Marketing Jobs bei Boxcryptor
Jonathan Zimmermann | Marketing Manager
@JonZmoep
2019 M03 1, Fri

Interview mit der Expertin für Cyber-Sicherheit und Penetrationstests Lisa Forte

Lisa Forte ist eine Cyber-Sicherheitsexpertin und Keynote-Speakerin aus Großbritannien, die uns im Interview spannende Einblicke in Ihre Arbeit bei Red Goat gewährt, Ihrer auf Social Engineering und Penetrationstests spezialisierten Firma. Außerdem spricht sie über die Auswirkungen des Brexit auf die IT-Branche und darüber, wie es ist, als Frau in der Tech-Branche zu arbeiten.

Hallo Lisa! Wir freuen uns sehr, dass du dir heute Zeit genommen hast, unsere Fragen zu beantworten. Als erstes würde uns interessieren, warum du dich für die Arbeit in der IT-Sicherheitsbranche entschieden hast.

Ich habe zuvor für den britischen Geheimdienst gearbeitet und bin dort in das Feld der Cybersicherheit eingestiegen. Dann wechselte ich in eine Cybercrime-Unit der britischen Polizei, die große Cyberattacken in Großbritannien untersuchte. Danach habe ich beschlossen, dass ich mein eigenes Unternehmen gründen möchte, um Organisationen dabei zu helfen, sich vor Hackern zu schützen.

Was macht deine Firma Red Goat genau?

Wir sind Experten für Social Engineering, haben uns also darauf spezialisiert, wie man über die „Schwachstelle Mensch“ Organisationen angreifen kann. Als ich noch für die Polizei gearbeitet habe, hatten die meisten Fälle mit Social Engineering zu tun. Ich beschloss, dass ich mich als Experte in diesem Feld ausschließlich darauf konzentrieren sollte. Die meisten unserer Kunden sind große Unternehmen wie Anwaltskanzleien, Banken, oder Universitäten. Doch auch kleine Unternehmen nutzen unser Angebot.

RGTX3

Auf Ihrer Webseite bieten Sie eine mehrstufige Evaluation der menschlichen Widerstandskraft eines Unternehmens gegen Cyberattacken an. Wie sieht so etwas aus?

Wir führen sehr zielgerichtete Attacken durch, die sehr schwer von technischen Schutzmechanismen entdeckt werden können. Wir sammeln zuerst offen online verfügbare Informationen über die Mitarbeiter des Unternehmens. Dann senden wir sehr spezifische Phishing-E-Mails oder Textnachrichten an Mitarbeiter, oder rufen diese an. Manchmal gehen wir auch persönlich hin und testen, wie einfach wir in das Büro kommen. All diese Social-Engineering-Bereiche decken wir ab. Am Ende sammeln wir unsere Ergebnisse und geben sie an den Kunden weiter, inklusive Empfehlungen, wie sie ihre Sicherheit erhöhen können. Das sind manchmal ganz einfache Dinge, wie Mitarbeiterschulungen, oder die Empfehlung, Daten zu verschlüsseln. Durch Verschlüsselung wären die Daten wenigstens geschützt, auch wenn wir uns erfolgreich Zugriff darauf verschaffen.

Das bedeutet, dass Ihre Mitarbeiter gute Schauspieler sein müssen. Ist das auch ein Faktor von Social Engineering?

Definitiv. Wichtig ist aber auch Selbstvertrauen und zu wissen, dass menschliches Verhalten leider sehr vorhersehbar ist. Sobald man weiß, wie jemand höchstwahrscheinlich reagieren wird, kann man das ausnutzen und so Zugang zu Informationen erhalten, die eigentlich nicht für einen bestimmt sind.

Wie werten Sie dann die Resultate aus und was raten Sie Unternehmen, wenn Sie Schwachstellen finden?

Das Wichtigste, um sich vor Social Engineering zu schützen, ist wahrscheinlich, die Mitarbeiter zu schulen. Denn am gefährlichsten für die Sicherheit eines Unternehmens sind die Mitarbeiter, die sich durch Computertrainingsprogramme einfach schnell durchklicken, ohne sich wirklich damit auseinanderzusetzen. Sie lernen nichts und sind somit das schwächste Glied in der Kette. Oft beinhalten meine Tipps demzufolge Mitarbeiterschulungen in Gefahrenbewusstsein. Genauso wichtig sind jedoch technische Details, die eine Organisation zum Schutz der Daten und Infrastruktur umsetzen muss. Sensible Daten zu verschlüsseln und dafür zu sorgen, dass nicht jeder Mitarbeiter auf alle Daten Zugriff hat, ist genauso wichtig. Die meisten Hacker sind auf Geld und Rendite aus, also stellen Sie die einfache Rechnung auf: „Wenn ich Zeit und Energie in diese Attacke stecke, wird mein Return of Investment hoch oder gering ausfallen?“ Wenn eine Attacke schwierig erscheint, lassen sie es vielleicht bleiben und suchen sich ein neues Opfer. Sicherheit bedeutet manchmal nur, sich als ein etwas weniger attraktives Ziel für Hacker darzustellen.

Neben Social Engineering bieten Sie auch sogenanntes War Gaming, also Kriegsspiele. Können Sie beschreiben wie so ein War-Gaming-Szenario aussehen würde?

War Gaming bedeutet, dass man plant, wie man eine Cyberattacke übersteht. Jede Firma hat beispielsweise einen Plan für den Fall eines Feuers. Er beschreibt die Fluchtrouten, die Sammelstellen und legt fest, wer kontrolliert, ob alle Mitarbeiter in Sicherheit sind. Dieser Plan mag perfekt sein, doch man muss auch testen, ob er im Notfall funktioniert. Dafür gibt es den Probealarm und War Gaming ist dasselbe nur für Cyberangriffe. Wir simulieren einen Angriff und die Manager des Unternehmens müssen entscheiden, was zu tun ist. Sie müssen sich Fragen stellen wie: „Wie gehen wir damit um? Was sagen wir den Medien und der Öffentlichkeit? Ok, es wurden unverschlüsselte Daten gestohlen. Was machen wir nun?“ Es geht darum sicherzustellen, dass ein Plan für den Notfall existiert. Auf diese Weise werden bei einem realen Angriff keine schlechten Entscheidungen getroffen. Übung macht den Meister!

2-1 Quote Forte DE

Gibt es den einen Grund, warum die meisten Penetrationstests erfolgreich sind? Was ist das größere Problem, nachlässige Mitarbeiter oder eine schlecht aufgestellte IT?

Oft ist es ein bisschen von beidem. Und zusätzlich wissen im Fall eines Angriffs die Manager nicht, was sie zu tun haben. Sie treffen am Ende oft die falschen Entscheidungen, oder noch schlimmer, sie verfallen in Schockstarre und treffen überhaupt keine Entscheidungen mehr. Das macht den Schaden der Angriffe dann noch schlimmer, da sie sich nicht darum kümmern, dass alles wieder online geht. Wenn man das nicht tut, dann übersteht man so einen Cyberangriff nicht. Es ist wichtig, solche Dinge zu testen, um sicherzustellen, dass jeder weiß, was im Ernstfall zu tun ist.

Also hacken Sie im Grunde auf professionelle Weise Unternehmen. Begegnen Sie Vorurteilen, da Sie sozusagen als Hacker arbeiten, um die Sicherheitsvorkehrungen von Firmen zu testen?

Ich mag den Begriff Hacker nicht. Denn viele Menschen gehen davon aus, dass ein Hacker kriminell ist, dass man einer der Bösen ist. Ich würde mich selbst eher als Penetrationstester bezeichnen. Ich bin nicht kriminell, im Gegenteil, ich habe für die Polizei gearbeitet. Ich greife die Kunden auf eine Art und Weise an, die vertraglich festgeschrieben wurde. Es besteht ein riesiger Unterschied zwischen kriminellen Hackern und hochausgebildeten Experten, die Sicherheitssysteme testen. Das würde ich als erstes klarstellen. Ich denke, dass die Sprache, die wir in der Cyber-Sicherheitsbranche verwenden, für nicht-Cybermenschen verwirrend sein kann. Wir benutzen Begriffe wie Hacker, Daten, Cyber- oder Informationssicherheit und ich denke, dass das für Leute außerhalb der Branche die Situation verkompliziert. Vielleicht wäre Informationskriminalität oder Datenkriminalität besser und klarer als Cyberkriminalität.

Was ist die Zielgruppe von Red Goat und welche Art von Unternehmen wenden sich an Sie?

Die meisten unserer Kunden sind große Unternehmen. Ihre größte Sorge sind zielgerichtete Angriffe auf ihre Mitarbeiter mit Hilfe von Social Engineering. Die Mitarbeiter sind oft über viele Büros verteilt und können daher leichter angegriffen werden, als ein kleines Unternehmen mit nur einem Büro und beispielsweise 10-20 Mitarbeitern. Um dieser Sorge zu begegnen, werden wir damit beauftragt, die Mitarbeiter zu schulen, die Sicherheitsstrukturen zu testen und War Games durchzuführen, um die Mitarbeiter für einen Ernstfall vorzubereiten.

Wann raten Sie einem Unternehmen, einen Penetrationstest durchzuführen? Und wie sollte so ein Test in die Sicherheitsstrategie von Unternehmen eingeordnet werden?

Die Größe des Unternehmens ist dabei ein wichtiger Faktor. Kleinere Unternehmen, die noch nie ihre Sicherheitssysteme getestet haben, sollten erstmal mit kleinen Schritten anfangen. Wenn man stattdessen einen kompletten Penetrationstest für viel Geld startet, wird dabei ein riesiger Report mit unzähligen Empfehlungen herauskommen. Das kann für ein kleines Unternehmen erstmal überfordernd wirken. Ich denke, in diesen Fällen ist es besser mit kleinen Veränderungen anzufangen und so Sprosse für Sprosse die Leiter zur gewünschten IT-Sicherheit hochzuklettern.

Wir werden die personenbezogenen Daten eines Unternehmens während des Penetrationstests geschützt? Machen sich manche Kunden Sorgen wegen DS-GVO-Konformität, da sie ja im Grunde professionell gehackt werden?

Wir greifen während den Tests niemals auf personenbezogene Daten zu, also gibt es auch keine Probleme mit DS-GVO-Konformität. Andere Unternehmen, die technische Penetrationstests durchführen, könnte das vielleicht eher betreffen. Jedoch könnte man auch in diesem Beispiel auf andere Daten für den Proof of Concept zugreifen und nicht auf personenbezogene.

Wie reagieren Ihre Kunden auf die Ergebnisse, die Sie liefern? Gibt es einen Unterschied, je nachdem, ob sie freiwillig Ihre Dienste wahrnehmen oder ob sie durch Auflagen dazu gezwungen werden?

Es kommt, denke ich, mehr darauf an, was man findet und nicht so sehr darauf, wie die Klienten auf uns zukommen. In unseren Berichten würden wir jedoch zum Beispiel niemals den Namen des Mitarbeiters nennen, der uns sozusagen hereingelassen hat. Ich sehe es so: Wenn ein Mitarbeiter uns die Tür öffnet, ist es wahrscheinlich, dass die anderen es auch getan hätten. Aus dem Grund ist es nicht fair, den Namen zu nennen und damit zu riskieren, dass diese Person entlassen wird, nur weil sie im Grunde zu wenig Training in Gefahrenbewusstsein erhalten hat. Wir stellen immer sicher, dass so etwas nicht passiert, denn es ist nicht richtig und auch nicht gut für die Unternehmenskultur. Oft sind die Kunden jedoch schockiert darüber, wie viel wir herausfinden und wie schnell wir uns Zugang verschaffen konnten. Sie merken, dass die Übung sinnvoll war und kennen nun ihre Schwächen.

Wie sehr wird die IT-Sicherheitsbranche in Großbritannien Ihrer Meinung nach vom Brexit betroffen sein?

Es wird eine Herausforderung für uns sein, da wir ja jetzt noch nicht wissen, wie der Brexit überhaupt aussehen wird. Wenn es zum Beispiel einen No-Deal-Brexit gibt, ist es noch nicht einmal sicher, ob die EU uns weiterhin als vertrauenswertes Land für EU-Daten ansehen wird. Das wäre ein großes Problem für viele Unternehmen. Außerdem arbeitet die britische Polizei derzeit beispielsweise eng mit der deutschen oder französischen Polizei zusammen. Das ist möglich aufgrund von Kooperationsvereinbarungen innerhalb der EU.

Ich weiß nicht, was beim Austritt aus der EU passieren wird und ob es der Polizei weiterhin möglich sein wird, so eng zusammenzuarbeiten wie jetzt. Wenn nicht, wäre das sehr schwierig für die Bekämpfung von Cyberkriminalität.

Themawechsel: Hatten Sie schon einmal Probleme oder Vorteile, da Sie als Frau in der IT-Sicherheit in einer von Männern dominierten Branche arbeiten?

Die Geheimdienstbranche und die Polizei in Großbritannien sind ebenfalls von Männern dominiert. Also habe ich in meiner gesamten Karriere in vorrangig männlichen Branchen gearbeitet. Das war aber auch nicht überraschend für mich. Doch ich denke, dass es klare Vorteile für Frauen gibt, eben weil in der Tech-Branche so wenige Frauen arbeiten. Besonders in Europa gibt es viele Möglichkeiten, wie man sich einen großen Namen machen kann. Es ist gerade eine gute Zeit für Frauen in Tech.

Trotzdem arbeiten noch nicht viele Frauen in dieser Branche. Was könnte dabei helfen, mehr Frauen in die Tech-Szene zu bringen und besonders in die IT-Sicherheit?

In manchen asiatischen Ländern, wie beispielsweise Japan, wurde Cybersicherheit als Pflichtfach in der Schule eingeführt. Der Vorteil davon ist, dass junge Mädchen die Chance bekommen, sich in dieser Richtung auszuprobieren und herauszufinden, ob sie gut darin sind und ob es sie interessiert. Ein großes Problem ist nämlich, dass, besonders in Großbritannien, viele Jungs die IT-Kurse besuchen. Und die Mädchen möchten dann keinen Kurs besuchen, in dem sonst keine anderen Mädchen sind. Die Konsequenz daraus ist, dass nicht so viele Frauen Informatik studieren möchten und dadurch entsteht dieser große Unterschied. Es ist wirklich wichtig, an dieser Problematik zu arbeiten. Denn Frauen und Männer sind sehr unterschiedlich darin, wie sie denken und Probleme angehen. Es ist sehr wichtig, viele unterschiedliche Menschen in der Sicherheitsbranche zu haben, die Risiken unterschiedlich einschätzen.

Sind Sie in irgendwelchen genderspezifischen Netzwerken aktiv, um mehr Frauen in die Branche zu bringen?

Ich wurde erst im Dezember als eine der Top 100 Women in Tech ausgezeichnet, was natürlich toll war. Ich lebe derzeit in Bristol und arbeite dort eng mit einer Gruppe zusammen, die sich „Women’s Tech Hub“ nennt. Sie ermutigen Frauen dazu, die Karriere zu wechseln und im Tech-Sektor einzusteigen. Wir arbeiten eng mit ihnen zusammen und versuchen ihnen dabei zu helfen, den Frauen die Fähigkeiten zu vermitteln, die sie für eine Karriere in Tech brauchen.

Gibt es in Ihrem Unternehmen eine Frauenquote?

Wir sind momentan noch ein kleines Unternehmen, doch aus diesem Grund haben wir einen hohen Prozentsatz an weiblichen Mitarbeitern. Größere Unternehmen in Großbritannien müssen angeben, wie viele Frauen sie anstellen und bei Stellen mit leitender Funktion zusätzlich die Gehaltsunterschiede offen legen. Ich denke, dass sich in Großbritannien die Kultur langsam verändert und die Leute anfangen, dem Thema Priorität zu geben.

Um zur letzten Frage zu kommen: Gibt es ein Datenleck oder einen historischen Fall von Datenverlust, den Sie besonders interessant fanden?

Einmal habe ich am Fall einer Klinik für Schönheitschirurgie gearbeitet. Der Angreifer hat dort angerufen und mit der Rezeptionistin gesprochen. Er behauptete, ein Patient zu sein und sagte, dass er Probleme nach der Operation habe. Er fragte, ob er ein paar Fotos schicken könnte, um abzuklären, ob die Reaktion normal sei. Die Rezeptionistin stimmte zu und als die E-Mail mit den Fotos ankam, leitete sie sie sofort an einen der Top-Chirurgen weiter. Dieser öffnete die E-Mail und installierte das darin enthaltene Programm zur Bildansicht, das jedoch kein solches war. Das Programm installierte Malware auf das System und zu allem Übel hatte das Unternehmen keine der gespeicherten Patientendaten verschlüsselt. Als private Klinik waren sie nicht dazu verpflichtet, also machten sie sich nicht die Mühe. Alle Patientendaten wurden gestohlen und vom Angreifer online veröffentlicht. Das ist ein Beispiel eines Social-Engineering-Angriffs (der Anruf und die Phishing-E-Mail) mit fehlendem Schutz durch Verschlüsselung. Wenn die Daten verschlüsselt gewesen wären, dann wären die Daten für den Angreifer nutzlos gewesen. Die Patienten wären also wahrscheinlich geschützt gewesen. Es zeigt, dass Social-Engineering-Schulungen und Verschlüsselung Hand in Hand gehen. Sicherheit ist eine vielschichtige Sache und kann niemals nur aus einer Lösung bestehen.

Vielen Dank, dass Sie sich für uns Zeit genommen haben!

Verschlüsselung ganz einfach in Ihre IT-Infrastruktur integriert

Boxcryptor ist eine Verschlüsselungslösung, die speziell dafür entwickelt wurde, die Sicherheitsbedürfnisse Ihres Unternehmens zu erfüllen. Profitieren Sie von der Flexibilität von Cloud-Speicherlösungen, während Ihre Daten dank Verschlüsselung zuverlässig geschützt sind. Erfahren Sie mehr darüber, wie Sie Boxcryptor nahtlos in Ihr IT-System integrieren können.

Boxcryptor für Teams kennenlernen
Beitrag teilen