Security
Bild: CC0 - pexels.com
Wenn dem CEO ein Malheur passiert - sei es mit Marmelade oder eben im IT-Security-Kontext - lacht man besser nur innerlich.
Bild: CC0 - pexels.com

NTT Security ermittelt IT-Security-Risiko von Vorständen

Sicherheitsrisiko Führungskraft

NTT Security, das "Security Center of Excellence" der NTT Group, bietet neuerdings auch einen "Management Hack" an. Mit speziellen Social-Engineering-Techniken wird dabei überprüft, inwiefern Führungskräfte selbst ein Sicherheitsrisiko darstellen.

IT-Sicherheitssysteme sind immer nur so stark wie ihr schwächstes Glied – dabei geht es nicht nur um neue Technologien und Softwarelösungen, sondern nicht zuletzt auch um den "Risikofaktor Mensch". Die Minimierung dieser potenziellen Schwachstelle durch die Schulung der Security Awareness und Etablierung unterstützender technischer Lösungen muss daher immer ein wichtiger Baustein einer präventiven Sicherheitsstrategie sein. Dabei geht es nicht nur um die Mitarbeiter von der mittleren Management-Ebene abwärts. Gerade die Spitze eines Unternehmens, die "Denker und Lenker", sind ein lohnendes Ziel für Angriffe aller Art.

Wie es konkret um die "Schwachstelle Mensch" für die IT-Sicherheit eines Unternehmens bestellt ist, ermittelt NTT Security deswegen mit dem neuen "Management Hack". Im Fokus steht dabei ebendiese Führungsebene eines Unternehmens, das heißt der gesamte C-Level wie CEO, CFO oder CIO. Die Managementebene ist ein besonders attraktives Ziel für jeden Hacker, da dieser Personenkreis in der Regel uneingeschränkten Zugriff auf vertrauliche Unternehmensdaten genießt. Nicht selten profitieren Manager auch von besonderen Privilegien: So werden Sicherheits-Policies und -Standards ausgesetzt oder aufgelockert, um zum Beispiel das Login zu vereinfachen – mit fatalen Folgen.

Der Chef weiß nichts

Nach entsprechender Abstimmung mit dem Auftraggeber – in der Regel mit dem CISO oder dem Leiter des IT-Betriebs – werden simulierte, personalisierte Social-Engineering-Angriffe durchgeführt, von denen die im Fokus stehenden Personen im Idealfall nichts wissen. Dabei wird analysiert, wie verantwortungsbewusst die Managementebene in Sachen Security Awareness und IT-Sicherheit ist. Im Anschluss werden konkrete Schwachstellen aufgezeigt und Maßnahmen, wie zum Beispiel Security-Awareness-Schulungen, empfohlen.

Allgemein umfasst das Service-Angebot des "Management Hack" von NTT Security die Überprüfung der IT-Sicherheit, der physischen Sicherheit (Objektschutz) und die Analyse von menschlichem Fehlverhalten. Konkret nutzt der Sicherheitsspezialist hierzu unter anderem Social-Engineering-Techniken wie Phishing und das personalisierte Spear-Phishing in Kombination mit Malware- oder Brute-Force-Angriffen auf Passwörter.

Die Simulation eines Social-Engineering-Angriffs erfolgt beispielsweise in folgenden Schritten:

  • Aufbau einer Phishing-Webseite, die eine Kunden- oder eine dem Kunden bekannte Webseite simuliert
  • Gestaltung einer Phishing-Mail, die auf die Phishing-Webseite leitet
  • Versand der Phishing-Mails an das Management des Auftraggebers
  • Abfangen von Login-Informationen oder anderen vertraulichen Daten
  • Erstellung eines detaillierten Reports mit Statistiken zur aktuellen Sicherheitslage und Maßnahmenempfehlungen zur Verbesserung der Sicherheit

In 10 Minuten zum Business-Plan

Mehrere solcher "Management Hack"-Projekte hat NTT Security bereits in Skandinavien durchgeführt. "Die Ergebnisse haben selbst uns überrascht. So erhielten wir vielfach in nur zehn Minuten Zugriff auf unternehmenskritische Daten, etwa Business-Pläne, M&A-Planungen, Warenwirtschaftssysteme, Domain-Controller, User-Namen oder Passwörter. Auch administrative Zugangsdaten wurden oft gefunden", erklärt Kai Grunwitz, Senior Vice President EMEA bei NTT Security. "Die damit verbundenen Gefahren für ein Unternehmen liegen auf der Hand. So kann sich ein Angreifer mit Administratorrechten frei im Netzwerk bewegen und oft für lange Zeit unbemerkt auf kritische Informationen zugreifen."

Der neue Service von NTT Security zielt auf eine Erhöhung des Sicherheitsbewusstseins auf Vorstands- und Geschäftsleitungsebene ab – letzten Endes aber auch auf die Etablierung einer neuen Sicherheitsstrategie und -kultur im gesamten Unternehmen. "Unsere ersten Projekte haben gezeigt, dass auf Unternehmensseite durchaus Handlungsbedarf besteht", so Grunwitz. "Der Reifegrad in Bezug auf Cyber-Security ist auf Managementebene, vorsichtig ausgedrückt, noch eher gering ausgeprägt."

Im Anschluss an die Tests analysiert NTT Security in Workshops gemeinsam mit dem Kunden die Ergebnisse. Auf Wunsch unterstützt NTT Security dann das Unternehmen bei der Konzeption und Umsetzung einer umfassenden Sicherheitsstrategie, welche auch die Führungsebene einbezieht und zukünftig vor etwaigen Social-Engineering-Angriffen zuverlässig schützt.

Mehr Artikel zum Thema: Security

Was bedeutet KI für Cybersecurity?

Künstliche Intelligenz und Machine Learning liegen auch im...

Weiterlesen

Aus Security-Sicht ein Horror

Die Ergebnisse des jährlichen Breach Level Index von Gemalto...

Weiterlesen

ESET: Suhl neuer Country Manager DACH

Holger Suhl übernimmt ab sofort die Position des Country...

Weiterlesen

IT-Sicherheit: Resignation ist unangebracht

Je besser ein Hausbesitzer Fenster und Türen absichert,...

Weiterlesen

66 Prozent schützen Office-365-Umgebung nicht!

Barracuda hat kürzlich eine Umfrage unter seinen...

Weiterlesen

Bitcoin als geschäftliches Zahlungsmittel

Risikofaktor, lohnendes Investment und anerkannte Währung -...

Weiterlesen

Fachkräftemangel in Sachen Cybersicherheit – Fünf Ansätze

Gerade im Bereich Cybersicherheitsanalytik und -betrieb...

Weiterlesen

Privatsphäre beim Fernsehen schützen

Mit einer Security-Lösung für Smart TVs will ESET seine...

Weiterlesen

CYOSS übernimmt Mehrheit an RadarServices

Die österreichische RadarServices, führend in Europa bei...

Weiterlesen

KI als Security-Hilfsarbeiter

Vectra hat sich auf den Einsatz von künstlicher Intelligenz...

Weiterlesen

Doris Fiala wird Channel Managerin DACH

Doris Fiala ist neu an Bord bei LogPoint, einem Anbieter für...

Weiterlesen

Barmherzige Brüder auf neuestem Stand der Technik

In den Datacentern der Barmherzigen Brüder wurde eine neue...

Weiterlesen

NIS: Im Schatten der DSGVO

Auch wenn in der öffentlichen Wahrnehmung derzeit die...

Weiterlesen

NTT Security und ThreatQuotient kooperieren

NTT Security, das auf Cyber-Sicherheit spezialisierte...

Weiterlesen

Ischt des was g'hörigs?

Wieland Alge, General Manager EMEA von Barracuda Networks,...

Weiterlesen

Für einen "IoT-Security-Standard"

Für die IT war es ein Schock, als Ende 2016 massive Angriffe...

Weiterlesen

10 Sicherheitstipps für die Public Cloud

Palo Alto Networks hat zehn Sicherheitstipps...

Weiterlesen

Change Your Password Day

Am 1. Februar ist "Change Your Password Day": Ein guter...

Weiterlesen

it-sa 2018 mit neuen Partnern

2018 erweitern das Sicherheitsnetzwerk München und die...

Weiterlesen