Blog | Snapchat-Angriff zeigt Bedeutung von digitalen Signaturen und Nutzersensibilisierung

18.04.2016

Ein Phishing-Angriff auf Snapchat zeigt, wie wichtig der Einsatz von digitalen Signaturen & Massnahmen zur Sensibilisierung der Nutzer ist.

Ende Februar hat sich der Anbieter der Instant-Messaging-App Snapchat zu den Unternehmen gesellt, die eine Datenschutzverletzung zugeben mussten. Das Unternehmen wurde Opfer eines Angriffs, der die persönlichen Informationen hunderter Mitarbeiter offenlegte.

Ursache war allerdings weder ein Hacker-Angriff noch Malware. Stattdessen handelte es sich um Phishing, das einen Mitarbeiter dazu verleitet hatte, die Informationen direkt per E-Mail an den Täter zu schicken.

Ursache Fahrlässigkeit?

Laut einem Blog-Artikel des Unternehmens hatten Mitarbeiter der Snapchat-Lohnbuchhaltung eine angeblich von CEO Evan Spiegel kommende E-Mail erhalten, in der sie aufgefordert wurden, Mitarbeiterinformationen zu schicken.

Einer der Angestellten erkannte die Fälschung nicht und antwortete mit den geforderten Informationen. Dabei soll es sich um Namen, Sozialversicherungsnummern, Gehälter, Gewinne aus Aktienoptionen und Vergünstigungen von etwa 700 aktuellen und ehemaligen Snapchat-Angestellten handeln.

Laut Snapchat wurde keines der internen Systeme kompromittiert und das FBI binnen vier Stunden verständigt. Trotzdem zeigt der Vorfall, dass – allen Abwehrmassnahmen zum Trotz – der Fehler einer einzigen Person ausreicht, um alle Bemühungen zunichte zu machen. Was können Unternehmen also tun, um sich vor solchen Ereignissen zu schützen?

Die technische Lösung

Aus technischer Sicht empfiehlt sich der Einsatz digitaler E-Mail-Signaturen für alle internen Nutzer. In der Kommunikation mit externen Personen kann es schwierig sein, sich ausschliesslich auf signierte E-Mails zu stützen, wie ich in meinem Blog-Beitrag zum Bundestagshack dargelegt habe.

Anhand einer gültigen Signatur kann der Empfänger erkennen, ob eine E-Mail wirklich von der Person kommt, die vorgibt, der Absender zu sein. Dabei kann zentral festgelegt werden, dass alle E-Mails interner Nutzer per Default signiert werden, so dass der einzelne Nutzer beim Versenden gar nicht mehr dran denken muss.

Beim Empfang einer E-Mail muss ein Nutzer allerdings überprüfen, ob diese eine gültige Signatur besitzt. Das ist zwar anhand eines Blicks möglich und dadurch einfach, zeigt aber, dass die Technik alleine hier nicht zum Erfolg führt.

Sensibilisierung der Nutzer zwingend notwendig

Neben technischen sind unbedingt weitere Massnahmen erforderlich, die das Bewusstsein der Mitarbeiter für Scams schärfen und ihnen dabei helfen, diese zu erkennen. Denn trotz aller technologischen Möglichkeiten sind Menschen immer noch das schwächste Glied in der Sicherheitskette, jedes Mehr an Nutzersensibilisierung kann also einen grossen Unterschied machen.

Dazu gehört, dass Nutzer sich trauen, unübliche oder verdächtige Forderungen zu hinterfragen. Denn Cyberkriminielle wissen wie effektiv Social Engineering ist und bauen darauf, dass Mitarbeiter Anfragen der Geschäftsleitung nicht infrage stellen.

Diese Art von Selbstbewusstsein entwickeln Angestellte nur, wenn Sicherheit ein etablierter Teil der Firmenkultur ist, und sie ermutigt, E-Mails – und auch andere Formen der Kommunikation – mit Skepsis zu betrachten. Entscheidend dafür: Die Unternehmensführung muss glaubhaft versichern, dass ein Infragestellen keine negativen Konsequenzen für den Einzelnen hat.

Snapchat kommentiert die eigene Datenpanne wie folgt: „Wenn so etwas passiert, ist das einzige was man tun kann, den eigenen Fehler einzugestehen, sich um die Betroffenen zu kümmern, und aus dem Fehler zu lernen. Um letzteres zu erreichen, werden wir unsere bereits gründlichen Schulungsprogramme zu Datenschutz und Sicherheit in den kommenden Wochen nochmals verdoppeln“.


von Marcel Mock, CTO, totemo ag