Leider hat man aber den Eindruck, das viele Security Verantwortlichen das größere Bedrohungspotential bei den eigenen Angestellten sehen.
Das ist kein "Eindruck", das "ist" einfach so (die Praxis zeigt es immer wieder)...
Da werden dann den Mitarbeitern die Admin-Rechte genommen, USB Ports gesperrt, Webseiten gesperrt, so das an ein vernünftiges Arbeiten nicht mehr zu denken ist.
Ein Mitarbeiter braucht keine Admin-Rechte um vernünftig zu arbeiten, er soll Dinge "bedienen", nicht "administrieren". USB-Geräte haben mitunter auch nichts an den Endgeräten zu tun und div. Webseiten braucht es nicht zum arbeiten. Viele brauchen nichtmals "Internet" um zu arbeiten, da reichen auch einfach nur die Mails.
wenn aber der Support und die Service Mitarbeiter davon betroffen sind
Die brauchen tendentiell auch nur Zugriff auf a) das Remote-Support-Tool und b) das interne Ticketsystem, c) ggf. das interne Wiki (was auch immer).
Dort ging es über weitere Mailserver und Virenscanner, bis die Mail nach 1 bis 2 Stunden beim Empfänger landete! Geht es noch!???
->
Ich würde das "vermutlich" mal durch "sehr wahrscheinlich" ersetzen. Alternativ natürlich eine völlig verzockte Config, oder ein massives Mailaufkommen und irgendein Single-Core-Gateway mit 200Mhz und 16MB RAM
st wie mit Sommerreifen ins Skigebiet im Winter fahren. Soll es auch geben.
"Muss"! Oder meinste der "Spass" kommt erst mit den Ski? Das fängt schon weit vorher an, wenn man schon 100m vor der Kurve anfängt, das Lenkrad einzuschlagen
Er: "Auf der Strasse gefunden."
Genau für solche "Anwendungsfälle" gibt es auch präparierte Sticks zu kaufen... oder "spezielle"
Handy-Ladekabel und und und und und... Egal was man sich da so vorstellen kann, ich behaupte einfach mal: "Gibt es schon" (sicherlich nicht alles öffentlich zugänglich). Vieles ist auch schon recht günstig zu haben... also falls euch in den großen Buden mal auffällt, dass rund um das Gebäude
USB-Sticks mit Ente verteilt rumliegen -> sofort Schotten dicht machen
Da sich das ganze preislich auch massiv im Rahmen bewegt... ich mein, was zahlt man für die Daten die man "haben" will? Wenn jemand 100.000€ auf den Tisch legt, pfff... da holt man doch einfach mal 10 von den USB-Sticks, packt die den Leuten teils Zuhause in den privaten Briefkasten und wartet mal eine Woche und guckt wo die Dinger so landen. Alternativ - man kennt die Firma, ggf. die Partner/Distributoren, faked da einfach mal ein Schreiben und lässt es einfach als Werbegeschenk erscheinen (z.B. jetzt passend zu Weihnachten!
), vom Thema Social-Engineering mal ganz zu schweigen.....
Übrigens, da hat das BSI auch was schönes zu geschrieben ("
Social Engineering – der Mensch als Schwachstelle" (um nochmal das Ding von oben aufzugreifen
). Ist also nicht nur "einfach so" in den Raum gestellt, hat schon alles Hand und Fuss. Ich habe erst gestern nochmal einem Kunden erklärt, wie das alles zusammenhängt und was ein einziges komprimitiertes Mailkonto der Firma im schlimmsten Fall anrichten könnte (das ist dann wieder der Punkt mit der Vertrauensbasis... Wenn man vom Vorgesetzten eine Mail bekommt mit einer Handlungsanweisung auf einer Website (ggf. noch im eigenen CI-Design), werden die meisten Leute da blindlings die/ihre Daten eingeben. Wenn der Chef der Buchhaltung von einer Buchhaltungsmitarbeiterin eine Mail mit einem Dokument zur Prüfung bekommt (z.B. vorgegaukelte Unsicherheit bei einem fiktiven Szenario, wie "Sag mal, ist diese Rechnung von unserem Stammlieferant korrekt? Ich finde dazu keinen Wareneingang?") wird sicherlich auch der Chef bei der Mail von seiner jahrelangen Mitarbeiterin gedanklich NICHT bei dem Thema "IT-Sicherheit" sein... usw. usw. usw.
Bei den gesperrten Websites handelt es sich zu über 95% um private Nutzung. Gebräuchliche und sichere Sites kann man dann ja trotzdem freigeben.
Da könnte man sogar noch weiter gehen... Geil finde ich ja immer die, die dann in die IT-Abteilung gerannt kommen (und NICHT zur Social-Media-/Marketing-Abteilung gehören) und rumheulen, dass Facebook und Twitter nicht gehen.... Das ist wie wenn sich der Spähtrupp von Einbrechern bei Opfern beschwert, dass die Fenster abgeschlossen sind und man garnicht vernünftig in die Bude linsen kann, ob sich der Bruch auch wirklich lohnt...
Naja, so oder so... die Technik macht sicherlich nur einen Bruchteil aus (ist aber dabei auch nicht aussen vor zu lassen) und trotz Sensibilisierungen und sonstigen Maßnahmen... es hat schon seinen Grund, warum das Thema Social Engineering so erfolgreich ist. Alles eine Frage der Psychologie... Da muss nur was von der "richtigen" Person kommen und schon ist das Hirn einfach "aus" (was das Thema Sicherheit angeht). Kennt man auch aus anderen Bereichen (eigentlich jetzt ein sehr schönes Beispiel)... der "
Enkel-Trick". Würde das nicht vernünftig funktionieren, würde es auch niemand machen... Würden die Fake-Rechnungen nicht min. in 1/100 Fällen funktionieren, würde es vermutlich auch niemand machen, usw. Unterm Strich kann man halt sagen, dass der ganze Mist doch nur funktioniert, weil zuviele Leute a) nicht groß darüber nachdenken und Dinge in Frage stellen und/oder b) Angst vor Strafe haben und daher einfach lieber schnell mal 50-100€ irgendwohin überweisen, bevor sie es mit einem vermeintlichen Anwalt und angedrohten Gerichtskosten zu tun bekommen.
Jetzt steht man da als Admin und was sagt man da? Richtig.... "isso"... werden wir sicherlich auch nichts dran ändern, ausser wieder und wieder Security-Awareness-Schulungen zu geben, die Systeme zuzunageln (jaja, die armen User... kein Facebook... kein Twitter... blubb...) und auch da gibt es dann genau die gleiche Antwort: "isso", oder anders und ganz einfach formuliert (und das jetzt als Schlusswort)...:
Wärt ihr nicht so, wie ihr seid, müssten wir auch nicht so sein, wie wir sind...