:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Phishing-Angriffe – Teil 1 Wie der Mensch zur IT-Schwachstelle wird
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/61/c3/61c340dc60368/sosafe-logo-black.jpeg "sosafe-logo-black (SoSafe)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Die Investitionen in Cybersicherheit steigen bei Unternehmen in den letzten Jahren deutlich an. Dennoch steigt auch die Anzahl der Angriffe auf Organisationen. Der menschliche Faktor in der IT stellt eine nicht zu vernachlässigende Gefahrenquelle dar.
Die Digitalisierung ist in allen Unternehmen, selbstverständlich auch in Deutschland, angekommen. Eine Studie von Cisco weist für die Bundesrepublik gar keine so schlechte Platzierung aus, immerhin auf Platz sechs konnte sie sich verbessern, nur die USA, die Schweiz, Singapur, die Niederlande und Großbritannien sind noch besser. Notwendig macht die digitale Welt die sich immer schneller drehende digitale Globalisierung. Geschäftsbeziehungen entstehen nun für jedes noch so kleine Unternehmen über Ländergrenzen hinweg praktisch über Nacht. Damit einher geht ein zunehmender Wettbewerbsdruck. Die Konkurrenz steigt, vor allem für erfolgreiche Geschäftsmodelle. Der Kosten-Nutzen-Faktor spielte nie eine so gewaltige Rolle wie in der aktuellen Zeit. Die Kommunikation erfolgt via E-Mail, teilweise Social Media. Telefonate werden über den Computer abgewickelt und alle wichtigen Informationen in Datenpaketen, selbstverständlich auf Servern gespeichert. Doch auch dieses Unternehmensnetzwerk wurde zu klein: Ortsunabhängigkeit ist nun unabdingbar. Laut einer im Jahr 2019 veröffentlichten Studie zum Thema „Digitalisierung der Wirtschaft“, geben 65 Prozent der befragten Unternehmen ab 20 Mitarbeitern aus allen Branchen an, dass IT- und Internet-Organisationen in ihren Markt drängen.
:quality(80)/images.vogel.de/vogelonline/bdb/1525900/1525986/original.jpg "Die von Cyberkriminellen zum Phishing genutzten Psychotricks sind oft verblüffend simpel und bleiben trotzdem erfolgreich. Unternehmen müssen Mitarbeiter so sensibilisieren, dass sie diese Taktiken im Arbeitsalltag erkennen. (gemeinfrei)")
Spear-Phishing & Co
Die Psychotricks moderner Phishing-Betrüger
Mit der steigenden Digitalisierung wachsen jedoch die Risiken und Gefahren für das Unternehmensnetzwerk. Es gibt einige Möglichkeiten, um jede Firewall, jedes Anti-Virus-Programm zu umgehen. Der Mensch bleibt Schwachstelle Nummer eins. IoT-Geräte bieten besonders in der Anfangsphase einen guten Angriffsvektor. Die Gesellschaft verbringt immer mehr Zeit im Internet, vor allem auf den sozialen Plattformen. „LinkedIn beliebtestes Phishing-Ziel“, so lautet nur eine von zahlreichen Schlagzeilen zu den Aktivitäten der Cyber-Kriminellen.
Der Mensch wird in beinahe jedem Angriff auf Unternehmen als Einfallstor genutzt. Dabei spielen besonders fünf Methoden eine entscheidende, nicht unbedeutende Rolle zum Unglück der Organisationen. Denn hat der Eindringling erst einmal Zugang auf sensible Daten, so wird dies sehr häufig erst dann bemerkt, wenn es bereits zu spät ist. Auch die Tragweite und Dauer der Attacke auf das Netzwerk ist oftmals unbekannt. Das Ergebnis sind Produktionsausfälle, hohe Kosten für den Neuaufbau der IT und OT sowie gewaltige Imageverluste des Unternehmens bei Stakeholdern und schlussendlich existentielle Ängste. Diese fünf zuvor erwähnten Methoden sind Phishing, Vishing, Smishing, Social Media Phishing und immer gefährlicher, weil sie immer besser werden, auch Deepfakes. Sie alle werden im weiteren Verlauf dieses Artikels erklärt. Zunächst soll ein Fallbeispiel angeführt werden, welches das Ausmaß eines Vorfalls aufzeigt, der mit einem vermeidbaren menschlichen Fehler begann.
Das Beispiel aus dem Dezember 2019 zeigt auf, welche lebensbedrohenden Risiken durch Phishing entstehen können. Mit einem Angriff auf die gesundheitliche Versorgung sind viele Leben gefährdet. Zum Nachteil vieler Krankenhäuser sind gerade sie Ziel von vielen Attacken geworden. Die Absicht ist es zumeist, Lösegelder zu erpressen. Die Gefahr, die von einem solchen Angriff ausgeht, scheint logisch, denn ist ein Mitarbeiter der Klinik einen Moment lang unaufmerksam oder ungeschult in Hinsicht auf Phishing, dringen Cyber-Kriminelle mit Leichtigkeit in das klinikeigene Netz ein. Da viele der verwendeten Geräte mit diesem verbunden sind, ist ein Ausfall die Konsequenz. Neben dem wirtschaftlichen ist der mögliche physische Schaden gegenüber den Patienten enorm. Das Klinikum Fürth wurde Opfer von Social-Engineering, am Ende stellte es die Notfallversorgung ein. Die Klinik trennte die Verbindung zum Internet und verschob unkritische Operationen. Die Patienten vor Ort wurden den Umständen entsprechend gut versorgt. Dieses Beispiel verdeutlicht, wie aus einer harmlosen Phishing-Attacke eine hoch kritische Situation entsteht.
:quality(80)/p7i.vogel.de/wcms/e8/13/e813376ece60d6b7943a8ab0eb8cb6db/87768690.jpeg "Jetzt wird’s psychologisch: was Social Engineers und der Hauptmann von Köpenick gemeinsam haben. (Bild: gemeinfrei)")
Social Engineering und der Hauptmann von Köpenick
Psychisches Hacking der „Schwachstelle Mensch“
Phishing
Handelt es sich also bei Phishing um eine Angriffsmethode, der keine Firewall, kein Antivirus-Programm gewachsen ist? Es gibt eine einfache Chance, einer Krise aus dem Weg zu gehen. Der Aufbau einer menschlichen Firewall hilft. Doch wie funktioniert Phishing? Grundlegend soll ein Mensch dazu bewegt werden, persönliche Informationen wie Login-Informationen für ein Bankkonto mit den Kriminellen zu teilen. Dies geschieht durch Irreführung. Oftmals erhält der Betroffene eine täuschend echte E-Mail, welche ihn auffordert, sich anzumelden, sei es bei PayPal oder ähnlichem. Die verlinkte Seite wirkt ebenfalls echt, weshalb eine Vielzahl der geschädigten Personen auf diese einfache Masche hereinfällt. Was kaum einer weiß, auch Multi-Faktor-Authentifizierungen lassen sich problemlos durch beispielsweise Man-in-the-Middle-Angriffe umgehen. Der Angreifer bleibt oftmals für unbestimmte Zeit im System.
Smishing
Eine abgewandelte Variante des Phishings ist das Smishing, also SMS-Phishing. Dabei werden SMS verschickt, welche im Grunde genommen dasselbe Ziel haben wie Phishing. Hat der Angreifer erst einmal die Tore geöffnet, kann er über das Telefon beispielsweise in das Firmennetz eindringen. Auch wenn sich Messenger-Apps rasant verbreiten und ihre Nutzung stetig steigt, so lebt die SMS, obwohl schon vielfach tot gesagt weiter. Besonders perfide ist, dass SMS vor allem im Notfall genutzt werden, sprich noch immer eine höhere Glaubwürdigkeit vor allem unter älteren Menschen genießen. Dies liegt unter anderem auch daran, dass nur wenige Werbe SMS verschickt werden.
Vishing
Das Voice-Phishing, also Vishing, ist die persönlichste und gezielteste Variante des Phishings. Das bekannteste Beispiel hierzu ist wohl der Enkeltrick bei welchem einer älteren Person ein Problem des bisher unbekannten Enkels geschildert wird und am Ende Geld überwiesen werden soll. Etwas einfacher ist es jedoch, wenn der Betrug schneller erfolgt. Ein Anruf, auf den ersten Blick aus Nordrhein-Westfalen, kommt doch aus dem Land Guinea. Warum Personen darauf reinfallen ist schlicht einfach, die Vorwahl lautet nicht 0224, sondern +224.
Social-Media-Phishing
Social Media ist ein immer beliebter Kanal für Phishing- und Social Engineering-Angriffe. Die Anzahl der Attacken via sozialer Medien oder über E-Mails, die vorgeben, von einem sozialen Netzwerk versandt worden zu sein, stieg in den letzten Jahren rasant an. Die Art und Weise ist dabei ganz unterschiedlich. Beispielsweise gibt sich ein Angel-Phisher als falscher Kundensupport aus und antwortet auf öffentliche Support-Anfragen, während das Account-Hijacking eine deutlich ausgefeiltere Variante darstellt. Meist stillliegende Accounts werden geknackt und deren Passwort geändert. Dann verschickt der Angreifer bösartige Links an Freunde des Account-Eigentümers.
Deepfakes
Bereits 19,6 Millionen Menschen haben auf Youtube das Video „You Won’t Believe What Obama Says In This Video!“ gesehen. Jedem, der diese Aufnahme aus dem Oval Office im Weißen Haus schaut, ist klar, Obama warnt vor täuschend echten Aufnahmen. Das Perfide daran ist jedoch nicht, was er sagt, sondern, dass zur Hälfte des Clips aufgelöst wird: Hier alarmiert nicht der ehemalige US-Präsident. Ganz im Gegenteil, auch er wurde animiert. Genau das ist ein Deepfake. Es wird der Anschein hergestellt, es spreche tatsächlich die zu sehende Person.
:quality(80)/images.vogel.de/vogelonline/bdb/1628400/1628434/original.jpg "In unserer neuen Folge des Security-Insider Podcast fragen wir: Was ist eigentlich Security Awareness und warum brauchen Unternehmen das? (Vogel IT-Medien)")
Security-Insider Podcast – Folge 5
Warum brauchen wir Security Awareness?
Aufbau der menschlichen Firewall
Um zu verstehen, warum der Aufbau einer menschlichen Firewall so effektiv gegen diese Angriffe ist, ist es wichtig zu verstehen, warum Social Engineering überhaupt funktioniert. Diese Angriffe sind darauf ausgerichtet, menschliche Eigenschaften und Interessen zu nutzen, um ihre Ziele zu erreichen. Viele dieser Eigenschaften sind tief verwurzelt und wenn man diese Eigenschaften und Interessen triggert, kann man das menschliche Verhalten steuern. Ein Beispiel für diese Art der Manipulation findet sich im CEO-Fraud. Hier erstellen Angreifer eine E-Mail, die aussieht, als käme sie vom CEO (oder einer anderen Person mit Autorität) und fordern eine Überweisung von jemandem in finanzieller Position in der Organisation. Das Ziele ist es zu erreichen, dass die betroffenen Mitarbeiter denken, dass die E-Mail von ihrem Chef oder einer anderen Autoritätsperson stammt und dadurch Angst hat, den Job zu verlieren, wenn sie sich nicht daranhalten. Sie sollen dadurch eingeschüchtert werden, um nicht auf die Idee zu kommen, Rückfragen zu stellen und die Aktion durchzuführen, was sie sonst bei einem Mitarbeiter, der auf der gleichen Ebene ist, nicht tun.
In den weiteren Beiträgen der Serie werden wir Beispiele der hier eingeführten Techniken erläutern und Hinweise geben, wie sich die Betrugsmaschen erkennen lassen.
Über den Autor: Jelle Wieringa ist Security Awareness Advocate bei KnowBe4.
(ID:46669812)
:quality(80)/images.vogel.de/vogelonline/bdb/1881800/1881881/original.jpg "Für einen erfolgreichen Vishing-Angriff ist der Faktor Überraschung von hoher Bedeutung. (Bits and Splits - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1940900/1940917/original.jpg "Beim Eisfischen wird ein Loch in ein gefrorenes Gewässer geschnitten, um Fische zu fangen, beim Ice-Phishing stehlen Cyberkriminelle durch Social Engineering Blockchain-Token. (Leonid Ikan - stock.adobe.com)")