Sponsored

Warum VAPs die wahren VIPs eines Unternehmens sind

  • channel
  • alltron
image

Immer mehr KMUs und Konzerne werden in der Schweiz Opfer von Hackern und Erpressern. Die grösste Schwachstelle: der Mensch. Nicht alle Mitarbeitenden sind dabei gleich gefährdet. Dieser Beitrag zeigt auf, wie man «Very Attackable Persons» (VAPs) erkennen und schützen kann.

Wie schütze ich mich und meine Kunden? Diese Frage stellen sich mehr und mehr Unternehmen. Lange Zeit lag die Antwort darauf vor allem in technischen Lösungen. Firewalls und Antivirus-Software, die immer ausgeklügelter wurde und jeden neuen Trojaner kennen musste, um Computer und Netzwerk sicherer zu machen. «Eine neue Masche muss her», dachten sich kriminelle Hacker.

90 Prozent aller Attacken beginnen mit einer E-Mail, sagen Fachleute

Immer mehr nutzen die «bösen Jungs» die Mitarbeitenden ihrer Opfer als ungewollte Komplizen, indem diese etwa auf einen ominösen Link klicken und damit einen verheerenden Trojaner unbewusst auf dem Firmennetzwerk installieren, der das ganze Netzwerk lahmlegen kann.

Diese Personen sind am meisten gefährdet

Bei der Auswahl ihrer Opfer gehen die meisten Hacker längst nicht mehr nach dem Zufallsprinzip vor. Welche Mitarbeitenden geraten besonders häufig ins Fadenkreuz der Cyberkriminellen? Es sind nicht die, die man als Erstes vermuten würde. Nicht der CEO, der CFO oder die Vorsitzende des Verwaltungsrats. Nicht die VIPs. Es ist die Assistentin des CEOs, die seine Geschäftsreisen bucht; der Sachbearbeiter in der Finanzabteilung, der Zahlungsfreigaben erteilt oder die Einkäuferin, die sich um die Warenbeschaffungen für den ganzen Konzern kümmert.
Diese besonders angreifbaren Personen («Very Attackable Persons») zeichnen sich durch ihre relativ hohen Befugnisse in ihrem Fachbereich und nicht durch ihre Rolle in der Unternehmenshierarchie aus. Ein falscher Klick oder ein unüberlegtes Öffnen einer Datei durch diese Mitarbeitenden sorgt für eine Mehrzahl der weltweit registrierten personalisierten Cyberattacken. Die Entwicklung hin zum hybriden Arbeiten hat diese akuten Gefahren nochmals verschärft. Wichtige Transaktionen, bei denen viel Geld fliesst, werden via ungesichertes Wi-Fi aus dem Lieblingscafé nebenan freigegeben. The new normal.

image

Wie schütze ich als Fachhändler meine Kunden?

Wer ein Unternehmen vor solchen Übergriffen schützen möchte, sollte bei der Security-Strategie menschliche Interaktionen in den Mittelpunkt stellen und nicht die technischen Geräte und Programme, die Mitarbeitende benutzen. Dies kann zum Beispiel regelmässige Schulungen mit hohem Praxisbezug beinhalten. Awareness Trainings, die simulieren, wie Ransomware-Attacken getarnt sind, tragen dazu bei, vorsichtiger zu sein, das eigene Verhalten zu hinterfragen und das Unternehmen sicherer zu machen.
Fachhändler, die verstehen, dass die «Very Attackable Persons» eines Unternehmens nicht die «Very Important Persons» sind, können ein besonderes Augenmerk auf diese VAPs legen und verhindern, dass die empfindlichsten Stellen Opfer von Hackerangriffen werden. In diesem Themenbereich bietet sich Ihnen die Chance, zum Vertrauenspartner zu werden und mit Ihren Kunden Lösungen zu erarbeiten, welche die Bereiche Technologie, Geschäftsprozesse und Menschen einschliessen.
Möchten Sie Ihre Kunden aktiv darin unterstützen, Ihr Unternehmen sicherer zu machen? Das IT-Security Team von Alltron zeigt Ihnen gerne auf, wie sie Ihren Kunden mit Security-Lösungen zuverlässigen Schutz anbieten können.
Kontaktieren Sie unser IT-Security-Team: Telefon: 062 544 84 16 E-Mail: [email protected]
Mehr zum Thema IT-Security bei Alltron

image
Robert Rolle, Leiter Competence Center & BDM, Alltron AG
«Ein Sicherheitskonzept ist veraltet, sobald das Dokument geschrieben ist»
Hacker suchen sich immer den einfachsten Weg, um in ein Unternehmensnetzwerk einzudringen: über Mitarbeitende. Manche von ihnen sind für Hacker besonders interessante Ziele. Was so eine «Very Attackable Person» auszeichnet und wie Unternehmen – technisch und organisatorisch – damit umgehen, erklärt Robert Rolle, Leiter Competence Center & BDM bei Alltron. Interview: Coen Kaat
Was zeichnet eine «Very Attackable Person» aus? Robert Rolle: Das Hauptmerkmal einer «Very Attackable Person» liegt darin, dass sie in ihrem Fachgebiet verhältnismässig viele Berechtigungen hat. Ihre Rolle in der Unternehmenshierarchie ist nicht zentral. Denken Sie zum Beispiel an einen Assistenten des Geschäftsführers, der auf Reisen ist, eine Finanzbeamtin die Zahlungen genehmigt, oder eine Einkäuferin, die für den Wareneinkauf der gesamten Gruppe verantwortlich ist.
Welches sind die grössten Risiken, die dadurch für Unternehmen entstehen?
Die grössten Risiken sind finanzielle Schäden, etwa durch Betrug, aber auch Reputationsverlust und die aus den Schadensfällen resultierenden Opportunitätskosten für nicht erfolgreich abgeschlossene Geschäfte.
Ist die «Schwachstelle Mensch» nicht eher auf ein ungenügendes Sicherheitskonzept im Unternehmen zurückzuführen?
Auch das grösste Sicherheitskonzept dieser Welt scheitert, wenn es den Faktor Mensch nicht einplant. Warum? Erstens: Das Konzept ist veraltet, sobald das Dokument geschrieben ist – jeden Tag entstehen tausende neue Malware-Variationen. Zweitens: Wer sich gegen «alles» schützen möchte, muss «alles» bezahlen, und das wird «unbezahlbar». Drittens: Das Leben verläuft nicht wie ein Flussdiagramm in einem Konzept. Es treten spontan ungeplante Situationen ein. Das ist menschlich und darauf können (nur) Menschen spontan reagieren.
Wo und wie setzt man diesbezüglich die Cyberabwehr an?
Die Krux ist, dass die Hacker nur einmal eine einzige Lücke in einem Unternehmen finden müssen, um an ihr Ziel zu kommen. Unternehmen müssen allerdings jeden Tag Hacker abwehren, an vielen Orten: an Servern, Clients, Webpages wie Onlineshops und an physikalischen Umgebungen sowie in menschlichen Interaktionen. Um Firmen und ihre «Very Attackable Persons» zu schützen, ist es daher besonders wichtig, die digitalen Identitäten der Mitarbeitenden mit Multi-Faktor-Authentifizierung zu schützen, die Echtheit von (unterschriebenen) Dokumenten mit Signaturen zu sichern und externe Dokumente ebenso zu verifizieren. Und dann ein Rechte- und Rollenkonzept zu erstellen und zu leben. Es gilt der Grundsatz: «So viel Rechte wie nötig, so wenig Rechte wie möglich.» Bei so einem Konzept darf auch an den Kontext gedacht werden. Als Beispiel denken wir hier wieder an die Einkäuferin, welche die Warenbeschaffung übernimmt. Wenn diese stets im Büro in Basel arbeitet, muss ein hervorragendes Rechtemanagement erkennen, woher ein Login-Versuch kommt und eine IP, die sich etwa aus Südamerika mit den Benutzerdaten eben dieser Einkäuferin einloggt, sperren oder zumindest eine geeignete weitere Authentifizierung aktivieren.
Gibt es ausser den technischen auch organisatorische Massnahmen, um die Sicherheit zu erhöhen?
Unbedingt! Wichtig sind typische Fehlerszenarien, wie etwa einen Social-Engineering-Angriff zu skizzieren und Gegenmassnahmen zu definieren, sowie diese Gegenmassnahmen dann zu üben. Der Köder bei so einem Social-Engineering-Angriff kann ein gefälschter lukrativer und kurzfristiger Auftrag eines noch unbekannten Kunden sein. So etwas geschieht etwa über eine Phishing-E-Mail oder einen Social-Engineering-Anruf, früher auch einfach als «Telefonbetrug» bekannt. Die wichtigste Massnahme ist und bleibt die regelmässige Sensibilisierung der Mitarbeitenden. Und das kann sogar Spass bringen! Mit den richtigen (Online-)Trainings geht dies leicht, effektiv und mit Freude.

Loading

Mehr zum Thema

image

Nächste Swisscom-Niederlage im Glasfaserstreit

Das Bundesgericht bestätigt das Urteil der Vorinstanz. Doch erstens steht das wesentlich wichtigere Urteil im Glasfaserstreit noch aus und zweitens tut Swisscom die Entschädigungszahlung nicht weh.

publiziert am 30.11.2022 4
image

AWS verspricht mehr Kontrolle über Cloud-Daten

An der Reinvent in Las Vegas hat AWS angekündigt, Souveränitäts-Kontrollen und -Funktionen in der Cloud bereitzustellen.

publiziert am 29.11.2022 1
image

Prime Computer kriegt ein neues Vertriebs­modell

Der neue Besitzer PCP.com will die Prime-Geräte künftig auch direkt und nicht mehr rein über den Channel vertreiben.

publiziert am 28.11.2022
image

Schweizer Unternehmen investieren immer mehr in IT

Laut einer ETH-Erhebung ist der Anteil von IT-Investitionen an den Gesamtinvestitionen der Unternehmen in den letzten Jahren kontinuierlich gestiegen.

publiziert am 28.11.2022