Angriff, sondern um Informationsgewinnung. Informationen und Daten sind DAS Investitionsgut der heutigen Zeit. Wer entsprechende Informationen hat und diese zu nutzen weiß, hat die Nase vorn.
„Ich soll angegriffen werden? Viel Spaß, bei mir ist nichts zu holen“, denken sich viel zu viele Menschen. Vielleicht sind Sie jedoch gar nicht das Ziel, sondern nur Mittel zum Zweck. Warum? Weil Sie möglicherweise Kunden haben, die ein gutes Ziel wären.
Kriminelle wissen, wo sie ansetzen müssen - am schwächsten Glied der Kette. Dies sind meist kleinere Unternehmen, die nicht nur aus Kostengründen selbst wenig in die eigene Informationssicherheit investieren, sondern vor allem aus mangelndem Bewusstsein. Wir haben meist zu wenig kriminelle Fantasie, um uns ausmalen zu können, was passieren kann. Beispiele zum Thema "Was soll denn schon passieren" finden sich beinahe täglich in den Medien.
So genannte "third-party-attacks" oder auch "supply-chain-attacks" – also Angriffe über Dritte -  sind bereits der überwiegende Angriffsvektor auf größere Unternehmen. Im Jahr 2017 waren rund 56% der angegriffenen Unternehmen mit einer Verletzung der eigenen Datensicherheit konfrontiert, verursacht durch einen Lieferanten. (Studie "Data Risk in the Third-Party Ecosystem", September 2017, Ponemon Institute LLC).
Könnte eine derartige Panne eventuell das "Aus" für Ihre Kundenbeziehung bedeuten? Und Was können Sie vorbeugend unternehmen?

Bewusstmachen - und dann bewusst machen:

Prüfen Sie zuerst Ihre Kundenliste. Haben Sie interessante Kunden, von denen Sie denken, dass dort "was zu holen sei"? Von wem wissen Sie mehr als zur Geschäftsbeziehung unbedingt nötig ist? Haben Sie vielleicht Informationen zu Zutrittssystemen, eventuell sogar Ihre eigene Zutrittskarte oder einen Zutrittscode, oder möglicherweise Passwörter oder Zugangsdaten Ihrer Kunden gespeichert? Kennen Sie Details aktueller Projekte Ihrer Kunden, die nur am Rande oder auch gar nichts mit Ihnen zu tun haben? Haben Sie eventuell sogar ein respektvolles Naheverhältnis zu Ihrem Kunden, werden auch vertrauliche Dinge per Telefon oder E-Mail kommuniziert?
Wo und wie werden diese Informationen bei Ihnen im Unternehmen gespeichert? Wer hat Zugang zu dieser Information? Worüber sprechen Sie und Ihre MitarbeiterInnen am Telefon, wie reagieren Sie und Ihr Team auf E-Mails mit Anhängen oder Links?
Der Schutz vor einem Risiko beginnt mit dem Bewusstsein, dass ein Risiko besteht und darin zu erkennen, wo es liegt. Im nächsten Schritt können Sie das Risiko minimieren, indem Sie einige wenige, jedoch wichtige Dinge berücksichtigen.
Meine Top 5 - Tipps
1.    Üben Sie die "professionelle Distanz" zu Menschen, die Sie nicht kennen
2.    Bleiben Sie sparsam mit Informationen - prüfen Sie das "Need-to-Know"-Prinzip (muss mein Gegenüber das gerade wissen?)
3.    Telefonieren Sie außerhalb Ihres Unternehmens nicht lautstark und achten Sie darauf, dass Ihnen niemand auf Ihren Bildschirm späht (Shoulder-Surfing)
4.    Speichern Sie Zugangsdaten und Zutrittscodes in verschlüsselten Speicher-/Datenbanksystemen (zB: https://keepass.info, kostenlos)
5.    Prüfen Sie, ob Ihre E-Mail (die meist als Benutzername für diverse Logins auf Webseiten oder ähnlichem fungiert) plus dazugehörigem Passwort bereits im Internet auftaucht (https://haveibeenpwned.com)

Details und mehr Informationen zum Thema erhalten Sie im kommenden Beitrag "Humanoide Firewall - was die Technik nicht schafft".
Bleiben Sie dran!
Autor: DI (FH) Harald Schenner
Experte für Informationssicherheit und digitale Transformation
  
DI (FH) Harald Schenner
Experte für Informationssicherheit und digitale Transformation

Keine Kommentare:

Kommentar posten