«Die geringe Büropräsenz hilft uns sehr»
Skeptisch, aber höflich
CW: Sie plädieren also für eine gesunde Skepsis. Sollen wir schlussendlich – etwas provozierend gefragt – alle unhöflich werden, wenn beispielsweise jemand hinter uns durch die Türe möchte?
Somaini: [Lacht] Das ist eine berechtigte Frage. Viele befürchten tatsächlich, dass man unhöflich und asozial werden könnte. Dem versuche ich entgegenzuhalten, dass man einerseits, wenn etwas nicht stimmt, durchaus seinem Bauchgefühl folgen und Skepsis an den Tag legen darf. Andererseits gibt es ja immer auch einen höflichen Weg, um auf solche Situationen zu reagieren. So könnte man einen Fremden durchaus anständig ansprechen, beispielsweise so: «Ich kenne Sie nicht. Sind Sie neu hier? Bei uns sollte man einen Badge haben. Wenn Sie wollen, kann ich Sie zur Rezeption begleiten, damit Ihnen einer ausgestellt wird.»
CW: Was geschieht eigentlich nach einem Einbruch?
Somaini: Das hängt ganz vom Auftraggeber ab. Wir schreiben jeweils einen Bericht, in dem wir unsere Schritte dokumentieren. In der Regel können wir unsere Ergebnisse auch in Form von Vorträgen präsentieren. Dabei ist es meist von Vorteil, dass wir als Externe auf Missstände aufmerksam machen, besonders wenn es um die Verbesserung der IT-Sicherheit geht. Denn oftmals sind Mitarbeitende offener gegenüber Verbesserungsvorschlägen, wenn diese von aussen, und nicht von der eigenen IT-Abteilung kommen. Häufig werden wir von Firmen gebeten, ein Awareness-Training zu organisieren, besonders dann, wenn beispielsweise ein Phishing-Versuch unsererseits besonders erfolgreich war.
CW: Gibt es Rezepte für mehr oder weniger erfolgreiche Awareness-Kampagnen?
Somaini: Meiner Erfahrung nach ist es am erfolgreichsten, wenn ein Thema ins private Umfeld getragen wird. Wenn wir den Beteiligten aufzeigen können, wie sie sich zu Hause richtig verhalten, um etwa den Online-Banking-Zugang oder die privaten Familienfotos besser zu schützen, übertragen viele dieses Verhalten auch auf den Umgang mit Firmenressourcen. Wenn man dagegen rein geschäftlich argumentiert, ist dies weniger erfolgreich. Denn schliesslich geht es dort nicht um das eigene Geld oder die eigenen Informationen. Wenn ich hingegen die Gefahren in Bezug auf das Private aufzeigen kann, ist das Interesse grösser und die Awareness steigt auch bezüglich der Firma.
CW: Wie viele Firmen setzen unterdessen auf Awareness-Kampagnen?
Somaini: In Bezug auf mittlere und grosse Unternehmen sind es wohl inzwischen alle, die in irgendeiner Form Awareness-Kampagnen fahren, und sei es mittels automatisierter Tools, die zum Einsatz kommen. Vor zehn Jahren, als ich mit diesen Angeboten anfing, waren es noch sehr wenige Firmen. Unterdessen stelle ich fest, dass auch immer mehr KMU Awareness-Kampagnen durchführen.
Das hängt natürlich auch mit dem breiteren Angebot zusammen. Zum Beispiel bietet Microsoft heute im Rahmen von Office 365 eine Phishing-Simulation als Dienstleistung an. Für Unternehmen, die sowieso schon auf Office 365 setzen, ist es somit sehr einfach, regelmässig Phishing-Tests durchzuführen, die das Budget nicht allzusehr belasten.
Zur Person und Firma
Ivano Somaini hat an der ETH Zürich Informatik mit Schwerpunkt Informationssicherheit studiert. Im Studium vertiefte er Themen wie kryptographische Protokolle, Network Security und E-Privacy. Für seine Masterarbeit befasste er sich mit dem theoretischen Aspekt der Sicherheit. Er modellierte und verifizierte das kryptographische Protokoll Kerberos. Seit März 2011 ist Somaini bei Compass Security als Security Analyst tätig. 2013 gründete er deren Berner Filiale, welche er bis September 2017 leitete. Heute führt er die neue Filiale in Zürich. 2015 hat sich Somaini bei Christopher Hadnagy als Advanced Social Engineer weitergebildet. Ein Jahr später folgte die Weiterbildung im Bereich Open Source Intelligence bei Mike Bazell, dem ehemaligen FBI-Undercover-Agent und Osint-Experten.
Compass Security wurde 1999 durch Walter Sprenger und Ivan Bütler gegründet. Das Schweizer IT-Security-Unternehmen ist mit über 65 Mitarbeitenden an Standorten in der Schweiz, in Deutschland und in Kanada präsent. Zu den Dienstleistungen der Firma gehören unter anderem Penetration Tests, Red Teaming, Security Reviews sowie Digital Forensics und Incident Response. compass-security.com