CAS Information Security & Risk Management 2018: Aktuelle Gefahren im Web

Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Ein weiterer Teil des 15-tägigen Lehrgangs ist es, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Aktuelle Gefahren im Web

Das Internet ist als Arbeitsmedium für die schnelle Suche oder den Austausch von Informationen und Daten im heutigen Arbeitsalltag kaum mehr wegzudenken. Natürlich birgt auch diese Entwicklung verschiedenste Gefahren und Risiken für Privatpersonen wie auch für Unternehmen in sich.

Jüngste Vorfälle im Zusammenhang mit Cyberkriminalität haben gezeigt, dass der IT-Sicherheit innerhalb des Unternehmens eine stetig höhere Gewichtung zukommen sollte. Da IT-Sicherheit Chefsache ist, sollte innerhalb des Unternehmens die Sensibilisierung vom Top-Management über die gesamte Unternehmung getragen und Schutzmassnahmen implementiert werden.

Die Anzahl der Gefahren im Web ist so vielfältig wie die Artenvielfalt im Regenwald. In diesem Beitrag wird auf drei der meist verbreiteten Angriffsmethoden eingegangen und aufgezeigt, was geeignete Massnahmen sind um sich dagegen zu schützen.

Phishing
Bei der Phishing-Attacke geht es darum, gezielt sensible Daten über einen kurzen Zeitraum zu erhalten. Eine Phishing-Attacke wird mithilfe von E-Mails durchgeführt, die Links zu gefälschten Dienstleistungsunternehmen, Banken oder Lieferdiensten beinhalten. Die E-Mails und die nachgebauten Websites sehen dem Original täuschend ähnlich, so dass es teilweise schwierig ist, den Betrug auf Anhieb festzustellen. Das Ziel der Attacke ist, dass die Opfer anschliessend ihre persönlichen Daten und Identitäten (Kreditkartennummer, Passwörter, Onlinebanking etc.) übermitteln. Aktuell kam es in einem Unternehmen zu einem FRAUD-Fall, der zu einem Verlust von mehreren 10’000 Schweizer Franken führte. Dies wurde durch eine Phishing-Attacke erreicht, bei der die Mitarbeitenden zur Abänderung von Zahlungsinformationen eines bestehenden Lieferanten angehalten wurden. Um solche Vorfälle zu verhindern, können Mitarbeitende im Unternehmen beispielsweise mittels Awareness-Kampagnen geschult und für dieses Thema sensibilisierte werden. Phishing-Mails sind meistens dadurch erkennbar, dass sie generisch formuliert sind oder Bezug auf eine nicht existierende Begebenheit (Bestellung, Anfrage etc.) nehmen. Des Weiteren sollte ein Augenmerk auf das interne Kontrollsystem (IKS) gelegt und beispielsweise die Änderung von Stammdaten (z.B. Lieferantendetails) mit einem Vier-Augen-Prinzip kontrolliert und durchgeführt werden. Zusätzlich ist es ratsam, den Antivirus immer auf dem aktuellen Stand zu halten und Updates konsequent zu installieren.

Denial-of-Service (DDoS)
Bei der Denial-of-Service-Attacke geht es darum, gezielt über einen Verbund von Rechner oder Botnetze massenhaft Datenpakte an einen Server zu senden, um einen Internetdienst oder Webserver so auszulasten, dass der Service im Internet im Anschluss nicht mehr verfügbar ist. Im Jahr 2016 waren verschiedene Tochtergesellschaften der Schweizer Grossisten Migros und Coop von solchen Attacken betroffen. Namentlich waren die Webdienste von Digitec und Galaxus (Migros) sowie Interdiscount und Microspot (Coop) für mehrere Stunden nicht erreichbar, was sich auf das Bestellwesen von Kunden und somit auf den Umsatz auswirkte. Der Angriff war zusätzlich mit einem anonymen Erpressungsschreiben untermauert, das die Unternehmen aufforderte, 25 Bitcoins zu überweisen, was 2016 einem Kurswert von ca. 10’000 Schweizer Franken entsprach. Um das Risiko von DDoS-Attacken innerhalb der Unternehmung zu verringern, existieren Überwachungsmassnahmen wie IDS (Intrusion-Detection-Systeme), die den Netzwerk-Traffic überprüfen und Anomalien (erhöhte Anzahl von Anfragen) vorzeitig bekanntgeben. So kann agiert werden, noch bevor Kunden etwas mitbekommen. Eine andere Massnahme ist das GeoIP Blocking. Dabei kann ein Profil vordefiniert werden, das inländische IP-Adressen bevorzugt und ausländische IP-Adressen blockiert. Im Angriffsfall kann dieses Profil aktiviert werden, um zusätzlichen Schutz zu bieten.

Spam
Die Spamattacke ist nach wie vor die weitverbreitetste Angriffsmethodik, wenn es um den E-Mail-Verkehr geht. In den meisten Fällen enthält eine Spam-Mail eine angehängte Datei oder einen weiterführenden Link. Dahinter verbirgt sich in der Regel eine infizierte Datei oder ein Link, um Schadsoftware herunterzuladen. Um sich gegen Spam zu schützen, ist bei den meisten Internet Provider oder Unternehmen ein Spamfilter standardmässig installiert. Zusätzlich besteht die Möglichkeit, Regeln innerhalb der Mailprogramme zu definieren, um eingehende E-Mails anhand von Schlagwörtern als Spam zu deklarieren und direkt in einen vordefinierten Spamordner abzulegen oder zu löschen. Erfolgreiche Spamangriffe ereigneten sich beispielsweise bei Personalabteilungen. Die Angreifenden haben gezielt E-Mails mit Bewerbungsanhängen oder ZIP-Dateien versendet, die sich nur schwer von „normalen“ Bewerbungs-E-Mails unterscheiden liessen. Beim Öffnen der infizierten Datei wurde bei den Angriffsopfern die Festplatten mittels Ransomware verschlüsselt. Für die Entschlüsselung der Festplatte wurde eine Lösegeldforderung in Form von Bitcoin-Beträgen gestellt.

Massnahmen, um sich dagegen zu schützen bestehen einerseits darin, den Virenschutz, die Firewall sowie das Betriebssystem und die Webbrowser-Versionen immer auf dem aktuellsten Stand zu halten. Andererseits sollten, wie schon bei der Phishing-Attacke beschrieben, die Benutzenden mittels Awareness-Kampagnen geschult und für dieses Thema sensibilisiert werden.


Blogpost wurde erstellt von Thomas Haas
im Rahmen vom CAS Information Security & Risk Management.

Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (Governance Concept GmbH),
Andreas Wisler (goSecurity GmbH)

Beim nächsten CAS live dabei sein?
Hier der Link zur Ausschreibung CAS Information Security & Risk Management
Der CAS findet in der Regel zweimal im Jahr statt. Starttermine: März & September

Persönliche Beratung für den Lehrgang gewünscht?
Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Captcha loading...