Jährlich veröffentlicht das BSI (Bundesamt für Sicherheit in der Informationstechnik) einen Bericht zur Lage der IT-Sicherheit in Deutschland.
Zwei der im Bericht für 2014 beschriebenen Sicherheitsvorfälle regen besonders zum Nachdenken an:
Angriff auf Stahlwerk – Hochofen überhitzt
Nachdem sich Cyberkriminelle Zugriff auf Bürorechner eines Stahlwerkes verschafft hatten, gelang es ihnen, bis in das Produktionsnetzwerk vorzudringen. Das Einfallstor bildeten Schadprogramme, die über einen an Mitarbeiter des Unternehmens versandten E-Mail-Link, auf den diese geklickt hatten, auf den Systemen des Unternehmens installiert worden waren. Die Schadprogramme bewirkten, dass die gesamte Anlage nicht mehr gesteuert werden konnte und ein Hochofen überhitzte. Die Folge waren massive finanzielle Schäden. Man mag sich nicht ausmalen, welche Folgen solch ein Angriff auf ein Kernkraftwerk hätte.
Social Engineering bei Führungskräften von Großkonzernen – Bankkonten aufgelöst
Im zweiten Fall versandten Hacker in perfektem Deutsch und Englisch formulierte E-Mails an hochrangige Führungskräfte von Großkonzernen, worin diese gebeten wurden, eine Kopie ihres Personalausweises und ihre Bankverbindung an die Personalabteilung zu senden, da im IT-System zur Personalverwaltung der Verdacht auf inkonsistente Datensätze bestehe. Die E-Mails waren offenbar von original E-Mail-Adressen des Unternehmens versandt worden. Ob hierfür die Mailboxen von Mitarbeitern geknackt oder die Header gefälscht worden waren, geht aus dem Bericht nicht hervor. Dieser zeigt indes auf, dass die E-Mails sogar eine vollständige E-Mail-Historie enthielten, die eine unternehmensinterne Kommunikation zur Sache suggerierte und damit die Glaubwürdigkeit der Nachricht steigerte. Einige Manager kamen der Bitte aus der E-Mail nach, woraufhin ihre Bankkonten postalisch mittels gefälschter Unterschriften aufgelöst oder neue EC-Karten inkl. PIN an eine chinesische Adresse bestellt wurden.
Der gesamte Bericht findet sich hier.
Einmal mehr waren die Schwachstellen menschlicher und nicht technischer Natur. Was tun Sie in Ihrem Unternehmen zur kontinuierlichen Sensibilisierung der Mitarbeiter für diese Problematik?