Schwerpunkte

Phishing-Selbstversuch bei Gitlab

Grob unterschätzte Security-Gefahren

27. Mai 2020, 11:29 Uhr   |  Lars Bube | Kommentar(e)

Grob unterschätzte Security-Gefahren
© Maksim Samasiuk - Fotolia

Um die eigene Sicherheit zu überprüfen, hat der Softwareanbieter Gitlab hat seine Mitarbeiter absichtlich in eine selbst erstellte Phishing-Falle gelockt. Mit Erfolg: 20 Prozent der Opfer fielen darauf rein. Das sollte auch anderen zu denken geben.

Obwohl Sicherheitsexperten seit Jahren vor der stetig wachsenden Gefahr durch die immer ausgefeilter werdenden Phishing-Angriffe warnen, glauben die meisten Anwender noch immer, dass sie selbst niemals in solch eine vermeintlich durchsichtige Falle tappen würden. Ähnlich sehen das auch viele Unternehmen, die völlig unbekümmert davon ausgehen, dass gelegentliche Warnungen vor gefährlichen E-Mails ihre Mitarbeiter ausreichend auf die drohenden Gefahren vorbereiten. Eine äußerst naive Herangehensweise angesichts des Erfolgs von immer neuen Infektionswellen wie Emotet und zahlreichen Betrugsfällen mit millionenschwären Schäden. Das beweist nun auch eindrucksvoll ein Selbstversuch der

DevOps-Plattform

Gitlab.

Um die Phishing-Gefahr für das eigene Unternehmen realistisch einschätzen zu können, testete der Softwareanbieter, wie leicht sich die eigenen Mitarbeiter, immerhin zum Großteil IT-Profis, in eine Phishing-Falle locken lassen. Dazu registrierten die Sicherheitsverantwortlichen zunächst die Domain

»

gitlab.company

«

und erstellten dort eine authentisch wirkende Login-Seite. Anschließend versendeten sie von dort E-Mails an 50 Mitarbeiter mit der Aufforderung, sich dort für ein Update einzuloggen. Ein Vorgehen, das kaum Aufwand und Knowhow erfordert und typischen Angriffen von Cyberkriminellen entspricht und vor dem bei Gitlab sowohl in Schulungen als auch in einem internen Handbuch explizit gewarnt wurde.

Wie effizient die Methode selbst bei den versierten Gitlab-Mitarbeitern dennoch funktionierte, sollte allen Unternehmen, Behörden und sonstigen Einrichtungen eine eindringliche Warnung sein: 17 der 50 Empfänger klickten tatsächlich auf den Link zu der Fake-Seite, 10 von ihnen trugen dort tatsächlich ihre Login-Daten ein. Hingegen meldeten nur sechs der Empfänger die verdächtige E-Mail an ihre Sicherheitsabteilung.

Seite 1 von 2

1. Grob unterschätzte Security-Gefahren
2. Resilienz statt Schuldzuweisungen

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

CRN

IT-Security

Security-Software