Die Arbeitskleidung mal f\u00fcr einen Tag gewechselt bzw. der Angreifer sucht sich immer das schw\u00e4chste Glied der Kette.<\/p>\n\n\n\n
Warum gibt sich ein Penetrationstester als Telekom-Techniker aus? \u201eDer Mensch als Schwachstelle in der Cyber-Security\u201c, \u201eDie gr\u00f6\u00dfte Schwachstelle ist der Mensch\u201c oder \u201eLayer 8 Problem\u201c, es gibt viele Fachartikel und Abhandlungen \u00fcber das Thema. Letzten Monat war es wieder mal so weit. Im Rahmen eines Penetrationstests sollte auch dieser m\u00f6gliche Angriffsvektor getestet werden.<\/p>\n\n\n\n
\u201eZieh dir einen Anzug an und Du bekommst \u00fcberall die T\u00fcr aufgehalten.\u201c oder \u201eDa kannst du technisch machen, was du willst, ein Dummer findet sich immer und gibt Dir sein Passwort.\u201c Dies waren nur einige der \u201eHinweise\u201c im Vorfeld.<\/p>\n\n\n\n
Und, was ist am Ende rausgekommen? Das Unternehmen ist vom Stand der (Sicherheits-) Technik super aufgestellt. Allerdings war der \u201ephysische Penetrationstest\u201c ein kleines Desaster.<\/p>\n\n\n\n
Woran liegt das? Gern wird mit dem erhobenen Zeigefinger sofort auf die Mitarbeiter gezeigt, welche das Thema (IT-) Sicherheit nicht richtig ernst nehmen. Ich denke, dies ist allerdings meist zu kurz gedacht. Oft ist das Thema doch nicht ganz so einfach.<\/p>\n\n\n\n
Auf folgende Beispiele treffe ich immer wieder in Audits oder Penetrationstest.<\/p>\n\n\n\n
1. Da ist der Mitarbeiter am Empfang, welcher mich durchwinkt und sagt: \u201eWas die sich wieder da oben ausgedacht haben. Uns sagt ja niemand Bescheid.\u201c<\/p>\n\n\n\n
2. Aber da ist auch der IT-Leiter, welcher einsam auf weiter Flur versucht, Feuerwehr zu spielen und zwischen den dringendsten Problemen und Incidents hin und her springt. Auf die Nachfrage nach weiterem Personal (wenn es \u00fcberhaupt welches am Markt gibt) bekommt er die Antwort: \u201eEs ist ja noch nie was passiert\u201c.<\/p>\n\n\n\n
3. Oder der Produktionsleiter im Gespr\u00e4ch:
\u201eIm Notfall? Rufen meine Leute mich an! Die wissen, wie sie mich erreichen.\u201c
\u201eWas ist, wenn Sie nicht erreichbar sind?\u201c
\u201e\u2026\u201c<\/p>\n\n\n\n
Und die Liste k\u00f6nnte ich (ihr sicher auch (gern in den Kommentaren)) beliebig verl\u00e4ngern. Sehr oft kommt am Ende des Tests das Thema Security Awareness und als Ma\u00dfnahme Trainings auf. Aus meiner Sicht, muss Security Awareness Teil der
Unternehmenskultur sein und diese wird dann von allen gelebt – mit den jeweiligen M\u00f6glichkeiten und Verantwortlichkeiten. Dazu reicht es nicht, mit einzelnen Trainings Mitarbeiter zu sensibilisieren, sondern es geh\u00f6rt eine ganzheitliche Betrachtung her. Anderenfalls findet der Angreifer eben Ihr Thema, das Sie vergessen oder dem Sie zu wenig Aufmerksamkeit geschenkt haben.<\/p>\n","protected":false},"excerpt":{"rendered":"
Die Arbeitskleidung mal f\u00fcr einen Tag gewechselt bzw. der Angreifer sucht sich immer das schw\u00e4chste Glied der Kette. Warum gibt sich ein Penetrationstester als Telekom-Techniker aus? \u201eDer Mensch als Schwachstelle…<\/p>\n","protected":false},"author":1,"featured_media":719,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[22],"tags":[],"class_list":["post-718","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-arbeitsalltag"],"_links":{"self":[{"href":"https:\/\/schutzschild.org\/index.php?rest_route=\/wp\/v2\/posts\/718","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/schutzschild.org\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/schutzschild.org\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/schutzschild.org\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/schutzschild.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=718"}],"version-history":[{"count":1,"href":"https:\/\/schutzschild.org\/index.php?rest_route=\/wp\/v2\/posts\/718\/revisions"}],"predecessor-version":[{"id":720,"href":"https:\/\/schutzschild.org\/index.php?rest_route=\/wp\/v2\/posts\/718\/revisions\/720"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/schutzschild.org\/index.php?rest_route=\/wp\/v2\/media\/719"}],"wp:attachment":[{"href":"https:\/\/schutzschild.org\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=718"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/schutzschild.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=718"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/schutzschild.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=718"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}