Steganographie

Hacker Testangriff: Über ein Drittel aller Mitarbeiter fällt auf Phishing herein

Der Entwickler GitLab Inc. testete kürzlich die Awareness seiner eigener Mitarbeiter. Bei einem Hacker Testangriff klickten erstaunlicherweise über ein Drittel aller Angestellten potenziell schädliche Links aus Phishing-Mails an. Wenn selbst Verantwortliche für die IT-Security scheinbar nicht sensibel genug reagieren, wie lässt sich die Sicherheit da überhaupt noch verbessern?

Hacker Testangriff

GitLab ist vielmehr als Software bekannt. Der Name steht für eine Webanwendung, die unter anderem Funktionen wie Fehlersuche, System-Integration, Scan und Nutzerverwaltung für Software-Projekte bietet. Hinter der erfolgreichen Software steckt der Entwickler GitLab Inc.

Ebendieser Entwickler wollte nun einmal testen, wie es in Sachen IT-Sicherheit bei seiner eigenen Belegschaft bestellt ist. Dafür wurde ein sogenannter Hacker Testangriff gestartet. Er erfolgte über die Verteilung von Phishing-Mails.

Wie sieht so ein  Hacker Testangriff aus?

Der Test zielt darauf ab, zu prüfen, wie Mitarbeiter mit ihren Zugangsdaten und weiteren sensiblen Informationen umgehen. Über ein ausgewähltes Medium – in diesem Fall per E-Mail – werden gefälschte Informationen gestreut. Oft ist auch der Absender verfälscht oder imitiert. Bei Kampagnen wie etwa dem Phishing, enthalten die Nachrichten Links.

Besagte Links führen zu einer eigens eingerichteten Website, auf der vertrauliche Informationen abgefragt werden. Das sind beispielsweise Personendaten, aber auch weit empfindlichere Angaben wie etwa Bankkonten oder Passwörter.

Gibt die Person diese Informationen preis, erhält der (bei Tests glücklicherweise „freundlich gesinnte“) Angreifer Zugang auf die Daten, in vielen Fällen sogar Zugriff auf alle systemtechnischen Funktionen. Kurz gesagt, er übernimmt die totale Kontrolle.

Erschreckende Ergebnisse

Der Hacker Testangriff machte deutlich, dass nicht einmal die „Profis“ allumfänglich geschützt sind. Insgesamt versandte der fingierte Hacker Mails an 50 Personen.

  • 1/3 aller Personen klickte den enthaltenen Link in der Mail an
  • 50 % dieser Personen gab Zugangsdaten ein, um sich auf der verlinkten Website einzuloggen
  • nur 6 Mitarbeiter erachteten die Mail als verdächtig und meldeten sie an ihren Support

Warum ist dieses Ergebnis so besorgniserregend? Traurig, aber wahr: Oft ist es bei Phishing allein mit dem Anklicken schon getan. Sorgen beispielsweise weitere ins System integrierte Sicherheitsfunktionen (Pop-Up Blocker und Co) nicht dafür, dass sich die schädliche Website gar nicht erst öffnet, könnten automatische Downloads die Folge sein.

Bewusstsein für IT-Sicherheit schaffen

Hacker Testangriffe sind nicht darauf ausgelegt, Mitarbeiter oder gar das getestete Unternehmen blosszustellen. Seriöse Anbieter für IT-Security tragen dafür Sorge, dass die ausgewerteten Ergebnisse anonymisiert sind. Es geht ausschliesslich um die Analyse potenzieller Schwachstellen – oft ist es leider eben das bekannte „menschliche Versagen„.

Neben Schulungen sind derlei vorab gegenüber der Belegschaft nicht kommunizierte Tests ein beliebtes Mittel. Aus den Erkenntnissen heraus kann die Geschäftsführung weitere gezielte Massnahmen entwickeln.

Hacker Testangriff: Über ein Drittel aller Mitarbeiter fällt auf Phishing herein
Haben Sie Fragen zu diesem Thema? Einfach melden.