Versicherung ohne Absicherung

Sicherheit & Privatsphäre


cartoonPeter kam in die Arbeit und dachte sich: „Heute wird es wieder superlangweilig werden. Ich kann es nicht erwarten, bis meine Schicht zu Ende ist“. Genau das Gegenteil trat jedoch ein. Ein schreckliches Passwort namens „Policy2014“ sollte bald die Versicherungsagentur auf den Kopf stellen.

Peter hatte einige Jahre in einem 24/7-Sicherheitszentrum gearbeitet. Er war ein IT-Sicherheits-Spezialist, und er dachte, dass er schon alles gesehen hätte. Diese Illusion war erschüttert, als den Hörer abnahm: „Wir haben ein Problem. Wir verlieren Kunden!“, nahm er durch den Hörer entgegen. Er hörte weiter zu, aber wusste nicht, was ihm geschah. „Ich glaube, jemand ist in unser Vertriebssystem eingedrungen! Er ruft unsere Kunden an, deren Verträge bald ablaufen, kurz bevor wir eine Chance bekommen, dies selbst zu tun“, beschwerte sich der Anrufer. Die Situation erschien ebenso ernsthaft wie verwirrend, denn das System wurde vor kurzem aktualisiert, um die Sicherheit zu erhöhen.

Zuerst wurden die Mitarbeiter, die Angebote für die Vertriebsmitarbeiter erstellen, verdächtigt, die undichte Stelle zu sein. Es mussten sie sein. Sie hatten vollen Zugriff auf das System. Nachdem jedoch eine engmaschige Überwachung des Systems durchgeführt wurde, erwiesen sich diese Vermutungen als unbegründet. Schließlich wurden durch Zufall entdeckt: Jemand versuchte, sich in das interne Vertriebssystem über das Konto eines Mitarbeiters, der zurzeit Urlaub war, anzumelden. Die Situation erforderte es, schnell zu handeln.

Peter musste den genauen Zeitpunkt und Ort ermitteln, an dem das System gehackt wurde, mittels Zugang über die echten Konten der Vertriebsmitarbeiter. Dazu benutzte er ein Netzwerküberwachungssystem, dass er selbst entwickelt hatte. Leider brachte es nicht viel Licht in die Angelegenheit. Der Login-Standort veränderte sich jedes Mal, wenn er das System scannte. Darüber hinaus waren diese Stellen oft weit voneinander entfernt! Dann fing er an wie ein Detektiv zu denken. Er beschloss, einen Köder für den Hacker auszulegen.

Er schuf ein Fake-Profil für einen Kunden, dessen Vertrag fast abgelaufen war. Ein Vertriebsmitarbeiter sollte ihn laut Plan in genau fünf Tagen anrufen. Doch Peter gab seine eigene Telefonnummer in das Kundenprofil ein. Es dauerte nur drei Tage, bis der Hacker anbiss. Nach einem zweiminütigen Anruf wurde alles klar. Es stellte sich heraus, dass die geheimnisvollen Hacker  tatsächlich Mitarbeiter einer Vertriebsfirma waren, mit der Peters Unternehmen einen Vertrag über den Vertrieb von Versicherungsverträgen abgeschlossen hatte. Diese Vermutungen bestätigten sich, als entdeckt wurde, dass das Unternehmen vor kurzem einen Anstieg im Verkauf von Versicherungsprodukten über diese Vertriebsfirma verzeichnete. Die weitere Untersuchung kam  schließlich zu dem Ergebnis, dass ein Mitarbeiter der IT-Abteilung es den Hackern leicht gemacht hatte. Er gab zu, dass das temporäre Passwort für das Vertriebssystem immer das gleiche („Policy2014“) war, und dass kaum jemand es verändert hatte. Dies reichte offenbar, um an die Daten im Kundenkonto zu gelangen.

Schließlich wurde die Situation unter Kontrolle gebracht. Das Vertriebssystem wurde abgesichert und Vertriebsspezialisten wurden ordnungsgemäß in Sachen Datenschutz- und Passwort-Techniken geschult. Allerdings litt das Image des Unternehmens. Zwar wurde viel Mühe aufgewandt, um den Fall geheim zu halten, doch immer mehr Kunden waren besorgt über die Sicherheit ihrer persönlichen Daten. Trotzdem war es das Verkaufspersonal, das am meisten leiden musste, da die Provisionen schrumpften.

Das Neueste zum Thema Business-Sicherheit erfahren Sie im F-Secure Business Security Blog.

Schlagwörter

#Fail #Hack #Passwort

Diesen Beitrag bewerten

0 Bewertungen

0 Kommentare

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Könnte Ihnen ebenfalls gefallen