Schlagwort: menschliches Verhalten

IT-Sicherheit 2017 – auch in diesem Jahr sind die digitalen Einfallstore einladend offen

11. März 2018 /

2017 stand im Zeichen des IT-Sicherheitsgesetztes, das sicherstellen soll, dass die primären Schutzziele der IT-Sicherheit (Verfügbarkeit, Integrität und Vertraulichkeit) der sogenannten kritischen Infrastrukturen (KRITIS) sichergestellt sind, und dies insbesondere vor dem Hintergrund zunehmender Häufigkeit von Cyberattacken verschiedenen Ursprungs.

Den hohen Handlungsbedarf illustrieren zahlreiche Sicherheitsvorfälle und erfolgreiche Attacken:

 

Manipulierbare Baustellenampeln & Wasserwerke*

Sachverhalt

Im August 2016 erhielt das BSI einen Hinweis auf den möglichen Missbrauch einer bekannten Schwachstelle in einer Software, die unter anderem in Baustellenampeln genutzt werden kann. Die betroffenen Ampeln sind direkt aus dem Internet erreichbar und damit potenziell manipulierbar. Außerdem wurde das BSI auf mehrere offene, aus dem Internet einsehbare Steuerungssysteme von Wasserwerken in Deutschland aufmerksam gemacht.

Ursache und Schadenswirkung

In den Ampeln wird eine veraltete Fernwartungssoftware (RealVNC) eingesetzt, die

Weiterlesen

Kein Mausklick schützt vor Malware nicht

20. Juni 2017 /

Den Mouseover-Effekt von Powerpoint nutzt der Trojaner-Downloader  TROJ_POWHOV.A, der aktiviert wird, sobald ein Benutzer mit der Maus über ein infiziertes Element (Text, Bild, …) fährt. Derart präparierte Powerpoint-Dateien im PPS- bzw. PPSX-Format werden derzeit per Mail versandt. Im Unterschied zu herkömmlichen PPT- oder PPTX-Dateien handelt es sich um nicht editierbare, fertige Präsentationen, die nur im Präsentationsmodus geöffnet werden können. Nach dem Öffnen der Datei genügt es, einmal die Maus über ein infiziertes Element zu bewegen, um die Installation des Trojaners im Hintergrund zu starten.

Wie können Sie sich und Ihre Mitarbeiter vor dieser Bedrohung schützen?

 

Erfolgsstory Erpressungstrojaner als Folge unzureichend geschulten Personals

4. Mai 2016 /

trojanErpressungstrojaner schreiben zurzeit eine beeindruckende Erfolgsstory.

Laut einer Pressemitteilung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) (https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2016/Ransomware_Umfrage_27042016.html?nn=6655768) werden immer mehr Unternehmen und Institutionen Opfer von Cyberattacken, bei denen Schadcode meist als E-Mail-Anhang verschickt wird. Dessen Ausführung bewirkt zum Beispiel eine Verschlüsselung der Inhalte des infizierten Gerätes, die vonseiten der Kriminellen nur gegen Zahlung eines Lösegeldes wieder rückgängig gemacht wird.

Prominentes Beispiel ist der Verfassungsschutz des Landes Sachsen-Anhalt, der im April 2016 Opfer eines Erpressungstrojaners wurde, der den Inhalt mehrerer Arbeitsplatz-PCs verschlüsselt hat.

Weiterlesen

Phishing-E-Mails immer raffinierter

29. April 2016 /

PhisingZwei Jahre nach dem Datenklau bei ebay, bei dem eine große Anzahl Benutzernamen inklusive der zugehörigen Adressdaten und Telefonnummern entwendet wurden, verschicken nun offenbar die derzeitigen Besitzer der geklauten Daten vermehrt Phishing-E-Mails, in denen die Empfänger aufgefordert werden, eine offene Rechnung zu bezahlen.

Weiterlesen

Sicherheitslücke durch Drang nach sozialer Bestätigung

17. Oktober 2015 /

Soziale_BestaetigungWird jemand um einen Gefallen gebeten mit dem Hinweis, dass andere Menschen bereits mitmachen, wirkt diese Information wie ein Katalysator für eine Zustimmung. Menschen orientieren sich stark an ihrem sozialen Umfeld und neigen oft zum Mitmachen allein aufgrund der Tatsache, dass andere schon beteiligt sind.

Mit dem Hinweis, dass bereits eine Anzahl von Kollegen beim Test einer neuen Software mitarbeitet, kann die Installation einer Schadsoftware gelingen, ohne dass der Angreifer selbst einen Tastendruck ausführen müsste.

Gefälligkeit aus Sympathie öffnet Cyberkriminellen Tür und Tor

14. August 2015 /

Wenn Menschen andere Menschen sympathisch finden, sind sie häufig bereit, auch einmal unbürokratisch zu helfen – selbst unter Umgehung eines etablierten Sicherheitsmechanismus.

So stellt  die Dame vom Empfang dem  ungewöhnlich freundlichen neuen Kollegen aus der Zweigniederlassung ganz unbürokratisch einen freien Besprechungsraum zur Verfügung, in dem er in Ruhe seine E-Mails checken kann. Der vermeintliche Kollege nutzt dann auch gleich die Möglichkeit, sich mit dem firmeninternen Netzwerk zu verbinden und sich darin ein wenig umzusehen.

Autoritätshörigkeit wird zum Sicherheitsrisiko

3. August 2015 /

Menschen neigen dazu, Anweisungen ohne Nachfrage zu befolgen oder Wünsche zu erfüllen, wenn diese direkt durch eine Autoritätsperson oder indirekt in deren Auftrag geäußert werden. Sie vermeiden es tendenziell, durch Nachfrage oder Diskussion die Autorität einer vorgesetzten Person in Frage zu stellen und sich damit den Ärger dieser Person zuzuziehen.

Vor diesem Hintergrund sendet ein Mitarbeiter auch an eine unbekannte E-Mail-Adresse vertrauliche Dokumente, um die ein Anrufer, der vorgeblich für den Geschäftsführer arbeitet, gebeten hat.