Der Twitter-Angriff
Am 15. Juli wurde bekannt und anschließend von Twitter bestätigt, dass die Konten der einflussreichsten Twitter-Mitglieder, darunter der ehemalige US-Präsident Barack Obama, Bill Gates und Joe Biden, kompromittiert wurden.
Eine Gruppe von Hackern nutzte den beispiellosen Zugang und die Öffentlichkeit für einen scheinbar einfachen Zweck - nämlich ein Bitcoin-Schema. Besorgniserregender könnte sein, dass die Direktnachrichten dieser Twitter-Nutzer für die "Hacker" zugänglich waren, wie Wired berichtet.
Stockfoto Cybersicherheit
Deshalb habe ich "Hacker" absichtlich in Anführungszeichen gesetzt. Da zahlreiche betroffene Kontobesitzer angaben, dass sie für ihr Konto den Mehrfaktor-Authentifizierungsschutz aktiviert hatten, und Twitter bestätigte, dass sie vermuten, dass ein Social-Engineering-Angriff auf einige Twitter-Mitarbeiter mit privilegiertem Zugang zur Twitter-Infrastruktur erfolgreich war. Sobald Journalisten über "Hacker" schreiben, denken wir sofort an sozial unbeholfene Technikgenies, die ihre überlegenen Programmierkenntnisse für das Böse einsetzen - in Kapuzenpullovern und in schwach beleuchteten Räumen. Dies führt auch zu dem Vorurteil, dass die Cybersicherheit sich darauf konzentrieren muss, eine noch bessere Technologie zur Verteidigung zu haben - und ruft das Bild einer Kommandozentrale mit einer Videowand und den "guten Jungs" hervor, die Cyberangriffe in Echtzeit abwehren.
Im Jahr 2020 könnten diese beiden Klischees nicht weiter von der Realität entfernt sein. Bei dem tatsächlichen Angriff handelte es sich wahrscheinlich um ein hochqualifiziertes Team, das Twitter-Mitarbeiter dazu überredete, eine Aktion durchzuführen, die den Angreifern erheblichen Zugang verschaffte.
Cybersicherheit im Jahr 2020
Die Details des Twitter-Hacks sind noch in der Entwicklung, aber nach dem, was wir bisher wissen, ist dieser Vorfall der perfekte Sturm für die Cyber-Bedrohungslage im Jahr 2020. Lassen Sie mich das erklären:
Verlagerung der Bedrohungen
Das Jahr 2020 hat wohl die größte Veränderung der Bedrohungslage in kürzester Zeit seit den Anfängen der IT erzwungen. Da jeder gezwungen ist, aus der Ferne zu arbeiten, wurden alle bisherigen Paradigmen der traditionellen Sicherheit - wie etwa die Umzäunung - innerhalb von Tagen oder Wochen über den Haufen geworfen. Gleichzeitig änderte sich auch die menschliche Kommunikation. Hätten die angegriffenen Twitter-Ingenieure in ihren Büros an einem Tisch gesessen, wäre das Anliegen der Angreifer hinterfragt oder informell mit einem Kollegen besprochen worden?
Cybertechnologie ist eine Handelsware
Die Umsetzung technischer Sicherheitsmaßnahmen ist im Jahr 2020 eine Standarddienstleistung. In meiner Studienzeit lernten wir, wie man RSA-Verschlüsselung auf Papier durchführt. In meinen Anfängen im Cyberspace-Bereich war es eine wichtige Aufgabe, dafür zu sorgen, dass das eigene Zertifikat auf dem neuesten Stand ist, um sichere https-Verbindungen zu ermöglichen. Heute nutzt man einfach einen Dienst, der sich um all das kümmert. Ich würde behaupten, dass die technischen Sicherheitsmaßnahmen von Alyne denen von Fortune-500-Unternehmen ebenbürtig sind oder diese sogar übertreffen - denn Cybersicherheitstechnologie ist ein Massenprodukt. Wie bereits erwähnt, bestätigten viele betroffene Twitter-Konten, dass sie über eine Mehrfaktor-Authentifizierung verfügen - eine der effektivsten technischen Maßnahmen zum Schutz Ihres Twitter-Kontos. Bei starker technischer Sicherheit müssen Angreifer nach der schwächsten Stelle suchen, die sie außerhalb der Technologie ausnutzen können.
Umgezogene Kronjuwelen
Als Cyber-Experten sind wir darauf trainiert, an Kronjuwelen zu denken. Der Gedankengang besagt, dass man nie alles schützen kann, also sucht man sich die Kronjuwelen heraus und verwendet all seine Energie darauf, sie zu schützen. Tesla schaltet keine Werbung, und der einzige Kanal, über den das Unternehmen mit der Öffentlichkeit kommuniziert, ist de facto Twitter. Noch vor ein paar Jahren hätte die interne Marketingabteilung die Integrität der öffentlichen Informationen des Unternehmens gegenüber dem Markt als ihre Kronjuwelen definiert - streng gehütet hinter Pressemitteilungen und einem PR-Team. Im Jahr 2020 sind es nur noch Elon und sein Twitter-Handle, die sogar einer Überwachung durch die SEC.
Das schwächste Glied
Mit einer schnell virtualisierten Umgebung, verschobenen Kronjuwelen und einer allgemein starken technischen Sicherheitslage bleibt das schwächste Glied der Mensch. Nimmt man all das zusammen, ist ein koordinierter Social-Engineering-Angriff auf Twitter ein absolut logischer Schritt für einen Angreifer, der auf finanziellen Gewinn aus ist (oder zumindest sieht es bisher so aus - ich würde die Möglichkeit der Beteiligung einer feindlichen Regierung im Moment nicht ausschließen). Menschen sind es, die alle technischen Sicherheitsmaßnahmen miteinander verbinden, und Menschen sind es, die diesen Maschendrahtzaun durchbrechen können.
Wie können wir unsere Cyber-Stellung im Jahr 2020 verbessern?
Bewusstseinsbildung
Das ist nicht neu - und es wird auch nicht verschwinden. Die Menschen zu informieren, auf Trab zu halten und wachsam zu sein, ist keine einmalige Angelegenheit, sondern muss kontinuierlich erfolgen. Virtualisiertes Arbeiten verleiht dem Ganzen eine neue Dimension. Über welche Kanäle erreichen wir die Menschen jetzt? Wie erreicht man die Aufmerksamkeit von Menschen, die gerne von zu Hause aus arbeiten, weil sie durch all diese "lästigen Dinge" wie das Bewusstsein für Cybersicherheit "nicht mehr abgelenkt" sind? Wie kompensieren Sie den Mangel an informeller zwischenmenschlicher Kommunikation am Arbeitsplatz, die dazu beitragen kann, das "Buzz" rund um das Thema Cyber-Sicherheit aufrechtzuerhalten?
Einbindung
Eine Sache, die uns bei Alyne sehr am Herzen liegt, ist die Einbeziehung der Menschen in den Sicherheitsprozess. Eine Sicherheitsrichtlinie zu verfassen und von oben herab durchzusetzen, schafft keine Eigenverantwortung, keine Rechenschaftspflicht und keine Akzeptanz in der breiten Öffentlichkeit Ihres Unternehmens. Wenn die Interaktion mit Cyber-Themen nicht kollaborativ und dialogorientiert ist, wird Ihr Team Ihre Bemühungen nicht in seine tägliche Arbeit einbeziehen. Wir plädieren leidenschaftlich für ein Informationssicherheits-Managementsystem (ISMS) das es den Menschen ermöglicht, kontinuierlich zu kommunizieren, zu chatten, zu überarbeiten, zu aktualisieren und zu ändern, anstatt vierteljährlich ein Häkchen zu setzen. Wenn Twitter eine solche Plattform hätte, hätten die kompromittierten Mitarbeiter dann über das ISMS nachgedacht, bevor sie Zugang gewährten? Hätten sie die geltenden Regeln zweimal überprüft oder eine kurze Frage zur Bestätigung gestellt?
Verwaltung
Zyniker werden argumentieren, dass mehr Management noch nie eine Lösung war, aber hören Sie mir zu. Das Management kann die Cybersicherheit nicht mehr delegieren. Sie können sich nicht darauf verlassen, dass Ihr "Cyber Guy" sich darum kümmert, oder auf das Klischee des Raums voller Bildschirme hereinfallen, die Ihr Unternehmen "verteidigen". Cybersicherheit muss auf der Tagesordnung aller Führungskräfte stehen, und sie müssen sich aktiv für diese Priorität im Unternehmen einsetzen. Dies ist nach wie vor eine der wirksamsten Maßnahmen, um das Bewusstsein zu schärfen und eine Kultur der Zusammenarbeit beim Umgang mit der Cybersicherheit zu fördern.
Ich bin sicher, dass wir mehr über die Hintergründe des Twitter-Angriffs vom Juli 2020 erfahren werden. An dieser Stelle finden Sie weitere Analysen und Kommentare zu den Entwicklungen.
