:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Isolation soll Phishing-Attacken abwehren Neue Methoden gegen Phishing-Angriffe
Täuschend echt gestaltete Phishing E-Mails sind für Cyberkriminelle kaum mehr ein Problem. Gefälschte Nachrichten von Banken, Mobilfunkunternehmen und Onlinehändler sind die bevorzugten Vehikel für Keylogger-Malware und Ransomware. Immer öfter setzen die Cyber-Gangster aber auch auf vermeintlich echte E-Mails von Behörden wie BSI oder Finanzamt.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Ein nicht enden wollender Strom von mal mehr, mal weniger gut gemachten Aufforderungen, seine persönlichen Daten unter einem mehr oder weniger glaubhaften Vorwand einem vermeintlich integeren Empfänger zur Verfügung zu stellen, legt die Vermutung nahe, dass diese Methode oft genug zum Erfolg führt. Selbst wenn die E-Mail augenscheinlich vom Finanzamt kommt. „…aber in dieser Welt kann nichts als gewiss bezeichnet werden, außer dem Tod und den Steuern.“ Diese nach wie vor glaubhafte Erkenntnis wird Benjamin Franklin zugeschrieben. Aktualisiert und angepasst auf die gegenwärtige Situation in der IT-Security kann dieser Aufzählung ohne Zweifel auch das Phishing hinzugefügt werden.
Ein Blick in die aktuellen Newsletter des Bundesamtes für Sicherheit in der Informationstechnik (BSI) illustriert, wie sich die Landschaft derzeit darstellt. Da geben sich die Cyber-Kriminellen aktuell etwa als das Bundesamt für Steuern aus und versprechen eine Steuerrückerstattung. Eine andere Spam-Welle setzt auf gefälschte O2-Rechnungen. Die E-Mail beinhaltet eine namentliche Anrede sowie eine Kundennummer und fordert den Ausgleich eines Rechnungsbetrages. Die Rechnung kann vorgeblich über einen Download heruntergeladen werden, der allerdings die Ransomware Cryptolocker installiert. Auch die Deutsche Bank warnt derzeit vor Phishing-Mails und vor der Herausgabe von Zugangsdaten.
Die Masche wird vollends zur Perfidität getrieben, wenn Kriminelle sich hinter der Maske einer Behörde verstecken, die sich mit dem Kampf gegen Cyber-Kriminalität beschäftigt. So sind aktuell Spam-Mails im Umlauf, die im Namen des „Nationalen Cyber-Abwehrzentrums“ bösartige Anhänge distribuieren. Ob es der Inbegriff von Zynismus ist, wenn Hacker selbst die Identität des BSI für ihre Zwecke missbrauchen, oder dies gar einen Funken von Ironie enthält, obliegt dem Auge des Betrachters. Tatsache ist, dass das Bundesamt für Sicherheit in der Informationstechnik vor E-Mails mit möglicherweise schädlichen Anhängen warnt, die unter dem Logo der Institution reisen und dazu animieren, eine Anleitung zur Installation eines Anti-Virenprogrammes zu öffnen.
Bezeichnend für die gesamte Landschaft des Internet-basierten Betruges sind die sowohl im privaten als auch im geschäftlichen Bereich inadäquaten Schutzmaßnahmen, die systematische Unterschätzung des tatsächlichen Schadens sowie die offensichtliche Unmöglichkeit, dem Phänomen mit konventionellen Mitteln der Strafverfolgung zu begegnen. Interessant in diesem Zusammenhang sind etwa die Lagebilder des BKA zum Thema Cyber-Crime oder auch das Crime-Threat-Assessment (IOCTA) von Europol.
Tatsächlich liegt eine Schwierigkeit allein darin, den Umfang des Treibens statistisch zu erfassen. Die schiere Zahl der Empfänger von Betrugsversuchen – sprich Phishing-Mails – ist kaum festzustellen, obschon doch jede einzelne als Straftat zu bewerten wäre. Weil die Mehrzahl der erfahrenen Nutzer entsprechende Versuche etwa durch selbst-entlarvende Fehler in der sprachlichen oder grafischen Gestaltung erkennt und die E-Mails einfach löscht, kommt es gar nicht erst zu einer Anzeige oder Meldung bei entsprechenden Institutionen. Darüber hinaus legen Untersuchungen nahe, dass selbst im Falle eines erfolgreichen Betruges die Opfer kaum geneigt sind, diesen auch anzuzeigen – sei es aus firmenpolitischen Gründen, Scham oder dem Bewusstsein, dass Hilfe sowieso kaum zu erlangen ist. Eine Studie des Deutschen Institutes für Wirtschaftsforschung (DIW) (pdf) geht für das Jahr 2015 von 14,7 Millionen Internetstraftaten in Deutschland aus, wobei Phishing den Anteil von 63 Prozent ausmacht. Das Institut kommt zu dem Schluss, dass Privatpersonen pro Jahr ein Schaden von insgesamt 3,4 Milliarden Euro entsteht. Offiziell angezeigt wurden im Jahr 2013 lediglich 64.000 Online-Straftaten.
Recht aufschlussreich ist der Vergleich der Phishing-Attacken mit dem sogenannten Enkel-Trick, bei dem ältere Menschen telefonisch dazu aufgefordert werden, größere Geldsummen an vermeintliche Freunde eines Familienangehörigen in schwieriger Lage zu übergeben. Auch wenn kaum jemand, der sich bei Verstand wähnt, zugeben würde, auf diesen Trick hereinfallen zu können, so geht doch die Schätzung davon aus, dass mit dieser Masche Schäden in Milliardenhöhe verursacht werden. Angetrieben durch den Erfolg, haben die dunklen Communities die zweite Stufe der Umtriebe gezündet: Mit ausgefeilteren Methoden des Social-Engineering attackieren sie nun die Mitarbeiter in Unternehmen, um deutlich größere Summe zu ergattern. So geben sie sich etwa als Vorgesetzte aus internationalen Abteilungen aus, um Überweisungen oder die Herausgabe von Daten zu verlangen. Aktuell warnt das Bundeskriminalamt vor dieser Methode, auch als CEO-Fraud bekannt. Eben diese Tendenz ist auch beim Internet-Betrug zu registrieren. So richtet sich etwa eine aktuelle Phishing-Masche an Vielflieger, denen ein Flugticket vorgegaukelt wird, wobei im Vorfeld die Art der Kommunikation des Unternehmens sowie mögliche plausible Flugziele aufwändig eruiert wurden. Der Klick auf das entsprechende pdf installiert wiederum eine Malware auf dem Firmennetzwerk.
Unternehmen neigen aus vielfältigen Gründen dazu, diese Art von Angriffen nicht zu publizieren, offenbaren sie doch im günstigsten Falle die Leichtfertigkeit einzelner Mitarbeiter, im schlimmsten Falle jedoch die Unfähigkeit des Unternehmens, ihre Kunden vor Betrugsversuchen bei der Abwicklung von Internetgeschäften zu schützen, die oftmals die Basis des Geschäftsmodells bilden. Tatsache ist, dass Phishing-Methoden offensichtlich weltweit Schäden in kaum schätzbarer Höhe verursachen, sowohl bei Privatpersonen als auch in Unternehmen, und dass die Dunkelziffer kaum hoch genug angesetzt werden kann. Aber gibt es eine Lösung des Problems?
Aufschlussreich genug, dass der Weg zur Polizei nur von den wenigsten Betroffenen eingeschlagen wird, fühlen sie sich doch am Ende beschämt darüber, hereingefallen zu sein (dies gilt noch um einiges mehr beim Betrug mittels Social-Media oder Dating-Plattformen). Von einschlägigen Institutionen kommen immer die gleichen Ratschläge, die sowohl für Unternehmen wie auch für Privatpersonen gelten: An erster Stelle steht die Aktualisierung der eingesetzten Software wie Browser oder Anwendungsprogramme auf den neuesten Stand, um Sicherheitslücken zu schließen. Und zum zweiten wird geraten, generelle Sicherheitsregeln beim Surfen oder der Kommunikation via E-Mail etc zu beachten. Die Erfahrung der letzten Jahre zeigt, dass dies nicht der Weisheit letzter Schluss sein kann.
Meist liegt das Problem in der Vertrauensseligkeit der Nutzer, die aus Unerfahrenheit oder unter Stress entsprechende Aufforderungen nicht hinreichend hinterfragen. Es zeigt sich, dass verfügbare E-Mail-Security-Software zwar einige der Phishing-Attacken erkennen kann, aber –basierend auf den eigenen Statistiken der Hersteller – kaum in der Lage ist, Schutz vor ausgereiften Angriffen zu bieten. Und es bedarf lediglich einer einzigen erfolgreichen Attacke, um Zugang zu persönlichen Steuer-, Finanz- oder Personaldaten zu erlangen, um die persönliche Reputation einzelner Menschen oder ganzer Geschäftsaktivitäten zu zerstören. Der derzeit praktischste technische Weg, alle E-Mail basierten Phishing-Attacken zu stoppen bevor sie Schaden anrichten, führt meiner Meinung nach über die Isolationstechnologie.
Das Isolieren jedweden Web-Zugangs stellt sicher, dass alle Angriffe auf Basis des E-Mail- oder Spear-Phishing, die vom Anwender den Klick auf einen infizierten Link erfordern, verhindert werden können. Und zwar deswegen, weil bei jedem Klick auf einen Link oder ein Attachment der Web-Zugang nicht direkt erfolgt. Die gewählte Web-Seite wird innerhalb einer isolierten Plattform ausgeführt und lediglich eine sichere, saubere und Malware-freie Ansicht der Seite wird an den Anwender weitergeleitet. Einige Isolationsplattformen können den Diebstahl von persönlichen Daten auch dadurch ausschließen, dass sie Websites lediglich einen Lesestatus zuweisen, ohne dass der Anwender den eigenen Namen, Passwörter oder andere sensible Informationen in ein Formular eintragen kann.
Der Vorzug der Isolation gegenüber herkömmlichen Methoden der Malware-Erkennung etwa durch Anti-Virus-Programme liegt darin, dass sie nicht erst greift, wenn die erste Welle eines neuen Angriffsmusters bereits gelaufen ist. Vielmehr verhindert der Einsatz einer entsprechenden Lösung jedwede direkte Kommunikation mit infizierten Downloads oder Webseiten und schützt entsprechend nicht nur vor sogenannten Zero-Day-Attacken, also dem erstmaligen Auftreten neuer Bedrohungen, sondern auch vor unbeabsichtigten oder unbedarften Klicks, auch wenn der Absender der E-Mail vermeintlich das Finanzamt oder der Steuerberater ist.
Über den Autor: Alexander Bünning ist Regional Manager DACH bei Menlo Security.
(ID:44790038)
:quality(80)/images.vogel.de/vogelonline/bdb/1881800/1881881/original.jpg "Für einen erfolgreichen Vishing-Angriff ist der Faktor Überraschung von hoher Bedeutung. (Bits and Splits - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1940900/1940917/original.jpg "Beim Eisfischen wird ein Loch in ein gefrorenes Gewässer geschnitten, um Fische zu fangen, beim Ice-Phishing stehlen Cyberkriminelle durch Social Engineering Blockchain-Token. (Leonid Ikan - stock.adobe.com)")