IT Security beginnt beim Mensch. Leider.

English Version: CLICK!

IT Security beginnt beim Mensch. Leider.

Einer der Funde der Untersuchung des SUNBURST Events deutet auf ein kompromittiertes Konto als eine mögliche Ursache für die Cyberoperation.

Als ich die Resultate gelesen habe, dachte ich mir “Das hätte ich sein können. Tatsächlich hätte es jeden Mitarbeiter treffen können,” und ich habe mich gefragt, was ich als Individuum für die Sicherheit meines Arbeitgebers tun kann.

Denn eins ist klar; die meisten Risiken einstehen durch uns Menschen und unser Verhalten.

Jeder der für eine Weile in der IT gearbeitet hat kennt die grundsätzlichen Regeln, um die Fallen im Internet zu umgehen, und wie man die Sicherheit und die Privatsphäre schützen kann.
Wir wissen das, aber leider wenden wir dieses Wissen nicht immer an, aus den verschiedensten Gründen.

Die Work-from-home Welt und die neuen Wege, wie wir auf Ressourcen zugreifen, vereinfachen die Angelegenheit nicht wirklich.

Wenn wir Glück haben, haben wir ein kleines Büro für uns selbst zu Hause, aber in vielen Fällen ist das nicht möglich, und wir arbeiten vom Küchentisch oder was auch immer gerade frei ist. Ist schon okay, da kann man auch den Job erledigen. Aber die so heimelige Atmosphäre lässt die Grenzen zwischen Arbeit und Privatleben noch weiter verwischen, und hier gibt es eine sehr wichtige Lektion zu lernen:

Unser Appetit auf Risiken ist wahrscheinlich deutlich höher als der unserer Arbeitgeber.

Auf meiner “Mission” habe ich mit den tiefhängenden Früchten angefangen, und eines davon sind Passwörter.

Ich nutze Passwort-Manager für mein privates Browsing seit Jahren, aber trotzdem waren meine Passwörter auf dem gleichen Schema aufgebaut mit nur wenigen Variationen.

Nun habe ich mir eine Woche Zeit genommen und mich sehr mit meinen Konten und Passwörtern beschäftigt. Mehr noch als hier damals.

Und tatsächlich habe ich eine Menge potenzielle Risiken, Schlangengruben, und Instanzen von absoluter Peinlichkeit entdeckt. Ich erspare euch die Details.
Während ich schon mal dabei war, habe ich meine Daten auf Identitätsdiebstahl überprüft.
Ich habe dazu SolarWinds Identity Monitor genutzt, aber wenn man darauf keinen Zugriff hat, tut es auch ein kostenloser Dienst wie z.B. dieser hier.

Mittlerweile nutze ich 100% einzigartige Passwörter überall und MFA für meine Emailkonten, den Passwort Manager, und jede Seite mit Zahlungsinformationen. Ich habe mir sogar verschiedene Email-Adressen unter meiner Domain für verschiedene Dienste angelegt.

Paranoid? Nee, nicht wirklich.

Ihr fragt euch jetzt sicher, wie diese Maßnahmen bitte die Sicherheit meines Arbeitgebers erhöhen sollen.
Das ist ganz einfach: Ich nutze viele, sehr viele Webservices.
Jeder einzelne davon könnte kompromittiert werden, wodurch Bösewichte an meine persönlichen Daten kommen können.

Ich bin jetzt kein Mitglied des Aufsichtsrates, aber es ist sehr einfach herauszufinden für wen ich arbeite und was genau meine Rolle ist, und das mach mich zu einem perfekten Ziel für spearhead-attacks.

Das bringt mich zu einer direkteren Gefahr.

Stellt euch das vor: Ein ehemaliger Kollege, vielleicht von einem Job vor Jahren, spricht euch auf sozialen Medien an.

Die Diskussion startet harmlos, aber plötzlich “Sag mal, ist X immer noch Kunde bei euch?”
Und diejenigen die reden vor dem Denken sagen vielleicht “Oh ja aber wir haben mich mehr viel Business mit denen”
Oha! Was hast du gerade gemacht?!

Ja ich weiß, das ist ein simplifiziertes Beispiel, aber ihr versteht, was ich meine.

Wo ist nun das Risiko?
Der ehemalige Kollege arbeitet vielleicht für einen Mitbewerber und wird nun mit Kunde X in Kontakt treten und, eventuell, ist er für euch als Kunde verloren.

Aber es geht noch anders. Kann man sicher sein, dass der ehemalige Kollege auch ist, wer er/sie vorgibt zu sein?
Vielleicht wurde das Konto bereits kompromittiert und jemand klappert alle “Freunde” ab, um zu schauen, wo man Informationen herbekommt.

Wenn ich mir LinkedIn anschaue, sehe ich, dass viele ehemalige Kollegen immer noch das Foto mit dem orangenen SolarWinds Hintergrund nutzen.
Ich weiß, es sieht toll aus, und es tut mir leid, wenn dein neuer Arbeitgeber Pink zur Corporate Identity nutzt, aber du gehörst nicht länger zu unserer Familie.

Tatsächlich ist es auch manchmal gar nicht so einfach festzustellen, ob jemand noch beim gleichen Arbeitgeber ist.
Nur selten wird jemand Verabschiedet (“Nach sieben Jahren sind wir Sascha endlich losgeworden”) und je größer das Unternehmen, desto mehr Bewegung ist unter den Mitarbeitern. Das kann schnell verwirrend werden.

Ich bin zu faul jedes Mal im AD zu überprüfen, ob die Person noch aktiv ist.
Ich rede einfach nicht mehr über geschäftliche Dinge auf sozialen Medien.
Ping mich auf Teams, dann haben wir eine Vertrauensstellung. 🙂

So viele Werkzeuge da draussen!

Ich lebe zwei sprachig.
Die Mehrzahl meiner Kollegen spricht nur English, ich kommuniziere mit meiner italienischen Partnerin auf English, und manchmal sogar mit meinem Kater.

Wenn ich einen Artikel wie diesen schreibe, geschieht das manchmal auf Deutsch, manchmal auf English, je nach Laune. Damit mehr Publikum erreicht wird, übersetze ich es dann später.

In der Vergangenheit war ich zu faul und habe einen. Webdienst für die erste Fassung genutzt und danach per Hand korrigiert bzw. optimiert.

Ich habe einige ausprobiert und einen gefunden, der wirklich gute Arbeit leistet und noch dazu kostenlos ist.
Nun frage ich mich, warum das eigentlich nichts kostet. Was passiert mit den Texten, mit denen ich den Dienst füttere?

Natürlich, da ist “nur” eine KI am Werk die versucht zu verstehen, was ich sage will und die ganze schwere Arbeit leistet. Und die KI würde mich doch sicher nicht ausspionieren, oder?

Mittlerweile bin ich da etwas vorsichtiger.

Sicherlich, für Texte wie diesen hier spielt es keine Rolle, aber es gibt andere Informationen, die ich nicht zu früh außerhalb des Unternehmens sehen möchte.

Das gleiche gilt für jegliche Form von kostenlosen Konversationen (PDF, Bilder etc.) auf irgendwelchen Webseiten, oder auch der Syntax Überprüfung von JSON und seinen Freunden.

Niemand weiß ob da nur ein simples und unschuldiges Skript am Werk ist, oder ob der komplette Inhalt samt IP-Adresse, Browser Fingerabdruck und anderen Metriken gespeichert wird, die dem Erkennen der Quelle dienen.

Jeder ist Teil des Security Teams.

Es gibt so viele andere Dinge die offensichtlich sind, aber aus reiner Bequemlichkeit biegen oder umgehen wir die Regeln und erhöhen damit das Risiko für uns selbst und unsere Arbeitgeber.

Nein, auch wenn du ein lokaler Admin bist, heißt es nicht, dass du dir das gleiche Zeugs wie zu Hause installierst.
Du arbeitest von zu Hause? Okay, aber es ist nicht deine Maschine.

Wir sind nicht bloß Mitarbeiter, jeder von uns ist auch im erweiterten Security Team.

Auch wenn der unsichtbare Aluhut zu kratzen beginnt, warte einfach eine Sekunde bevor du Aktionen startest.
Reflektiere dein Verhalten und mögliche Konsequenzen. Sei ein Pessimist! Die leben ohnehin länger.
Auch wenn es heißt, dass man nicht mehr auf diese süßen Katzenbilder klicken kann.

Obwohl, ich bin nicht überzeugt. Katzenbilder sind doch immer harmlos, oder nicht?
Zumindest veringern sie das Risiko eines Burnouts!