HTML, Dateianhänge & Co.

Alternative zur eMail-Verschlüsselung

| Redakteur: Susanne Ehneß

(Bild: alexyndr - Fotolia/BISG)

Christian Kress, Fachbereichsleiter beim Bundesfachverband der IT-Sachverständigen und Gutachter (BISG) äußert sich im Interview zur erschwerten IT-Bedrohungslage in öffentlichen Verwaltungen und erklärt, wie SSH-Server die Lücken mit geringem Aufwand stopfen können.

Der Gesprächspartner ist Christian Kress, Fachbereichsleiter beim Bundesfachverband der IT-Sachverständigen und Gutachter (BISG) e.V. für die Themen SSH, M2M, Industrie 4.0 und IoT. Kress ist ISO27001 Lead Auditor und Scrum Master und gilt demnach als ausgewiesener Security-Experte.

Herr Kress, die Schlagzeilen über aktuelle Security-Vorfälle in Unternehmen, aber auch in Regierungs- und öffentlichen Verwaltungseinrichtungen häufen sich aktuell. Wie beurteilen Sie die momentane Diskussion bezüglich neuer Ransomware und Krypto-Trojanern?

Kress: Ich sehe einen Wettlauf: Die Angreifer auf der einen Seite und die Endnutzer und Hersteller von Sicherheitslösungen auf der anderen Seite. Dabei registriere ich, dass viele Endnutzer, somit auch öffentliche Verwaltungen beziehungsweise deren IT-Abteilungen, die Grenzen des Leistbaren erreicht haben.

Wie meinen sie das?

Kress: Übliche Maßnahmen, um sich vor Ransomware zu schützen, sind aktuelle Antivirenschutz-Programme, eine funktionierende und aktuelle Datensicherung, umfassend gepatchte Systeme bzw. Anwendungen und leistungsfähige Firewall-Systeme. Dies sind alles sehr sinnvolle Maßnahmen, die jedoch keinen umfassenden Schutz ermöglichen. 2009 wurden circa 20 Millionen Viren bekannt. Aktuell kommen jeden Monat 20 bis 50 Millionen Viren und Trojaner hinzu. Ich glaube nicht, dass öffentliche Verwaltungen und Unternehmen diesen Wettlauf mit den oben genannten Maßnahmen gewinnen können.

Sie zielen mit Ihrer Aussage auf aktuelle Technologien wie SIEM (Security Information Event Management) oder APT (Advanced Persistent Threat) Prevention ab?

Kress: Nein, ganz und gar nicht. Auch dies können sehr sinnvolle Maßnahmen sein, wenn es für die Verwaltung eine entsprechende Bedrohungslage oder die regulatorische Anforderung gibt. Für die überwiegende Anzahl der öffentlichen Verwaltungen ist dies jedoch nicht der Fall und zudem sehr kostenintensiv.

Also geht es in Richtung Sensibilisierung der Mitarbeiter?

Kress: Auch dieser Punkt ist wichtig, allerdings bin ich davon überzeugt, dass es beim Wunsch bleiben wird und möchte dies an einem Beispiel aus der Sicht eines Cyber-Kriminellen verdeutlichen: Als Angreifender suche ich in der mich interessierenden Zielorganisation ein geeignetes Opfer, also einen Verwaltungsangestellten, über Xing oder Linkedin. Dieses Opfer wird mir eventuell den Zugang zu den gewünschten Ressourcen ermöglichen. Dann nutze ich frei verfügbare Programme, die mir für jede beliebige Person innerhalb von Minuten eine Art soziales Profil erstellen. Mit Hilfe dieser Programme kann ich zum Beispiel erkennen, dass die von mir ausgewählte Person am Wochenende an einem Halbmarathon teilgenommen hat. Ich bekomme automatisch den Veranstalter angeboten und jede Menge weiterer Details. Mit diesen Informationen schreibe ich eine 100-prozentig personalisierte eMail im Namen des Veranstalters. Als Anlage füge ich eine von mir präparierte PDF-Datei bei, die ich als „Bestenliste – Finden Sie Ihr persönliches Ranking“ ausweise.

Das Ganze geht unter der bekannten eMail Adresse des Veranstalters an die Zielperson. Die Wahrscheinlichkeit, dass auch sensibilisierte Mitarbeiter, zum Beispiel der Datenschutzbeauftragte, auf den Dateianhang klicken, liegt bei über 90 Pozent.

Wieder zurück zum Fax? Auf der nächsten Seite geht es weiter.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben
Ich sag nur: E-Mail Signaturen. Da kann der Angreifer sich beim Mailschreiben noch so viel Mühe...  lesen
posted am 02.05.2017 um 16:48 von Unregistriert


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44242716 / Kommunikation)