:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/4e/f54ebc11db3e6d8e876a96e96fef53c3/0111552259.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")
:quality(80)/p7i.vogel.de/wcms/c6/2a/c62ad7d4c50022b64fe4a5178545098f/0111500770.jpeg "Mit moderner Datensicherheit können Unternehmen auch nach einem Ransomware-Angriff die Geschäftskontinuität aufrechterhalten. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/76/e1/76e1334fe3b40ca0d4148a8eb166b4b0/0111183876.jpeg "Geeignet für geheime Botschaften mit 2x 40 Gbit/s IPsec und <20 μs Latenz: Die VPN-Appliance von der Genua GmbH (Bild: frei lizenziert: Tayeb MEZAHDIA )")
:quality(80)/p7i.vogel.de/wcms/ac/90/ac909e6e2800db299da86bd1add1f12b/0111445793.jpeg "Sophos ereweitert sein internationales Managed Detection and Response (MDR) Team um ein zusätzliches Team in Deutschland. (Bild: Sven - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/c3/46c3dd30da0f71d1dcbaaf2d8a8de7db/0111445470.jpeg "DevOps-Teams benötigen eine gewisse Flexibilität, um unabhängig von der jeweiligen Umgebung den passenden Schutz bereitzustellen. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>akitada31</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/8d/ec8d48043c61c55c45e1184eb47dc4ee/0111445864.jpeg "Lookout kündigt Mobile Endpoint Security für MSSPs an. (Bild: Wesley JvR/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8f/f6/8ff67f37275779fb9e5b52248146b4d0/0111493119.jpeg "Backups sind ein hoch komplexes Thema – angefangen bei der Auswahl der richtigen Backup-Lösung, über die pasende Methode, bis hin zur Planung und zum Test der Wiederhestellung der gesicherten Daten gibt es viel zu beachten. (Bild: momius - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/7a/297afbfbd472bbd68b909504b340d8d3/0110983938.jpeg "Ein Großteil der Verbraucher bevorzugt den Fingerabdruck-Scan zur Identifizierung. (Bild: Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Vishing-Angriffe setzen auf Überraschungsmoment Wenn der CEO persönlich anruft
Im Zuge der Pandemie hat sich vieles verändert – auch das Cyberrisiko. Telefonbasiertes Phishing, sogenanntes Vishing (Voice-Phishing) ist im Homeoffice besonders gefährlich. Auch nach der Pandemie ist keine Entwarnung in Sicht: Künstliche Intelligenz (KI) verschärft die Vishing-Bedrohungslage weiter. Organisationen sollten jetzt Maßnahmen ergreifen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/61/c3/61c340dc60368/sosafe-logo-black.jpeg "sosafe-logo-black (SoSafe)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
Die Coronakrise hat die Arbeitswelt verändert und so ist für viele Arbeitnehmerinnen und Arbeitnehmer das Homeoffice zu einem Teil des “New Normal” geworden. Gleichzeitig haben allerdings auch Cyberangriffe auf Mitarbeitende, die remote arbeiten, drastisch zugenommen. Denn wie die Studie Human Risk Review 2021 von SoSafe zeigt, haben Cyberkriminelle die “Sicherheitslücke Homeoffice” erkannt und ihr Angriffsvolumen in der Coronakrise deutlich hochgefahren. Die Pandemie lieferte nicht nur neue Narrative für Phishing-Angriffe, sondern führte auch dazu, dass viele Mitarbeitende gestresster und unsicherer sind. Das macht fehleranfälliger, besonders für Cyberattacken. Im Homeoffice sind die Mitarbeitenden außerdem auf sich gestellt und können nicht einfach Vorgesetzte oder Kolleginnen und Kollegen hinzuziehen, um einen Anruf zu verifizieren – einfaches Spiel für die Angreifer.
Aber nicht nur die Zahl der Phishing-Versuche per E-Mail ist im Zuge dessen deutlich angestiegen, sondern auch die per Telefon. Beim sogenannten Voice-Phishing versuchen Cyberkriminelle ihre Opfer am Telefon so zu manipulieren, dass sie persönliche Informationen preisgeben oder andere schadhafte Handlungen durchführen (z. B. Malware herunterladen). Vishing gehört damit zum Social Engineering, bei dem menschliche Emotionen wie Angst oder Neugier gezielt ausgenutzt werden.
Vishing-Angriffe setzen auf Überraschungsmoment
Für einen erfolgreichen Angriff ist der Faktor Überraschung von hoher Bedeutung. Die oftmals automatisierten Anrufe erfolgen ohne Ankündigung und verlangen von den Opfern schnell zu handeln. Eine beliebte Taktik ist die IT-Support-Masche, zu der unter anderem der „Microsoft-Technical-Support-Scam“ gehört. Die Kriminellen geben sich hierbei als Mitarbeitende von Microsoft aus und behaupten, eine Sicherheitslücke oder Malware auf dem Gerät des Opfers entdeckt zu haben. Unwissenheit und Angst führen dann dazu, dass sich die Opfer von den Kriminellen täuschen lassen. Sie sind für die vermeintliche Hilfe dankbar und installieren unter Anweisung der Kriminellen beispielsweise ein Programm zur „Fehlerbehebung“, welches aber einen Fernzugriff auf ihr Gerät erlaubt. Hierdurch können die Kriminellen heimlich weitere Malware installieren, sensible Daten ausspähen oder im Nachgang Lösegeld vom Opfer erpressen.
Wenn der CEO persönlich anruft: Spear-Vishing
Die IT-Support-Masche funktioniert bei einer breiten und unbekannten Personengruppe, da viele Menschen entsprechende Software nutzen. Es gibt allerdings auch Spear-Vishing-Anrufe, die gezielt auf bestimmte Personen gerichtet sind. Ein Beispiel für Spear-Vishing ist der CEO-Fraud, bei dem sich die Anrufer als CEO oder Führungskraft ausgeben, um die Mitarbeitenden zu schädlichen Handlungen zu bewegen (z. B. Überweisungen an angebliche Geschäftspartner oder Lieferanten). Damit der Vishing-Versuch möglichst realistisch wirkt, sammeln die Angreifenden im Vorfeld zahlreiche Informationen über ihr Opfer. Dabei können Social-Media-Plattformen wie LinkedIn oder Xing Details liefern, die dem Vishing-Angriff eine hohe Glaubwürdigkeit verleihen. Angriffsziele müssen nicht unbedingt hochrangige Personen wie Manager oder Politiker sein. Für die Kriminellen sind alle Mitarbeiterinnen und Mitarbeiter interessant, da potentiell jeder als unauffälliger Türöffner in die Unternehmensnetzwerke fungieren kann.
Vishing kann die Zwei-Faktor-Authentifizierung aushebeln
Spear-Vishing kann sogar eine mehrstufige Sicherheitsauthentifizierung umgehen. Durch einen überzeugenden Anruf können Cyberkriminelle auch den Schutz einer Zwei-Faktor-Authentifizierung (2FA) aushebeln. Bei einer 2FA benötigen Cyberkriminelle nicht nur die Zugangsdaten des Opfers, sondern auch einen Code, der meist als SMS auf das Smartphone gesendet wird. Die Kriminellen rufen deshalb unter einem Vorwand beim Opfer an und verlangen, dass der Code in der SMS genannt wird. Ein berühmtes Beispiel ist der große Twitter-Hack vergangenes Jahr. Die Kriminellen riefen hierbei Twitter-Mitarbeitende an und gaben sich als Kollegen der IT-Abteilung aus, um die 2FA auszuhebeln und Zugriff auf die Twitter-Konten zahlreicher prominenter Personen zu erhalten. Von den Twitter Accounts von Tesla-Chef Elon Musk, Ex-US-Präsident Barack Obama und vielen weiteren Prominenten wurden dann Phishing-Nachrichten an deren Follower versendet. Ein Spear-Vishing-Angriff mit dramatischen Folgen.
Die Vishing-Bedrohungslage verschärft sich durch KI
Eine Entwarnung ist mit Blick auf Vishing-Angriffe nicht angebracht. Ob im Homeoffice oder am Arbeitsplatz im Unternehmen: Vishing stellt eine zunehmende Bedrohung dar. Der wesentliche Grund dafür liegt in der Nutzung von Technologien aus dem Bereich der Künstlichen Intelligenz. Ein Beispiel dafür, dass Cyberkriminelle ihre Angriffe laufend weiterentwickeln, ist das Voice Cloning. Diese Deepfake-Technologie hat sich in den letzten Jahren rasant weiterentwickelt und es ermöglicht, die Stimmen realer Personen zu imitieren. Solche Audio-Deepfakes werden damit noch gefährlicher, weil Mitarbeitende kaum eine Chance haben, den Anruf als Angriff zu identifizieren. Selbst wenn der Chef also im selben Büro sitzt: Wenn die Stimme täuschend echt klingt, sind Vishing-Anrufe sehr schwer zu erkennen.
Gezieltes Awareness-Training schützt vor Cyberangriffen
Mit einem regelmäßigem Cyber-Security-Awareness-Training können Organisationen ihre Mitarbeitenden allerdings für den Umgang mit den genannten Gefahren sensibilisieren. Dem Überraschungsmoment und der Verunsicherung, die bei Vishing eine große Rolle spielen, können Organisationen so präventiv entgegenwirken. Wissen Arbeitnehmerinnen und Arbeitnehmer um die Gefahr potenzieller Attacken, können sie im Arbeitsalltag umsichtiger handeln. Zur Wissensvermittlung sind digitale Schulungen wie E-Learnings geeignet, die zum Beispiel echte Fälle beschreiben. Um das neu erlernte Wissen in der Praxis zu festigen und nachhaltig ein Bewusstsein für Cyberrisken aufzubauen, ist zusätzlich die Durchführung von Phishing- und Vishing-Simulationen sinnvoll. Durch die Konfrontation mit realistischen Angriffen lernen die Mitarbeitenden, woran sie solche Angriffe erkennen und sich so besser schützen können.
Über den Autor: Dr. Niklas Hellemann ist Diplom-Psychologe, langjähriger Unternehmensberater und Geschäftsführer der Firma SoSafe Cyber Security Awareness. Als Experte für Social Engineering und Security Awareness beschäftigt er sich mit innovativen Methoden der Mitarbeitersensibilisierung – und unterstützt Kunden wie Vattenfall, Rossmann oder auch Avira dabei, ihren „Human Layer“ abzusichern.
(ID:47700581)
:quality(80)/images.vogel.de/vogelonline/bdb/1940900/1940917/original.jpg "Beim Eisfischen wird ein Loch in ein gefrorenes Gewässer geschnitten, um Fische zu fangen, beim Ice-Phishing stehlen Cyberkriminelle durch Social Engineering Blockchain-Token. (Leonid Ikan - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1947700/1947715/original.jpg "Gamification ist weitaus mehr als eine Spielerei. Richtig eingesetzt absolvieren die Beschäftigten gerne Schulungen und senken spielerisch und effektiv ihr Cyberrisiko. (dusanpetkovic1 - adobe.stock.com)")