Gastbeitrag 16.11.2018, 08:45 Uhr

Sicher dank Audit

Attacken auf Websites, Verlust von Kundendaten – für jede Firma bedrohliche Szenarios. Besonders ärgerlich, wenn Updates zum Einfallstor von Cyberkriminellen werden. Mit vorgängigen Penetrationstests können Unternehmen vorbeugen.
Der Autor: Mario Bischof ist Senior IT Security Consultant bei terreActive. www.terreactive.ch
Unternehmen investieren regelmässig in die Verbesserung der Nutzererfahrung ihrer Online-Angebote. Gerade im umkämpften Bankenumfeld ist ein hochwertiges Kundenerlebnis geradezu Pflicht. Damit bei einem Update des Online-Angebots nur die Kunden und nicht nebenbei auch noch Cyberkriminelle profitieren, gilt es, im Vorfeld das neue Angebot auf Herz und Nieren im Rahmen eines ausführlichen Audits zu prüfen. Hierbei wird nicht nur die Technik auf Schwachstellen untersucht. Genauso wichtig ist das Training der Mitarbeiter. Ein IT-Security-Audit bietet daher gleich mehrere Vorteile:
  • Die Infrastruktur wird von unabhängiger Stelle überprüft.
  • Schwachstellen werden aufgezeigt und beseitigt.
  • Ein Massnahmenplan unterstützt die Umsetzung.
  • Die Webpräsenz wird abgesichert.
  • Die Awareness steigt durch geschultes Personal.
  • Sensible Daten werden besser geschützt.

Ein Szenario

Wie ein Audit in der Praxis ablaufen kann, soll folgendes Szenario verdeutlichen. Einer Regionalbank stehen zwei wichtige Meilensteine bevor: Eine optimierte Website wird zusammen mit einem neuen Partner lanciert. Gleichzeitig wird eine neue Online-Applikation für die Verwaltung von Kundenanlässen eingeführt. Zwei Änderungen, die akute Gefahren für Cyberattacken bergen.
Doch das Finanzinstitut setzt auf Prävention statt Reaktion und holt sich Unterstützung von einem IT-Security-Spezialisten, der neben Audit-Kenntnissen auch noch Erfahrung im Bankenumfeld mitbringt. Die Bank und ihr Sicherheitsanbieter definieren zwei Hauptziele: Schwachstellen in der IT-Infrastruktur sollen gefunden werden, mit Fokus auf die Website und die Online-Applikationen. Zusätzlich sollen die Mitarbeitenden hinsichtlich Cyberbedrohungen sensibilisiert werden, mit Schwerpunkt auf Datendiebstahl durch Phishingmails.

Ziele des Audits definieren

Zu Beginn des Audits wird festgelegt, welcher Bereich in welchem Umfang wie untersucht werden soll. Soll nur die Technik geprüft werden oder auch die Organisation? White-Box- oder Black-Box-Methode? Bezüglich der Untersuchungsbreite muss entschieden werden, ob die ganze IT-Infrastruktur oder nur einzelne Applikationen geprüft werden. Und bei der Untersuchungstiefe besteht die Wahl zwischen automatisierten Scans und manuellen Untersuchungen.

Mehrstufiges Vorgehen

Zunächst werden in einem Audit die Website und die neuen Online-Applikationen geprüft. Hierzu wird nach dem Prüfstandard «OWASP 10» ein manueller Penetrationstest durchgeführt. Durch die gezielte Attacke auf die Webapplikation zeigen sich Schwachstellen frühzeitig und es können entsprechende Gegenmassnahmen umgesetzt werden, bevor die Lücke von Hackern ausgenutzt wird.

Mitarbeiter gegen Angriffe trainieren

Neben der Technik, gilt es auch, die Mitarbeitenden gegen Angriffe, wie etwa Phishing, fit zu machen. Die Mitarbeitenden der Bank sind schon grundsätzlich sehr gut im Umgang mit sensiblen Kundendaten geschult. Allerdings machen die immer raffinierteren Methoden der Hacker regelmässige Überprüfungen zur Pflicht.
Auch in Bezug auf organisatorische Aspekte wie Abläufe und Schnittstellen im Unternehmen lohnt sich eine periodisch durchgeführte kritische Betrachtung und Tests mit fiktiven Phishing-Angriffen. Phishing ist eine Form von Social Engineering, bei dem versucht wird, durch gefälschte E-Mails an vertrauliche Daten zu gelangen. Ergänzend zu den manuellen Kontrollen wird bei einem Audit oft auch eine professionelle Phishing-Anwendung eingesetzt, die durch Simulation realistischer Angriffe die IT-Sicherheit auf den Prüfstand stellt. Die Software erledigt sowohl die Erstellung als auch den Versand der E-Mails. Ausserdem stellt die Applikation Landingpages und Trainingswebsites zur Verfügung sowie das Berichtswesen.

Schwachstellen thematisieren

Der Phishing-Angriff in unserem Szenario erfolgt auf besonders gefährdete E-Mail-Empfängergruppen wie dem Umfeld der Geschäftsleitung. Eine darauffolgende Infizierung mit Malware wäre ein weiteres Szenario. Die Mitarbeitenden erleben so unmittelbar, mit welchen Methoden Angreifer an Informationen gelangen. Eine Awareness-Schulung für Mitarbeitende im Anschluss an das Projekt thematisiert die identifizierten Schwachstellen und Stolperfallen.

Fazit

Wer das Kundenerlebnis unter anderem durch Online-Applikationen verbessern will, sollte dabei auch an die Sicherheit denken. Ein frühzeitig durchgeführtes Sicherheits-Audit hilft, die Nutzererfahrung zu steigern und Cyberkriminelle aussen vor zu lassen.

Das könnte Sie auch interessieren