Kommentar: Emotet und die Lehren aus dem Dynamit-Phishing
Alle reden über kritische Infrastruktur, keiner über IT der Apotheke nebenan. Doch bei Trojanerwellen hilft nur Security in der Breite, findet Jürgen Schmidt.
(Bild: (CC BY-SA 3.0))
Wenn man zurückschaut, kann man durchaus bilanzieren: Wir haben bei der Sicherheit der IT tatsächlich Fortschritte gemacht. Doch die konzentrieren sich auf wenige Bereiche wie kritische Infrastruktur, Finanzdienstleister und Großkonzerne, die sich Sicherheit leisten können. Die Frage, die sich derzeit mit Macht in den Vordergrund drängt, lautet aber: "Wie bekommen wir die IT des Mietwagenverleihs, des Bäckers und Apothekers oder der Stadtverwaltung vernünftig sicher?"
Diese Auswahl ist kein Zufall. Sie beruht auf ganz konkreten Infektionen durch Emotet in den jüngsten Tagen. Auf dessen Einsatz von Hightech-Angriffs-Techniken ist deren IT schlicht nicht vorbereitet. In all diesen Bereichen berichten Praktiker, die einen Blick hinter die Kulissen werfen konnten, von wirklich grauslichen Zuständen: Komplette Festplatten für das ganze Netz exportiert. Alle arbeiten als Admin, die Passwörter liegen in einer Doc-Datei auf dem Desktop des Arbeitsplatzrechners. Security-Update-Warnungen sind abgeschaltet, weil sie nerven.
Vom Spear-Phishing zum Dynamit-Phishing
Was klingt wie ein absurdes Security-Horror-Kabinett, ist ganz konkreter Alltag in vielen Firmen, Vereinen und Institutionen, die damit bisher ganz gut über die Runden gekommen sind. Doch die Zeit ist vorbei.
Möchtegern-Experten mögen noch so verächtlich "Ist doch nur Phishing" schnauben. Wenn sie sich mal mit realen Sicherheitsvorfällen befassen würden, stellten sie schnell fest: Spear-Phishing ist eine der schärfsten Waffen der staatlich geförderten Elite-Hacker. Mit der durchdringen sie selbst die Sicherheitsvorkehrungen von Banken und Rüstungskonzernen. Und das Dynamit-Phishing von Emotet hat eine ähnliche Durchschlagskraft – geht dabei aber auch in die Breite. Es trifft nicht mehr nur das (hoffentlich) gut geschulte Personal wichtiger Regierungsorganisationen und Betreiber kritischer Infrastruktur, sondern den Bäcker, den Apotheker, den Mietwagenverleih und die Stadtverwaltung. Und da mangelt es ganz oft an elementaren Basics.
Schluss mit "Wir müssten mal..."
Die Frage ist also: Wie kommen wir da zu mehr Sicherheit? Mit einem vagen "Wir müssten mal ..." ist es nicht getan. Und die ITler dort als Idioten abzustempeln, geht völlig am Problem vorbei. Die könnten das besser, wenn man ihnen die Zeit, die Leute und das Budget gäbe. Ganz ehrlich? Ich habe da auch kein Patentrezept in der Schublade. Nur eine vage Idee kann ich anbieten: Man müsste es schaffen, dass Sicherheit nicht nur als Verursacher von Kosten und Unbequemlichkeit wahrgenommen wird, sondern als positiver Wert. Am besten als einer, der auf der richtigen Seite einer Buchhaltungsbilanz auftaucht. Der Rest passiert dann (fast) von allein.
Anmerkung: Kennen Sie auch Security-Beispiele aus dem Gruselkabinett? Dann schreiben Sie doch im Forum, was Sie erlebt haben.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(axk)
