Ein Kommentar von Danielle Jablanski, OT cybersecurity strategist bei Nozomi Networks
Am 16.09. wurde bekannt, dass der Fahrdienstanbieter Uber Opfer eines Cyberangriffs geworden ist. Beim Angreifer handelt es sich um einen 18-jährigen, der sich die Zugangsdaten von Mitarbeitern mittels einfachster Social-Engineering Techniken aneignen konnte. Dieser Vorfall zeigt, dass selbst große, weltweit agierende Unternehmen nicht immer vorbildlich gegen häufig verwendete Angriffstechniken abgesichert sind.
Der Zeitpunkt ist aus politischer Sicht interessant, auch wenn die Motivation nach den geteilten Nachrichten in keinem Zusammenhang mit dem Prozess zu stehen scheint. Unabhängig vom Ausgang des Prozesses ist es alarmierend, dass sich eine Einzelperson mit Hilfe bekannter Social-Engineering-Techniken scheinbar so weitreichenden Zugang verschaffen konnte, dass sie auf ein internes Unternehmens-VPN zugreifen konnte. Dies ist ein typisches Lehrbeispiel, anhand dessen Sicherheitsexperten den Leuten erklären, welchen Schaden unautorisierter Zugriff wirklich anrichten kann. Dieses Bewusstsein ist wichtig, um bessere Sicherheitspraktiken zu fördern. Wir behandeln immer wieder solche hypothetischen Situationen oder berichten von Begebenheiten, die wir in der Praxis gesehen haben, aber wir sprechen uns auch für eine verantwortungsvolle Offenlegung aus. Es macht keinen guten Eindruck, wenn man öffentlich versucht, ein Unternehmen zu blamieren, indem man etwas Illegales tut.