Undercover (Boss) Tester

Arbeitsalltag

Undercover (Boss) Tester

Die Arbeitskleidung mal für einen Tag gewechselt bzw. der Angreifer sucht sich immer das schwächste Glied der Kette.

Warum gibt sich ein Penetrationstester als Telekom-Techniker aus? „Der Mensch als Schwachstelle in der Cyber-Security“, „Die größte Schwachstelle ist der Mensch“ oder „Layer 8 Problem“, es gibt viele Fachartikel und Abhandlungen über das Thema. Letzten Monat war es wieder mal so weit. Im Rahmen eines Penetrationstests sollte auch dieser mögliche Angriffsvektor getestet werden.

„Zieh dir einen Anzug an und Du bekommst überall die Tür aufgehalten.“ oder „Da kannst du technisch machen, was du willst, ein Dummer findet sich immer und gibt Dir sein Passwort.“ Dies waren nur einige der „Hinweise“ im Vorfeld.

Und, was ist am Ende rausgekommen? Das Unternehmen ist vom Stand der (Sicherheits-) Technik super aufgestellt. Allerdings war der „physische Penetrationstest“ ein kleines Desaster.

Woran liegt das? Gern wird mit dem erhobenen Zeigefinger sofort auf die Mitarbeiter gezeigt, welche das Thema (IT-) Sicherheit nicht richtig ernst nehmen. Ich denke, dies ist allerdings meist zu kurz gedacht. Oft ist das Thema doch nicht ganz so einfach.

Auf folgende Beispiele treffe ich immer wieder in Audits oder Penetrationstest.

1. Da ist der Mitarbeiter am Empfang, welcher mich durchwinkt und sagt: „Was die sich wieder da oben ausgedacht haben. Uns sagt ja niemand Bescheid.“

2. Aber da ist auch der IT-Leiter, welcher einsam auf weiter Flur versucht, Feuerwehr zu spielen und zwischen den dringendsten Problemen und Incidents hin und her springt. Auf die Nachfrage nach weiterem Personal (wenn es überhaupt welches am Markt gibt) bekommt er die Antwort: „Es ist ja noch nie was passiert“.

3. Oder der Produktionsleiter im Gespräch:
„Im Notfall? Rufen meine Leute mich an! Die wissen, wie sie mich erreichen.“
„Was ist, wenn Sie nicht erreichbar sind?“
„…“

Und die Liste könnte ich (ihr sicher auch (gern in den Kommentaren)) beliebig verlängern. Sehr oft kommt am Ende des Tests das Thema Security Awareness und als Maßnahme Trainings auf. Aus meiner Sicht, muss Security Awareness Teil der
Unternehmenskultur sein und diese wird dann von allen gelebt – mit den jeweiligen Möglichkeiten und Verantwortlichkeiten. Dazu reicht es nicht, mit einzelnen Trainings Mitarbeiter zu sensibilisieren, sondern es gehört eine ganzheitliche Betrachtung her. Anderenfalls findet der Angreifer eben Ihr Thema, das Sie vergessen oder dem Sie zu wenig Aufmerksamkeit geschenkt haben.

nach oben