CERN-IT-Sicherheitschef Stefan Lüders
"Wir leben ByoD seit 20 Jahren"
Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Security-Training als Hauptaufgabe
Geben Sie denn zumindest Hilfestellung bei der Absicherung der Systeme und Netze?
Stefan Lüders: Ich gebe Ihnen ein Beispiel. Jemand kommt ans CERN und setzt einen eigenen Web-Server samt Website auf, weil er das für ein Experiment benötigt. Verantwortlich für diese Website ist er selbst. Wie er Server und Site absichert, kann er von uns in Schulungen erfahren. Wir schauen uns aufgesetzte Server dann hinterher an - schätzen wir ihn als zu unsicher ein, bekommen er von uns keine Freigabe für die Sichtbarkeit im Internet.
Die andere Möglichkeit ist, unsere IT-Services in Anspruch zu nehmen. Unser IT Department stellen verschiedene Content-Management-Systeme wie SharePointSharePoint oder Drupal zur Verfügung, auf denen ebenfalls Seiten betrieben werden können. Aber auch für die Sicherheit dieser Seiten ist der Einzelne selbst verantwortlich - beispielsweise wenn eine Datenbank angeschlossen werden soll. Wir als Security-Team sorgen genau wie das IT-Department indes dafür, den Nutzern die entsprechenden abgesicherten technischen Ressourcen bereitzustellen - wie sichere Web-, File- oder Datenbank-Services. Alles zu Sharepoint auf CIO.de
Wie sieht das Security-Training konkret aus?
Stefan Lüders: Wir geben interessierten Mitarbeitern unter anderem Training im sicheren Programmieren oder im sicheren Einrichten eines Servers. Oder wir machen spezielle Training-Events. Für unsere "WhiteHat Challenge" beispielsweise haben sich 60 Leute beworben, die lernen möchten, wie man Penetrationstests macht. Innerhalb weniger Tage bilden wir sie dafür nun in mehreren Kursen aus, damit sie am CERN als Penetrationstester arbeiten können. Ziel des Ganzen ist natürlich, dass sie die Verwundbarkeiten ihrer Systeme später selbst aufspüren und beseitigen können.
Phishing-Attacken als Initialzündung
Welche Erfahrungen haben Sie mit dem Modell der Eigenverantwortung gemacht?
Stefan Lüders: Ich gebe Ihnen auch hier wieder ein Beispiel. Im Jahr 2008 hatten wir mehrere groß angelegte Phishing-Attacken gegen unsere Mitarbeiter und Gastnutzer. Eine dieser Kampagnen beispielsweise richtete sich gleich gegen 1500 unserer Mitarbeiter, von denen immerhin 40 auf die MailMail hereingefallen sind. Wir haben dann versucht, herauszufinden, wer diese 40 waren. Klassifizieren konnten wir sie nicht - es waren nicht nur ältere, nur jüngere oder nur weniger intelligente Mitarbeiter, wie immer sie letzteres auch messen wollen. Es waren nicht nur die Männer, die Frauen, die Physiker oder die Techniker. Alles zu Mail auf CIO.de
Nein, diejenigen, die auf die Phishing-Mails reagierten, taten dies ohne böse Absicht einfach aus einer bestimmten Situation heraus. Sie waren gerade beschäftigt, bekamen eine Mail vom Absender "Webmail IT-Service", in der sie nach Ihrem Passwort gefragt wurden, kamen der Aufforderung nach und hatten die Mail damit abgearbeitet. Erst im Nachhinein wurde ihnen klar, dass sie hereingelegt worden waren.
Mit einer täuschend echt aussehenden Ebay-Anfrage und der Drohung, die Polizei ein zuschalten, erreichen die Phishing-Betrüger, dass das Opfer antwortet.
Klickt man auf den Antwort-Button, ...
... kommt man auf eine ebenfalls gefälschte Ebay-Eingabemaske.
Sogar angebliche Auktionsteilnahmen sind gefälscht..
Nach der Anmeldung auf der gefälschten Seite wird man auf eine reguläre Ebay-Seite weitergeleitet. Die läuft allerdings ins Leere. Aber so bemerken die Phishing-Opfer den Datendiebstahl womöglich gar nicht.
Nun sind die Betrüger im Besitz der Zugangsdaten und können mit dem gekaperten Ebay-Account jede Menge Unheil anrichten.
Diese Phishing-Attacke aus dem Jahr 2008 war die Initialzündung für uns, Sicherheits-Kampagnen und Trainings anzubieten - mit dem Ergebnis, dass wir heute aus einem Pool von rund 22.000 E-Mail-Konten am CERN pro Monat nur noch zwei bis drei Accounts in dem Sinne verlieren, dass dessen Accounts missbraucht worden sind. Größtenteils durch Phishing-Angriffe oder auch durch kompromittierte Universitäts-Rechner, an denen sich Studenten remote am CERN einloggen und dadurch ihr Passwort unbewusst preisgeben. In beiden Fällen handelt es sich aber erwiesenermaßen fast ausschließlich um neue Mitarbeiter, die noch an keinem unserer Trainings teilgenommen haben.
- Klik hier
Bis zu dieser Stelle könnte man das tatsächlich noch für eine echte Nachricht der Postbank halten. Doch die Beschriftung des Links verdirbt dann alles. - John2quest
Das gleiche Spiel bei der Sparkasse. Auch dieser Text klingt zunächst mal gar nicht so schlecht, bis dann das versehentlich eingestreute john2quest den guten Eindruck zerstört. Blöd gelaufen. - Stümperhaft
Hier liegt nicht nur ein Fehler in der Lieferanschrift vor, auch der ganze Vorgang mit dem Postetikett, das man erst ausdrucken muss, um eine Postsendung abholen zu können, gibt Rätsel auf. - Hallo Gast Visa Europe
Nach dieser fröhlichen Begrüßung geht wirklich alles schief. „Für Ihren Schutz haben wir Ihre Kreditkarte aufgehangen“ – das lässt Lynchjustiz vermuten. - Zugriff beschaffen
Man kann bloß hoffen, dass der Absender nicht so redet wie er schreibt. - Konto braucht Hilfe
Eine ziemlich gute Fälschung, wären da nicht die verdächtigen „Unregelmäßigkeiten“ bei Kommasetzung und Rechtschreibung. - Arbeitsort Europa
Rentner, Schwangere und Arbeitslose aufgepasst – in Europa wird eine Stelle frei. - Kein auf und ab
So seriös und überzeugend wurde wohl noch nie für ein börsennotiertes Unternehmen geworben. - Der kleine Prinz
Vor einigen Jahren kamen die Spam-Versender auf den Trichter, dass die E-Mail-Filter literarische Texte nicht beanstanden. In diesem Beispiel hat der Absender Hermann Hesses „Siddharta“ und „Der kleine Prinz“ von Antoine de Saint-Exupéry verwendet, was in der Kombination mit der Werbung für eine obskure Aktie im Anhang einigermaßen bizarr anmutet. - Hallo, wie gehst du
Eine Frau sucht die Liebe im Internet und kommt praktischerweise schon in naher Zukunft, „möglich in einem oder zwei Wochen“, nach Deutschland. Ein Wink mit dem Zaunpfahl. - Endlich reich!
Mehr als 900000 Euro zu gewinnen bei einer spanischen Lotterie, an der man nie teilgenommen hat – das ist echtes Glück. Und notarisch ist ja wohl alles in Ordnung. - Nochmal gewonnen
Diesmal geht es um eine knappe Million, das Schreiben ist diesmal sogar notariell beglaubigt. Doch das notorische „Notarisch“ in der Mitte verrät den Absender. - Lotteriegewinn zum Dritten
Und wieder ein Volltreffer, zum Schluss gibt’s nochmal 825000 Euro. - Ist die Wahrheit
Die Nigeria Connection scheint sich nach London abgesetzt zu haben und schlägt nun einen unseriösen Handel vor. - Schlechte Werbung
Wenn man nicht wissen würde, wie solche Betrügereien funktionieren, wäre Herrn Lenkas Schreiben komplett unverständlich. - Grässlicher Bewegungsunfall
Diese Mail enthält mehr Handlung als so mancher Roman, und er hat mit Abstand die lustigste Wortwahl unter den hier vorgestellten Spams. - Anerkennen
Mr. Peter Wong von der Hang Seng Bank in Hongkong ist einer der bekanntesten Spam-Versender weltweit. Und er findet wunderbare Formulierungen: „Ihre früheste Reaktion auf dieses Schreiben wird geschätzt.“ - Lieber Freund
Auch Herr Poocharit, der bei den Vereinten Nationen mit einem seltsamen Jobtitel eingestellt wurde, hat eine Menge Geld, das irgendwo zwischengelagert werden muss. - Insider-Informationen
„Es ist möglich, das System mit der richtigen Methode zu schlagen“ Das hört sich nach Klassenkampf an, ist aber nur Emily Lopez, alleinerziehende Mutter. - Abnehmen
Der schönste Satz in dieser Nachricht von Dr. Sabrina Kaub, die in der Mail-Adresse Dr. Sabrina Scholler heißt, ist natürlich „ohne dass sie halb verhungern oder staendig Sport treiben muessen.“