IT-Sicherheit bei Stämpfli
Interview mit Frank Nyffenegger, Leiter Informatik/IT-Services, zur Überprüfung der digitalen Sicherheit bei Stämpfli
20.03.2016
Frank, ihr habt eine Firma damit beauftragt, die digitale Sicherheit von Stämpfli zu testen. Was war das für eine Firma, und wie ging sie dabei vor?
Die NSide Attack Logic aus München ist eine hoch spezialisierte Firma, die realitätsnahe Cyberattacken durchführt und dadurch Schwachstellen aufspürt und die Mitarbeitenden sensibilisiert.
Ihr Ziel war es, via Social Engineering Kontrolle über Stämpfli PCs zu übernehmen und damit Zugriff auf Geschäftsdaten zu erhalten. Da die Firewall einen guten Schutz bietet, versuchten Vertreter von NSide es auf anderen Wegen. Sie kamen direkt ins Haus, sprachen Mitarbeiter an und brachten sie mit erfundenen, aber glaubhaften Geschichten und Charme dazu, fremde USB-Sticks oder CDs in ihre PCs zu stecken. So konnte sich unbemerkt ein Virus auf dem PC installieren, der Zugriff auf das Gerät erlaubte. Dadurch sammelten sie persönliche Daten von Mitarbeitenden, die in der Folge mit gefälschten E-Mails – angeblich aus unserer IT – zur Bekanntgabe von Passwörtern aufgefordert wurden. Auf diese Weise erhielten sie nach und nach Zugang zu betriebsinternen Servern.
Was ist die Erkenntnis aus diesem Versuch?
Er hat uns vor Augen geführt, dass auch unser Unternehmen grundsätzlich verwundbar ist, dass unsere gelebte Offenheit gewisse Risiken mit sich bringt. Wir sind wohl gelegentlich zu arglos, wenn Unbekannte freundlich und mit guten Geschichten unser Vertrauen zu erschleichen versuchen.
Welche Massnahmen sind vorgesehen?
Das Wichtigste ist: Die Mitarbeitenden müssen über das Risiko informiert werden, das sie eingehen, wenn sie unbekannten Leuten Zugang zu ihren PCs gewähren. Weiter werden die Installationsrechte für die einzelnen Benutzer eingeschränkt, sodass sich am einzelnen Gerät keine Malware selbst installieren kann. Und schliesslich werden Besucherbadges eingeführt, damit Besucher als solche gekennzeichnet sind und gleichzeitig eine Übersicht besteht, wer sich im Haus befindet.
Was bedeutet das für die Mitarbeitenden und für Kunden, die uns besuchen?
Einerseits werden alle Mitarbeitenden in Schulungen auf erhöhte Vorsicht und Wachsamkeit sensibilisiert. Andrerseits wird künftig jeder Besucher mit Name und Handynummer registriert und erhält einen Badge. Dies kommt auch dem Besucher selbst zugute, denn es dient seiner persönlichen Sicherheit. In einem Notfall, einem Brandfall beispielsweise, ist dank der Besucherliste sichergestellt, dass wir abklären, ob sich der Besucher unter den Evakuierten befindet. Andernfalls würde man ihn via Handynummer zu kontaktieren versuchen und bei Bedarf eine Suche nach ihm veranlassen (siehe auch den Beitrag «Notfallkonzept bewährt sich»).
Vielen Dank, Frank, für das Gespräch.