Social Engineering und Phishing

Sicherheitsrisiko Abwesenheitsnotiz

| Autor / Redakteur: Bernhard Steiner / Peter Schmitz

Hat ein Anwender seine Abwesenheitsnotiz aktiviert ist das oft der ideale Zeitpunkt für Cyberkriminelle, dies auszunutzen.
Hat ein Anwender seine Abwesenheitsnotiz aktiviert ist das oft der ideale Zeitpunkt für Cyberkriminelle, dies auszunutzen. (Bild: Pixabay / CC0)

Cyberangriffe auf Unternehmen richten sich vor allem auf deren Server-Infrastruktur, dicht gefolgt von den Endpunkten, also den Nutzern. Dabei werden die Angriffsszenarien auf letztere immer raffinierter – oder denken Sie bei einer einfachen Abwesenheitsnotiz im E-Mail-Programm an ein Einfallstor für Cyberkriminelle? Nein? Sollten Sie aber!

Ausgereifte und nicht selten erfolgreiche Social-Engineering-Angriffe werden heute nicht nur technisch fehlerfrei umgesetzt, sie spielen vor allem mit der Psyche des Menschen. Phishing-Mails beispielsweise sprechen die Person auf der Empfängerseite unmittelbar an und involvieren sie emotional. Die zentrale Motivation, auf einen Link in einer Mail von zweifelhafter Herkunft zu klicken ist schlichtweg Neugier, so die Ergebnisse einer Studie der Universität Nürnberg-Erlangen unter 1.700 Teilnehmern. Nicht zuletzt verändern Erfolge in der Aufklärung der Mitarbeiter zur Mechanik einer Mailattacke den Ansatz neuerer Angriffe. Diese bedienen sich anderer Motivations-Trigger, beispielsweise der Angst, Fehler zu machen, wobei durch eine knappe Zeitvorgabe künstlich Handlungsdruck erzeugt wird.

Eine unvorsichtig formulierte Mail eines Mitarbeiters benennt nicht nur den Namen seines Vertreters, sondern auch dessen Mailadresse. Der Kriminelle adressiert seinen Mailangriff an den Vertreter in etwa so: „Hallo Frau X, ich bin der Ansprechpartner der Debitorenbuchhaltung Ihres Kunden XYZ. Ich habe gerade mit Ihrem Kollegen Herrn Müller telefoniert. Er hat mich gebeten, bei Ihnen als seine Vertretung eine elektronische Geldüberweisung anzufordern, die noch heute erfolgen muss, um Zinsbelastungen auf einer offenen Rechnung zu vermeiden.“

Der Phishing-Bait ist gesetzt. Die Chance, dass Frau X ihn aus Angst, einen Fehler zu machen, schlucken wird, ist hoch – mit weitreichenden Konsequenzen. Kurz: Das typische, aufgabenorientierte Arbeiten in modernen Betrieben überlagert Denkmuster im Gehirn, die uns vor Gefahr warnen.

Gefahr durch unvorsichtige Mitarbeiter unterschätzt

Viele erfolgreiche Malware-Angriffe erhalten Zugang zu einem Unternehmensnetzwerk, weil ein autorisierter Benutzer etwas ausführt, das er nicht ausführen sollte. In diesem Fall öffnet er eine Phishing-Mail, klickt auf einen kompromittierten Link oder führt eine betrügerische Anweisung aus. Datenschützer haben diese Gefahr, die vom unbedachten Handeln firmeninterner Personen durchaus erkannt. Das zeigt eine Umfrage von Digital Guardian unter IT-Sicherheitsexperten. Demnach ist fast die Hälfte der Befragten der Ansicht, dass firmeninterne Bedrohungen, die derzeit am häufigsten übersehene Gefahr für die Sicherheit in Unternehmen sind. Außerdem waren 71 Prozent der Meinung, dass sich Unternehmen mehr Sorgen um die Gefahren durch Mitarbeiter machen sollten und glauben 92 Prozent, dass externe Bedrohungen insgesamt mehr Beachtung finden, als interne.

Aufwand und Nutzen

Insgesamt sind neun von zehn Befragten mit Entscheidungen der Unternehmensleitung in Bezug auf die gewählte Security-Strategie und vor allem mit den Investitionen in Sicherheit unzufrieden. Ihre Zweifel sind nicht von der Hand zu weisen, denn die Kosten, die durch Sicherheitsvorfälle durch firmeninterne Personen entstehen, sind nicht nur real, sondern auch substanziell: Eine Analyse des Ponemon Institute von 874 Angriffen nennt konkrete Zahlen:

  • Kosten pro Vorfall durch Fahrlässigkeit eines Auftrag- oder Arbeitnehmers: 206.933 US-Dollar
  • Durchschnittliche Kosten pro Insiderdelikt: 347.130 US-Dollar
  • Durchschnittliche Kosten pro Zertifikatsdiebstahl: 493.093 US-Dollar
  • Durchschnittliche Kosten aller Vorfälle durch Firmeninterne: 4,3 Millionen US-Dollar
  • Kosten pro Vorfall für Unternehmen mit 75.000 oder mehr Mitarbeitern: 7,8 Millionen US-Dollar

Die Studie fand heraus, dass Unternehmen mit obligatorischer Anwenderschulung im Durchschnitt finanzielle Schäden in Höhe von 4,0 Millionen US-Dollar verzeichnen mussten. Doch dies sind gut 300.000 US-Dollar weniger als die Schäden, die in Unternehmen ohne Schulung entstanden und sogar 3,8 Millionen US-Dollar weniger als die Kosten pro Vorfall bei großen Unternehmen.

Mehrschichtiger Ansatz aus Schulung und Technologie

Was ist zu tun? Mitarbeiter zu schulen, ist wichtig, aber kein Allheilmittel. Viele der massiven Malware-Angriffe der letzten Monate haben eine intensive Medienberichterstattung erfahren und öffentliche Aufmerksamkeit für das Thema Anwenderschulung erzeugt. Doch trotz allem werden firmeninterne Personen weiterhin erfolgreich zu Opfern von Cyber-Kriminellen.

Ziel ist vielmehr ein mehrschichtiger Schutz des Unternehmensnetzwerks, bei dem die Mitarbeiterschulung einen Baustein einer „Defense-in-Depth“-Strategie darstellt. Dies könnte beispielsweise über verpflichtende Workshops zum Thema Cyber-Sicherheit abgebildet werden. Denn sie halten das Wissen der Anwender über Sicherheitsbedrohungen auf dem neuesten Stand. Um den Erfolg solcher Schulungsmaßnahmen zu überprüfen, helfen zudem Test-Phishing-Mails des Datenschutz-Teams. Sie zeigen, ob und wie stark Mitarbeiter – trotz Schulungen – dem Wunsch, auf einen zweifelhaften Link zu klicken, nachgeben. Da diese Tests betriebsrechtlich nicht unkritisch sind, sollten die Geschäftsführung, Personalabteilung und, so vorhanden, auch der Betriebsrat involviert werden.

Drei Tipps zum Schutz der Endpunkte

Endpunkte sind ein Hauptziel für Hacker und ihre Benutzung durch Mitarbeiter ist sicherheitskritisch. Die folgenden drei Punkte helfen, Angriffsflächen klein zu halten:

1. Erinnern: Menschen vergessen selbst wichtige Dinge. Daher sollten Unternehmen ihren Mitarbeitern regelmäßig Tipps, Tricks und Best Practices zur Cyber-Sicherheit geben. Nutzen Sie aktuelle Sicherheitsvorfälle, um eine „Sonderausgabe“ Ihrer Schulungen zu initiieren. Achten Sie darauf, Links zu Ressourcen aus glaubwürdigen Quellen außerhalb Ihres Teams und Unternehmens einzufügen. Nutzen Sie zudem auch alle verfügbaren Anti-Spam-, Anti-Phishing- und Web-Kontroll-Tools in Ihrem Netzwerk, um die Sicherheitsmaßnahmen zu ergänzen.

2. Belohnen: Positive Anreize wirken bei der Ausbildung meist besser als negative. Belohnen Sie daher Mitarbeiter, die Test-Mails erkannt oder bei Prüfungen besonders gut abgeschnitten haben. Dies kann auch in Form echter Gewinnspiele mit Preisen erfolgen. Nutzen Sie dazu kurze Quizfragen, Tests zur Cyber-Sicherheit, die Teilnahme an Umfragen oder die Erkennung und Weiterleitung verdächtiger E-Mails an das Sicherheits-Team.

3. Unterstützen: Überzeugen Sie Ihre Kollegen, dass sie in Sachen Cybersecurity alle in einem Boot sitzen. So sollten sie sich auch gegenseitig helfen und unterstützen, damit neue oder weniger IT-affine Mitarbeiter nicht auf die Attacken von Cyber-Kriminellen hereinfallen. Dabei müssen vom Geschäftsführer bis zum Praktikanten alle eingeschlossen werden. Denn ein Vorfall kann ausreichen, um das gesamte Unternehmen zu beeinträchtigen, wie das aktuelle Beispiel Equifax zeigt.

Die Aufklärung von Mitarbeitern muss allerdings zudem durch umfassende Technologien ergänzt werden. Diese sollten in der Lage sein, Bedrohungen schnell und automatisch zu erkennen, zu isolieren, zu deaktivieren und zu beheben. Eine wirksame Defense-in-Depth-Strategie integriert dabei Schutzmechanismen aus dem Unified Endpoint Management mit Patch Management, IT Service Management und IT Asset Management. Eine solch ganzheitlicher Ansatz stellt sicher, dass Unternehmensanwendungen geschützt sind, unautorisierter Code verboten ist und wichtige Daten häufig gesichert werden.

Fazit

Unternehmenssicherheit startet am Endpunkt. Denn Anwender sind das schwächste Glied in der unternehmensweiten IT-Sicherheitsstrategie. Sie sind allerdings auch deren erste Verteidigungslinie. Wie effektiv die Belegschaft diese Aufgabe wahrnimmt, hängt davon ab, inwieweit das Unternehmen bereit ist, in die Weiterbildung im Bereich der Cybersicherheit zu investieren und diese Investitionen mit wirksamen Technologien zu unterstützt.

Über den Autor: Bernhard Steiner ist Director PreSales EMEA Central bei Ivanti.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45060368 / Kommunikation)