Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Grob unterschätzte Security-Gefahren

Phishing-Selbstversuch bei Gitlab

Grob unterschätzte Security-Gefahren

27. Mai 2020, 11:29 Uhr | Lars Bube
© Maksim Samasiuk - Fotolia

Um die eigene Sicherheit zu überprüfen, hat der Softwareanbieter Gitlab hat seine Mitarbeiter absichtlich in eine selbst erstellte Phishing-Falle gelockt. Mit Erfolg: 20 Prozent der Opfer fielen darauf rein. Das sollte auch anderen zu denken geben.

Obwohl Sicherheitsexperten seit Jahren vor der stetig wachsenden Gefahr durch die immer ausgefeilter werdenden Phishing-Angriffe warnen, glauben die meisten Anwender noch immer, dass sie selbst niemals in solch eine vermeintlich durchsichtige Falle tappen würden. Ähnlich sehen das auch viele Unternehmen, die völlig unbekümmert davon ausgehen, dass gelegentliche Warnungen vor gefährlichen E-Mails ihre Mitarbeiter ausreichend auf die drohenden Gefahren vorbereiten. Eine äußerst naive Herangehensweise angesichts des Erfolgs von immer neuen Infektionswellen wie Emotet und zahlreichen Betrugsfällen mit millionenschwären Schäden. Das beweist nun auch eindrucksvoll ein Selbstversuch der DevOps-Plattform Gitlab.

Um die Phishing-Gefahr für das eigene Unternehmen realistisch einschätzen zu können, testete der Softwareanbieter, wie leicht sich die eigenen Mitarbeiter, immerhin zum Großteil IT-Profis, in eine Phishing-Falle locken lassen. Dazu registrierten die Sicherheitsverantwortlichen zunächst die Domain »gitlab.company« und erstellten dort eine authentisch wirkende Login-Seite. Anschließend versendeten sie von dort E-Mails an 50 Mitarbeiter mit der Aufforderung, sich dort für ein Update einzuloggen. Ein Vorgehen, das kaum Aufwand und Knowhow erfordert und typischen Angriffen von Cyberkriminellen entspricht und vor dem bei Gitlab sowohl in Schulungen als auch in einem internen Handbuch explizit gewarnt wurde.

Wie effizient die Methode selbst bei den versierten Gitlab-Mitarbeitern dennoch funktionierte, sollte allen Unternehmen, Behörden und sonstigen Einrichtungen eine eindringliche Warnung sein: 17 der 50 Empfänger klickten tatsächlich auf den Link zu der Fake-Seite, 10 von ihnen trugen dort tatsächlich ihre Login-Daten ein. Hingegen meldeten nur sechs der Empfänger die verdächtige E-Mail an ihre Sicherheitsabteilung.

Anbieter zum Thema

Securepoint GmbH
G DATA CyberDefense AG
ICP Deutschland GmbH
WatchGuard Technologies
Zyxel Networks A/S
Matchmaker+
zu Matchmaker+
  1. Grob unterschätzte Security-Gefahren
  2. Resilienz statt Schuldzuweisungen

Lesen Sie mehr zum Thema

INFRA-ANTRIEBE Hans Nelk GmbH Betriebs-Sicherheit
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu INFRA-ANTRIEBE Hans Nelk GmbH

Smartphones dominieren das Web

Das Internet ist mobil

Gehäuft unseriöse E-Mails mit IHK-Logo

IHK warnt vor Datendiebstahl

Tücken der vernetzten Gebäudetechnik

(Nicht so) Smarte Lichtsteuerung sorgt für…

Kuriosum von der CES

Kabelloser Fernseher mit Selbstzerstörungsfunktion

Sinkende Ransomware-Umsätze

Erpressungsopfer drehen Hackern den Geldhahn ab

Weitere Artikel zu Betriebs-Sicherheit

Von Zero Trust bis Netzwerksegmentierung

Vier Sicherheitsstrategien für OT-Umgebungen

Schwachstellen wie Sand am Meer

Das sind die gefährlichsten ITK-Geräteklassen

Evolution der Cyberkriminalität

KI und ML als Katalysatoren für digitalen Betrug

E-Commerce kämft zunehmend mit Betrug

Lösungen gegen digitalen Ladendiebstahl gesucht

Aktualisierte Hologramme für Patronen

Brother verstärkt Schutz gegen Produktfälschungen

Matchmaker+
Panduit

Panduit

dtm Datentechnik Moll GmbH

dtm Datentechnik Moll GmbH
Rittal GmbH & Co. KG

Rittal GmbH & Co. KG
GERMAN DATACENTER ASSOCIATION e.V.

GERMAN DATACENTER ASSOCIATION e.V.
Vodia Networks GmbH

Vodia Networks GmbH
LINDY-Elektronik GmbH

LINDY-Elektronik GmbH