Security-Startups im Blickpunkt: IT-SEAL

Intensivtraining gegen Phishing-Angriffe

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

IT-SEAL ist ein Security-Startup, das durch die realistische Nachbildung eines Cyber-Angriffs auf Phishing-Basis Unternehmen dabei hilft zu erkennen, wo Verbesserungsbedarf besteht.
IT-SEAL ist ein Security-Startup, das durch die realistische Nachbildung eines Cyber-Angriffs auf Phishing-Basis Unternehmen dabei hilft zu erkennen, wo Verbesserungsbedarf besteht. (© schinsilord - Fotolia)

Security-Tools die heute noch den Angriffen von Cyberkriminellen erfolgreich Paroli bieten können, sind morgen vielleicht schon nutzlos gegen neue Angriffsformen. Startup- Unternehmen, neugegründet, mit Begeisterung, innovativen Ideen und kreativen Konzepten nehmen den Kampf auf und helfen den IT- und Security-Verantwortlichen, den neuen und modifizierten Bedrohungen von Morgen zu begegnen.

Wer an Startups denkt, denkt meist erst einmal an hippe US-amerikanische Unternehmen mit bunten Büros. Aber weit gefehlt, auch im deutschsprachigen Raum gibt es mutige und innovative Jungunternehmerinnen und -unternehmer, die den Status Quo aufrütteln wollen.

Security-Insider präsentiert in den nächsten Monaten innovative, junge Startups, aus Deutschland, Österreich und der Schweiz, die es sich zur Aufgabe gemacht haben, die IT-Sicherheit mit einfallsreichen, neuen Ansätzen und einem kreativen Blick auf die Security-Landschaft zu verbessern. So auch IT-SEAL, ein Startup gegründet von drei Absolventen der TU Darmstadt, die mit einem cleveren Ansatz das schwächste Glied in der Verteidigungslinie besser ins Bild setzen wollen – den Anwender.

Anwender sind das Lieblingsziel von Cyberkriminellen

Grundannahme bei IT-SEAL ist dabei, dass Cyberkriminelle immer mehr zu personalisierten Angriffen übergehen werden, um Fehlverhalten zu provozieren und aus diesem ihren Nutzen zu ziehen. Die bekannteste Variante des Phishing ist hier vor allem der sogenannte CEO-Fraud. Dabei wird per E-Mail vom Vorgesetzten (Management), beispielsweise noch dringend die Bezahlung einer Rechnung verlangt. Die Krux dabei, es ist, dass die E-Mail nicht vom Chef stammt, sondern von einem Cyberkriminellen.

Es muss aber nicht immer eine Überweisung sein, auch Daten über aktuelle Forschungsergebnisse, anstehende Ausschreibungen und Angebote oder Daten zum nächsten Geschäftsbericht, alles was sich monetär umsetzen lässt ist willkommen. Auch der Administrator, der Zugriffsrechte verwaltete, Kennungen einrichtet oder Firewall-Adressen freischaltet kann hier das Opfer sein. Interessante Ansatzpunkte für eine Datenspionage lassen sich immer finden. Denn Cyberkriminelle, so IT-SEAL, greifen auf ein breites Spektrum an Social Engineering Methoden zurück, wobei sie soziale Normen und Gepflogenheiten, aber auch die Schwächen der menschlichen Natur rücksichtslos ausnutzen.

IT-SEAL hat zwei Produkte im Einsatz, die Mitarbeiter durch „Learning by Doing“ befähigen, derartige Angriffe zu erkennen. Die „Phishing Akademie“ basiert auf klassischen Lernmethoden, die zusammen mit Schulungsmaßnahmen die Mitarbeiter an die Thematik heranführt und nachhaltig informiert (kombinierbar mit Pishing Audit).

Im Rahmen des zweiten Produktes, dem „Phishing Audit“ führt IT-SEAL einen mehrstufigen Aktionsplan durch, der zu Beginn die Ist-Situation aufnimmt und das Angriffspotential analysiert. Danach werden die Mitarbeiter per Spear-Phishing mit E-Mails angegriffen und das Ergebnis ausgewertet. Im letzten Schritt werden die Erkenntnisse über die Security-Kultur des Unternehmens in einem Bericht dargestellt und präsentiert. IT-SEAL gibt dabei auch konkrete Handlungsempfehlungen für das Unternehmen, um sich gegen derartige Angriffe zukünftig besser zur Wehr setzen zu können. Einen komprimierten Überblick gibt IT-SEAL in einer informativen 120-Sekunden-Videopräsentation.

Training nahe an der Realität

IT-SEAL agiert nahe an der Cybercrime-Realität.Angreifer haben oft nur minimale Daten über Ihr potentielles Opfer. Der Familienname, der Arbeitgeber, die Tätigkeit sind die Basis. Unter Umständen gibt es auch noch Daten über den Familienstand und das Alter – mehr nicht. Daten die sich zum Beispiel während eines Konferenz-Besuches oder eine Fachmesse problemlos durch Beauftragte der Cyberkriminellen sammeln lasen. IT-SEAL erhält vom Auftraggeber auch nur minimale Daten, wie zum Beispiel der Familienname, die E-Mai-Adresse und die Position innerhalb der Firma.

Basierend auf diesen Ausgangswerten startet IT-SEAL die Datenrecherche und sammelt weitere Daten, die sich im Rahmen einer Spear-Attacke zielorientiert verwenden lassen. Diese Aktivität gleicht der einer Internet-Personensuchmaschine, geht aber bei IT-SEAL tiefer als auch breiter und mündet in einer umfassende Social Engineering Analyse – die auch Jobbewertungsportale und Webseiten, sofern nützlich, näher betrachtet.

Der Vorteil für den Auftraggeber, es sind keine arbeitsintensiven Aktivitäten für die Datenbereitstellung erforderlich. Standarddaten, die meistens schnell verfügbar sind, genügen um die Angriffssimulation vorzubereiten. Ein vollständiger Audit, mit allen Einzelaktivitäten, dauert für ein Unternehmen etwa 3 Monate, wobei die Mitarbeiter im Zeitraum von 6-8 Wochen jeweils zwischen 6 und 10 Phishing E-Mails mit unterschiedlichen Schwierigkeitsgrad erhalten. Der Zeitraum für die Phishing-E-Mails diktiert dabei auch das zeitliche Rahmenwerk. Denn diese E-Mails sollten nicht zu häufig an die Opfer gesendet werden, sondern über einen längeren Zeitraum hinweg, da dies der Realität am Nächsten kommt. Über ein Dashboard lässt sich das Ergebnis der Attacken darstellen und analysieren.

Variable Herausforderung beim Test

IT-SEAL fährt im Rahmen einer Angriffssimulation unterschiedlich schwere Geschütze auf. Dabei wird die Qualität der Attacken immer weiter gesteigert und so die Herausforderung für den Unternehmens-Mitarbeiter kontinuierlich erhöht.

Einfache Attacken, wie ein Vorschussbetrug (Nigeria-Connection bzw. „419 Scam“ ) werden in der Regel immer erkannt, aber bei komplexen Angriffen, die Daten aus dem privaten oder beruflichen Umfeld einbeziehen, ist es schon deutlich herausfordernder. Denn die E-Mail von einem Arbeitskollegen oder Partner mit einem Dokument für ein aktuelles Projekt wird bei ausspionierten Absenderangaben schwer zu erkennen sein. Wenn das beigefügte Dokument noch interessant klingt, ist ein Öffnen beinahe schon sichergestellt. Dass dieses Dokument dann unter Umständen Schadsoftware eingeschleust oder einen erfolgreicheren Datenklau initiiert ist dann keine große Sache mehr. Folgen des erfolgreichen Eindringens dieser Phishing-E-Mail können durchaus Unternehmenskritisch sein. Einen relevanten Überblick, zu der aktuellen Situation bei einer Kampagne gibt dabei das Kampagnen-Dashboard wieder.

Neben der Absenderadresse kommt es vor allem auf den E-Mail-Betreff an, denn dieser muss das Interesse des Empfängers wecken und diesen zu einer Aktion verführen (Je nach Kunde werden die Phishing-Mails in deutscher und/oder englischer Sprache verbreitet). Die kleinste auswertbare „Gruppe“ umfasst immer 15 Mitarbeiter – eine Auswertung ist niemals individuell (Es wird zu keinem Zeitpunkt personenbezogenes Verhalten berichtet)!

Diese realistische Simulation kommt bei den „potentiellen Opfern“ gut an, denn 95 Prozent der bisher getesteten Mitarbeiter sagten das IT-SEAL Phishing Audit war sinnvoll. Der positive Effekt dabei, wenn man falsch reagiert, entsteht für niemanden ein Schaden und man kann aus dem Fehler lernen und ihn im Ernstfall (hoffentlich) vermeiden. Wobei die Nutzung von Social-Media-Daten durch IT-SEAL aufzeigt, wie leicht man an verwertbare Daten kommen kann, die dann für Angriffe genutzt werden. Aber in Zeiten von Daten-Sharing und Cloud-Hype muss man wieder lernen, dass Datenvermeidung und Datenreduzierung durchaus seine positiven Seiten haben kann.

Ergänzendes zum Thema
 
Security-Startups gesucht!

Zusammenfassung

Durch die realistische Nachbildung eines Cyber-Angriffs auf Phishing-Basis kann ein Unternehmen erkennen, wo Verbesserungsbedarf besteht. Davon betroffen können Mitarbeiter aber auch die eingesetzte Security-Produkte sein. Denn Tools, die zwar bei englischsprachiger Phishing-E-Mails 100% Erfolgsquote liefern aber bei anderen Sprachen eklatante Schwächen haben nützen dem Unternehmen wenig.

Technik wird immer nützlich sein, aber der entscheidende Faktor ist oft der Mitarbeiter. Doch nur Mitarbeiter, die entsprechend geschult und trainiert sind, können „Pro Company“ agieren. Oder um es mit den Worten von IT-SEAL zu sagen: „Ihr Unternehmen ist eine digitale Festung! Doch was passiert, wenn der Angreifer die Vordertüre wählt?“

IT-SEAL auf einen Blick
Name IT-SEAL GmbH
Social Engineering Analysis Labs
Webseite https://www.it-seal.de/
Geschäftsform GmbH
Standort Darmstadt, Deutschland
Gründungszeitpunkt August 2016
Geschäftsführer David Kelm, Alex Wyllie, Yannic Ambach
Anzahl Mitarbeiter ---
Security-Sparte Security Awareness & Security Audit
Produkt IT-Seal Phishing Audit,
IT-Seal Phishing Akademie,
IT-Seal Consulting & Services
Innovation Automatisierte Einbindung von öffentlichen Infos (u.a. Social-Media) zur Simulation von Spear-Phishing Angriffen.
Unternehmens-Blog https://www.it-seal.de/f-blog.html
Invest möglich? Ja

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44585273 / Security-Startups)