Amateure hacken Systeme…Profis hacken Menschen!

Täuscht uns Twitter mit der Entschuldigung, Opfer eines Social Engineering Angriffs zu sein?

Der Twitter-Hack, bei dem unbekannte Hacker Zugang zu bemerkenswerten Twitter-Konten erhalten und Nachrichten von diesen Konten ausloten konnte, machte letzte Woche weltweite Schlagzeilen. Es war ein Angriff, der für die Welt sofort offensichtlich wurde und Twitter schien schnell und verantwortungsbewusst zu handeln.

Die Schadensbegrenzung war meiner Meinung nach sehr tief. Die Hacker hätten um einiges mehr Schaden anrichten können – Beispielsweise den Finanzmarkt manipulieren, wie es Elon Musk teilweise mit seinen Tweets macht – glücklicherweise kam es nicht so weit.

Twitter behauptete, sie hätten eine Social-Engineering-Attacke erlebt, und es scheint, als ob der Fehler bei den eigenen Mitarbeitern liegt. Dies soll der Gesellschaft das Gefühl geben, dass die IT-Sicherheit bei Twitter ansonsten stark ist, aber für diese „Benutzer“ genauso anfällig ist wie für ein anderes Unternehmen.

Ich denke, wir können nun davon ausgehen, dass IT-Unternehmen Ihre Kunden kontaktieren, um Sie vorzuwarnen, dass Sie allenfalls die nächsten Opfer sein könnten – um Sicherheitslösungen zu vertreiben – hinterfragen aber nicht deren IT-Prozesse.

Ich bin der Meinung, dass die Ursache dieser Twitter-Attacke nicht ein Fehler des menschlichen Bewusstseins war, sondern eher ein Versagen des gesamten IT-Sicherheitsprogramms..

Da Cyberkriminelle bereits Twitter-Konten für eine Vielzahl von Zwecken missbrauchen und Benutzer/Administratoren der primäre Angriffsvektor sind, sollte Twitter davon ausgehen, dass ihre Mitarbeiter gezielt angesprochen werden – oder bin ich der Einzige der es so sieht?

Security Awareness Training kann bis zu einem gewissen Punkt helfen, aber ein Sicherheitsprogramm muss davon ausgehen, dass ein Mensch irgendwann versagen wird. Vergessen wir auch nicht, dass privilegierte Benutzer möglicherweise gegen Richtlinien verstossen, was 2017 tatsächlich geschah, als ein Twitter-Mitarbeiter Donald Trumps Konto „aus versehen“ löschte.

Twitter sollte immer vom „zerotrust“ Prinzip ausgehen und damit rechnen, dass privilegierte Konten, unabhängig davon, ob es sich um den autorisierten Kontoinhaber handelt oder nicht, böswillig verwendet werden.

Dies führt zu zwei Bedenken, die wichtiger sind als das menschliche Bewusstsein:

• Verhinderung des Zugriffs externer Parteien auf Konten
• Einschränkung der Aktionen, die eine böswillige Partei mit dem Konto ausführen kann.

Es wird davon gesprochen, dass die Mitarbeiter allenfalls mit den Hacker kooperiert haben. Ich bin überzeugt, das Twitter über ein starkes Sicherheitsprogramm verfügt und möglicherweise die angemessensten Vorsichtsmassnahmen auch für solche Taten hat.

Unter dem Gesichtspunkt des Kontozugriffs sollte eine Multi-Faktor-Authentifizierung verwendet werden, und für privilegierte Konten sollte der Remotezugriff sehr eingeschränkt sein. Zugegeben, dies könnte während der COVID-19 Pandemie ein Problem sein, aber in diesem Fall sollte man über VPN-Software verfügen, die autorisierte Endpunkte authentifiziert. Es können auch verschiedene Überprüfungen zur Bestätigung durch den Benutzer vorhanden sein. Vielleicht war all dies vorhanden, und die Cyberkriminellen haben die Mitarbeiter dazu gebracht, Anmeldeinformationen, Einmal-kennwörter usw. Preiszugeben – wir wissen es nicht..

In jedem Fall sollten, Kontrollen vorhanden sein (Missbrauch privilegierter Konten sollte man immer in Betracht ziehen), die das Ändern von Benutzerkonten verhindern.

Möglicherweise sollte für den Zugriff auf solche Steuerelemente die Genehmigung mehrerer privilegierter Benutzer erforderlich sein. Jedes Mal, wenn jemand ein privilegiertes Konto zum Ändern eines Benutzerkontos verwendet, kann eine Warnung zusammen mit einem Genehmigungsprozess angezeigt werden. Klar würde man für diesen Prozess ein bisschen Ressourcen aufwenden, die Schadenbegrenzung wäre aber geringer, da man dies vielleicht so auch hätte verhindern können.

Damit eine Person Schaden anrichten kann, muss das gesamte System einem einzigen Benutzer die Möglichkeit bieten, Schaden zu verursachen oder die Realisierung des Schadens zu ermöglichen..

Deshalb bin ich überzeugt, was mit Twitter geschah, war ein Versagen des gesamten IT-Sicherheitsprogramms. Vielleicht haben einige Benutzer ihre Verantwortlichkeiten nicht erfüllt, aber das wäre nur ein Fehler unter vielen gewesen..

Auf jeden Fall bietet Practicys nicht nur Security Awareness Schulungen an, sondern identifiziert genau solche Sicherheitslücken in Ihrem Unternehmen. Schauen Sie sich unser ISMS-Startprogramm an oder kontaktieren Sie uns um Ihr ISMS zu überprüfen.

Vertrauen Sie Practicys und seien Sie Cyberkriminellen einen Schritt voraus zu sein!