Experiment – Warum Sie diesen USB-Stick besser nicht eingesteckt hätten
Würdet ihr euer Unternehmen in der heutigen Zeit mit Ransomware und ATPs als sicher und nicht angreifbar bezeichnen?
Wie die meisten regelmässigen Leser dieses Blogs wissen, liegt der Schwerpunkt unseres daily business zu 80% auf Security. Mit der Avanet haben wir von Anfang an auf die Sicherheitslösungen von Sophos gesetzt und diese Entscheidung bisher nie bereut. Es macht uns Spass, Kunden zu helfen, die sich für die Sicherheit ihres Unternehmens interessieren und ebenfalls von den Produkten von Sophos überzeugt sind.
Für eine Marketingkampagne im November 2016 haben wir uns einmal das komplette Gegenteil unserer Kunden als Ziel ausgesucht. Wir versuchten, CEOs von Security zu überzeugen, die sich noch nie Gedanken darüber gemacht haben oder überzeugt waren, dass die bestehende Lösung genügend Sicherheit bieten würde. Auch von unserer bisherigen Marketingmethode, dem Onlinemarketing, haben wir uns für einmal verabschiedet. Was dabei herausgekommen ist? Leider nichts Erfreuliches, weshalb wir uns entschieden haben, unsere Erfahrungen mit euch zu teilen. Unsere Marketingaktion hat uns in beängstigender Manier gezeigt, dass es einfach viel mehr Aufklärung im Bereich „Sicherheit im Unternehmen“ braucht und man selbst mit einfachsten Mitteln problemlos ins Netzwerk eines Unternehmens eindringen könnte. Die ganze Story gibt es nun hier zum Nachlesen.
Vorgeschichte
Wenn wir uns interessehalber mit potenziellen Kunden unterhalten und uns ganz dezent erkundigen, wie es denn mit dem Thema IT-Security ausschaut, hören wir eigentlich immer dieselbe Antwort:
„Wir sind ausreichend geschützt und uns kann so etwas ja so oder so nicht passieren. Unsere Firma ist viel zu klein und für einen Hacker viel zu unbedeutend.“
Fakt ist, dass es längst nicht mehr um den kleinen Hacker im Keller geht, der sich als Ziel nur grosse Firmen aussucht. Gerade die Geschichte mit den Verschlüsselungstrojanern zeigt deutlich, dass jeder, der über einen Computer, Internet und E-Mail verfügt, ein Ziel ist. Wenn wir dann auf die Gefahren von E-Mail-Anhängen hinweisen, sind sich die CEOs ganz sicher, dass ihre Mitarbeiter vorsichtig sind und sicher nichts Unüberlegtes tun würden. Was soll man dazu noch sagen, ausser:“Dürfen wir dies einmal testen?“ Es liegt auf der Hand, dass dazu niemand sein Einverständnis geben möchte und so haben wir uns im Hinblick auf unsere neue Marketingkampagne folgende Frage gestellt:
„Wie überzeugt man einen potenziellen Kunden von IT-Security, der sich noch nie Gedanken dazu gemacht hat oder der Meinung ist, dass er ausreichend geschützt ist?“
Unsere Marketingidee und wie wir sie umgesetzt haben
Bei der Planung unserer Kampagne war uns eines sehr wichtig. Wir wollten „die Guten“ sein und unsere Aktion sollte helfen, mehr auf die heutigen Gefahren aufmerksam zu machen. Um möglichst effektiv zu sein, brauchte es auch eine Portion Angstschweiss, damit der Gedanke, „ich bin ja sicher und mir kann nichts passieren“, ausgetrieben werden kann.
Wir liessen uns also 100 USB-Sticks liefern, auf die wir je eine HTML-Datei mit folgendem Inhalt darauf kopiert haben.
An dieser Stelle möchte ich noch einmal betonen, dass sich auf dem Stick wirklich nur eine harmlose HTML-Datei befunden hat. Wie gesagt, war es nie unsere Absicht, einem Unternehmen zu schaden. Den USB-Stick steckten wir dann in einen Briefumschlag, einzig mit einem Post-it Zettel mit der Aufschrift:
„Wie besprochen die Projektdaten. Gruss + Danke“
Der Brief war einzig mit der Adresse des Empfängers beschriftet. Auf den Absender haben wir bewusst verzichtet, um die Neugier im Menschen zu steigern und die Wahrscheinlichkeit, dass der USB-Stick eingesteckt wird, zu erhöhen.
Jetzt habe ich mal drei Fragen an euch:
- Was hättet ihr getan, wenn ein solcher Brief in eurem Briefkasten gelandet wäre?
- Wie hätten sich eure Mitarbeiter verhalten?
- Was denkt ihr, wie viele Male wurde der USB-Stick eingesteckt?
Wütende Leute, Drohungen und Polizei
Uns war durchaus bewusst, dass diese Aktion recht dreist war. Würden die Leute unsere „guten Absichten“ verstehen und dankbar sein, dass sie bei diesem Mal mit einem blauen Auge davongekommen sind?
Die Antwort war ganz klar „NEIN“. Das stellte sich drei Tage später heraus, als wir die Leute anriefen und uns nach dem USB-Stick erkundigten. Ich würde sagen, dass von 80 Personen, die erreicht wurden, ungefähr 5 die Aktion verstanden hatten und sogar ein Lob für eine originelle Marketingaktion aussprachen.
Der Rest der Leute war wütend, sahen uns als den Feind an und drohten mit rechtlichen Schritten. Zwei unserer USB-Sticks landeten sogar bei der Polizei.
65% Einsteckquote
Lassen wir mal die Emotionen beiseite und konzentrieren uns auf die Auswirkung unserer Kampagne. Das Erschreckende war, dass 65% aller Personen, die per Telefon erreicht werden konnten, den USB-Stick im Unternehmen eingesteckt haben! Geht man davon aus, dass nicht jeder zugegeben hat, den Stick doch eingesteckt zu haben, wären es im Durchschnitt sogar noch mehr.
Das bedeutet also, dass mindestens 52 Personen die Sicherheit in ihrem Unternehmen gefährdet haben, indem sie einen Stick einsteckten, ohne zu wissen, von wem er ist und welche Dateien sich darauf befinden.
Fazit
Obwohl wir die wütenden Reaktionen dieser Leute natürlich nachvollziehen können, sind wir der Meinung, dass an dieser Stelle das eigene Ego keinen Platz hat. Man sollte erkennen, dass man in dieser Situation über einen blöden, einfachen USB-Stick angreifbar und mit einer Methode von 1990 erwischt wurde. Bei einem solchen Angriff hätte selbst die beste Firewall der Welt nichts ausrichten können, denn der Stick wurde ja quasi an der Sicherheitskontrolle vorbeigeschmuggelt. Der Mensch war hier im Endeffekt wohl die grösste Gefahr, denn ohne ihn wäre der USB-Stick nie ins Netzwerk gelangt. Das Personal also ausreichend zu schulen und auf solche Gefahren hinzuweisen, ist ein wichtiger Bestandteil eurer IT-Sicherheit.
Unsere Marketingaktion hat gezeigt, dass in einem Unternehmen auf jedem Client ein Endpoint-Schutz installiert sein muss. Nur ein guter Endpoint-Schutz, der nach Verhalten agiert und nicht auf Signaturen setzt, ist in der heutigen Zeit das Mass aller Dinge. Wer ein solches Produkt bei Sophos sucht, landet hier früher oder später bei Sophos Central. Wir empfehlen hier als Basisausstattung immer das Dreamteam Sophos Central Endpoint + Intercept X. Wenn ihr unserer Empfehlung folgen möchtet, könnt ihr euch gleich Sophos Central Intercept X Advanced kaufen, wo beide Produkte enthalten sind.
Auch wenn wir durch diese Kampagne keine neuen Aufträge gewonnen haben, war sie aus unserer Sicht trotzdem nicht völlig umsonst. Wir sind überzeugt, dass durch diese Aktion ein paar Menschen beim nächsten Mal vorsichtiger agieren und zögern, bevor sie einen USB-Stick in ihren Computer einstecken.
