Startseite > Security > Treff der Security-Branche

Ausblick auf it-sa 2016

Treff der Security-Branche

12. Oktober 2016, 10:07 Uhr | Daniel Dubsky

Fortsetzung des Artikels von Teil 8

Phishing-Anfälligkeit auf dem Prüfstand

Noch nicht ganz so weit wie E3 CSS und Teamwire ist IT-Seal (Stand 466). Das im Rahmen des EXIST-Programms durch das Bundeswirtschaftsministerium und die EU geförderte Startup hat einen Phishing-Audit für Unternehmen entwickelt, der erst zur it-sa starten wird. Zunächst ist geplant, diesen direkt zu vertreiben, erst gegen Ende des kommenden Jahres will man in den indirekten Vertrieb einsteigen. Daher steht auch noch nicht fest, wie die Zusammenarbeit laufen und wie das Preismodell für die Partner aussehen soll. Allerdings baue man bereits Kontakte zu Systemhäusern und Unternehmensberatern auf, um Feedback zu sammeln, berichtet Mitgründer Alex Wyllie.

Interessant ist die Lösung von IT-Seal für den Channel allemal, bietet sie doch einen guten Ansatzpunkt für Beratung, Schulungsdienste und Security-Services. Das Startup sammelt automatisiert im Internet, etwa auf Firmenwebsite, bei Google News, Xing und LinkedIn sowie Facebook, Informationen über das Unternehmen und seine Mitarbeiter. Die werden anschließend genutzt, um Phishing-Mails zu verschicken, um die Anfälligkeit der Mitarbeiter für derartige Attacken zu testen. Die Analysen finden auf Gruppenebene statt, damit nicht einzelne Mitarbeiter an den Pranger gestellt werden. »Wir wollen die Mitarbeiter schützen«, sagt Wyllie und erklärt, man definiere die Gruppen vorab gemeinsam mit der Geschäftsleitung und den IT-Verantwortlichen.

Auch über den Versand der Phishing-Mails werden die Mitarbeiter vorab informiert. Anfangs sind diese noch recht leicht zu erkennen, doch im Laufe der Zeit werden die Mails anhand der im Internet zusammengetragenen Informationen immer individueller. Wenn dann zum Beispiel eine Mail vom Chef kommt, der zu einem Meeting einlädt und die Agenda als Datei anhängt, würden schon ziemlich viele Mitarbeiter darauf hereinfallen, berichtet Wyllie. In der Regel laufe aber alles sehr unverkrampft und ohne persönliche Schuldzuweisungen ab, denn es gehe ganz generell darum, Angriffspunkte im Unternehmen aufzuspüren und zu ermitteln, in welchen Abteilungen noch Schulungsbedarf besteht. Die meisten Mitarbeiter würden das verstehen und hätten sogar Spaß daran, nach den Phishing-Mails zu fahnden.

Diesem weitgehend automatisierten Teil kann dann noch eine Security-Analyse folgen, für die IT-Seal sich die Sicherheitsrichtlinien im Unternehmen anschaut, eine Mitarbeiterbefragung zum Sicherheitsverhalten durchführt und einige Einzelinterviews führt. »Wir wollen den Unternehmen nicht nur Statistik liefern«, erklärt Wyllie. Alle Ergebnisse fließen dann letztlich in eine Auswertung ein, die Angriffspunkte auflistet und Handlungsempfehlungen gibt. »Alles basiert auf wissenschaftlicher Arbeit. Die Ergebnisse sind reproduzierbar und hängen nicht vom Auditor ab«, so der Mitgründer des Startups.