Spear-Phishing als Risikofaktor für kritische Infrastrukturen am Beispiel eines Gasnetzbetreibers und mögliche Lösungsansätze, Andrej Schwab

Andrej Schwab

Kurzfassung

Phishing-Angriffe haben in den vergangenen Jahren erneut Hochkonjunktur. Einer der Gründe hierfür sind mitunter höhere Sicherheitsstandards für technische Systeme. Immer mehr Firmen nehmen zum Beispiel an Bug-Bounty-Programmen teil, oder lassen ihr Unternehmensnetzwerk und ihre Systeme bei sogenannten Penetration-Tests von externen IT-Sicherheitsspezialisten auf mögliche Schwachstellen hin untersuchen. Oft finden diese Experten Sicherheitslücken, welche von den Entwicklern und Systemadministratoren selbst übersehen, oder nicht als solche erkannt wurden. Durch die hohe Hürde eines auf diese Weise gehärteten, technischen Systems, weichen die Angreifer auf den weitaus weniger gesicherten Bereich, die "Schwachstelle Mensch", aus. Begünstigt wird dieser Angriffsvektor zweifelsohne durch die zunehmend starke und nahezu lückenlose Vernetzung in sozialen Netzwerken, aber auch der nachlässige Umgang mit privaten und sensiblen Daten seitens der Mitarbeiter. Der Spezialfall des Phishings, das Spear Phishing, soll in dieser Bachelorarbeit näher betrachtet werden. Im Rahmen der Mitarbeitersensibilisierungsmaßnahmen sollen simulierte Spear Phishing-Angriffe durchgeführt werden. Dabei wird die Informationsgewinnung, die sogenannte Reconnaissance, beleuchtet. Durch die Tatsache, dass in Folge der Industrie 4.0 Entwicklung die Industrienetzwerke verstärkt mit den Officenetzwerken verschmolzen sind, macht gezielte Spear Phishing-Angriffe zu einem erheblichen Sicherheitsrisiko für die Industrie. Der Faktor Mensch wurde bereits als mögliches Sicherheitsrisiko unter Anderem im Bereich der kritischen Infrastrukturen erkannt und findet in der DIN ISO/IEC 27001 dementsprechend Beachtung.

Schlagwörter: Aufklärungskampagne, Awareness, DIN ISO/IEC 27001, Industrie 4.0, Information Security Management System (ISMS), Kritische Infrastruktur (KRITIS), Mitarbeiterschulung, Mitarbeitersensibilisierungsmanahme, Phishing, Spear Phishing