Im ersten Halbjahr diesen Jahres ist die Zahl der Cyberattacken auch wegen der Coronakrise deutlich angestiegen. Cyberkriminelle nutzen die Verunsicherung der Menschen gezielt aus und haben gerade zu Beginn der Pandemie Mails mit Schadsoftware verschickt, die einen direkten Bezug zu COVID-19 hatten. Im Unternehmensumfeld waren gefälschte Rechnungen mit einem infizierten Anhang vermehrt im Umlauf. Zudem profitierten die kriminellen Hacker auch davon, dass viele Angestellte vorübergehend im Homeoffice arbeiten oder gearbeitet haben. Viele Unternehmen konnten ihren Mitarbeitern aber keine ausreichend gesicherte Infrastruktur zur Verfügung stellen – dafür fehlte es oft an Zeit und Personal.
Angreifer arbeiten auf der Jagd nach dem maximalen Profit kosteneffizient. Sie suchen immer den Weg des geringsten Widerstands, um ans Ziel zu gelangen: Den Zugang beziehungsweise die Kontrolle über ein Netzwerk und die gespeicherten Daten. Das können technische Sicherheitslücken sein, wie nicht installierte Updates für Software oder RDP-Zugänge mit einfachen Passwörtern. Häufig ist hier ein Angestellter das schwächste Glied in der Kette. Angreifer manipulieren Mitarbeiter auf unterschiedlichen Wegen, so dass diese ihnen ungewollt Zugang zur IT-Infrastruktur des Unternehmens verschaffen.
Alt aber effektiv: Phishing
Einer der effektivsten Angriffsvektoren sind immer noch Phishing-Mails. Die Angreifer haben dabei immer ein klares Ziel vor Augen: Sie wollen ihr Opfer zur Preisgabe sensibler Daten, wie etwa Login-Informationen bewegen oder zum Ausführen einer Aktion bringen – zum Beispiel einen Dateianhang zu öffnen. Dieses Handeln führt schlussendlich zu einer Infektion des Netzwerkes mit Malware.
Die Angreifer nutzen dabei konsequent menschliches Verhalten aus: Sie versenden Mails und setzen dabei auf die Hilfsbereitschaft, Neugier oder Gier des Empfängers. Ein typisches Beispiel dafür sind Bewerbungen auf ausgeschriebene Stellen oder Rechnungen mit infizierten Dateianhängen. Oder sie setzen die Empfänger unter Druck mit dem Hinweis, dass sie ihre Zugangsdaten für einen Social-Media-Account wegen eines Datenlecks erneuern müssen – möglichst innerhalb der nächsten 24 Stunden. Der Link führt allerdings zu einer gefälschten Webseite.
Hinzu kommt, dass Phishing-Mails immer raffinierter werden. Angreifer verschicken zwar immer noch Massenmails, allerdings sind gezielte Attacken gefährlicher geworden. Im Vorfeld sammeln sie Informationen über ihre Opfer – etwa in sozialen Medien oder auf der Firmen-Homepage. Oder die Angreifer setzen bereits Malware wie Emotet ein und lesen bestehende Mail-Verläufe aus, sodass sie darauf Bezug nehmen können. Mit diesen Informationen erstellen sie eine massgeschneiderte E-Mail und adressieren diese an wenige Mitarbeiter im Unternehmen. Eine sogenannte Spear-Phishing-Mail ist kaum von einer echten Nachricht zu unterscheiden. Auch CEO-Fraud wird auf diese Weise teils sehr gut getarnt, weil die Täter recht genau wissen, wen sie im Unternehmen wie ansprechen können, um ihr Ziel zu erreichen.
Phishing-Mails erkennen
Einfach zu erkennende Phishing-Mails enthalten meist keine direkte Anrede, massive Rechtschreib- und Grammatikfehler oder sind in ihrer Argumentation nicht plausibel. Hier handelt es sich um breit angelegte Kampagnen, die Angreifer wahllos an mehrere tausend Empfänger verschicken. Ein anderes Erkennungszeichen ist auch der Absender. Zwar lässt sich dieser Name ändern, aber bei genauem Hinsehen passen Absender und E-Mailadresse nicht zusammen. Sollten die Angreifer bereits Zugriff auf einen anderen Account haben um von dort aus Mails zu verschicken, ist es sehr schwer, das zu erkennen.
Wer eine verdächtige Nachricht erhält, sollte immer deren Legitimität hinterfragen. Ein Beispiel: Wer via E-Mail eine neue Kontaktanfrage von einem Sozialen Netzwerk erhält, sollte unter keinen Umständen den Link in der Mail anklicken, sondern direkt die Webseite des Netzwerkes besuchen. Eine legitime Kontaktanfrage wird auch dort angezeigt. So umgeht er das Risiko, auf einer Phishing-Webseite zu landen.
Sicherheitsbewusstsein schaffen
Unternehmen müssen IT-Sicherheit ganzheitlich betrachten, um Angreifer dauerhaft aus dem Netzwerk fernzuhalten. Denn das Bewusstsein der Mitarbeiter für IT-Gefahren zu schärfen und kontinuierlich zu verbessern, ist ein längerer Prozess. Eine einfache Aufklärung über Phishings-Mails mit einem Schulungsvideo alleine hilft nicht weiter. Zielführender sind umfangreiche Security Awareness Trainings. Denn nur, wenn sich die Angestellten der Risiken bewusst sind, agieren sie sorgsamer und gehen kritischer mit Mails um. Gleichzeitig haben sie dann auch Verständnis für andere sicherheitsrelevante Themen wie Passwort-Regeln und gesetzliche Datenschutzvorgaben.
Phishing-Simulationen versetzen Mitarbeiter in die Lage, routiniert mit verdächtigen Mails umzugehen. Auf spielerischem Weg sammeln sie Erfahrungen mit bösartigen Mails und entwickeln mehr Selbstbewusstsein im Umgang mit Cybergefahren. Hinzu kommt, dass IT-Sicherheit an dieser Stelle messbar ist. So erfahren die Verantwortlichen, wie gut oder schlecht das Sicherheitsbewusstsein der Mitarbeiter ist. Nach Abschluss einer Simulation lassen sich die Ergebnisse auswerten und zeigen den Handlungsbedarf innerhalb der Belegschaft. Darauf aufbauen lässt sich mit Security Awareness Trainings das Bewusstsein der Mitarbeiter für Cybergefahren grundlegend verbessern. Wer anschliessend eine weitere Phishing-Simulation durchführt, kann die Ergebnisse miteinander vergleichen und sehen, wie sich das Sicherheitsniveau der Mitarbeiter verändert hat.
Idealerweise sollte eine Simulation mehrere Wochen dauern und Phishing-Mails in verschiedene Schwierigkeitsstufen enthalten, welche das raffinierte Vorgehen der Angreifer realistisch abbildet. Idealerweise erhalten die Angestellten über einen festgelegten Zeitraum hinweg mehrere Mails in unterschiedlichen Schwierigkeitsgraden. So sind einige Nachrichten etwa durch grobe Rechtschreibfehler und fehlende direkte Anrede auf den ersten Blick erkennbar. Bei anderen Nachrichten wird der Adressat beispielsweise direkt angesprochen, sodass die Gefahr erst auf den zweiten Blick erkennbar ist. Auch die zeitliche Komponente, also die Zeit des Versands sollte variieren. Denn die Aufmerksamkeit der Mitarbeiter ist nicht konstant. So ist mancher Angestellte in Vorfreude auf den Feierabend oder das Wochenende nicht mehr so aufmerksam wie zu Beginn des Arbeitstages.
Ohne Firmen- und Fehlerkultur geht es nicht
Wichtig ist dabei, dass Unternehmen vorab einen passenden Rahmen für IT-Sicherheit schaffen müssen. Beispielsweise sollte für derartige Verdachtsfälle ein Meldeprozess etabliert werden, sodass die Mitarbeiter die Ansprechpartner im Unternehmen kennen und bereits wissen, was zu tun ist, wenn sie einen Phishing-Angriff erkennen. So können die interne IT oder externe Security-Spezialisten den Verdacht prüfen und entsprechende Massnahmen einleiten: Zum Beispiel eingesetzte Phishing-Filter anpassen, damit Kollegen diese Phishing-Mails gar nicht erst erhalten. Oder die bestehenden Webseiten-Blocklisten ergänzen, um den Zugriff auf die in der Phishing-Mail enthaltenen Links direkt zu unterbinden. Gleichzeitig braucht es auch eine Firmenkultur, die Mitarbeiter schützt, die versehentlich eine Phishing-Mail angeklickt haben. Nur wer offen über dieses Verhalten spricht und es nicht sanktioniert, schafft innerhalb der Belegschaft ein Bewusstsein für das bestehende Risiko. Insbesondere wenn ein Mitarbeiter auf einen Phishing-Angriff hereingefallen ist, sollte er dies offen ansprechen können.
Unternehmen handeln weitsichtig, wenn sie ihre Mitarbeiter einbeziehen und IT-Sicherheitsbewusstsein schaffen. Eine Investition in das IT-Sicherheitswissen der Mitarbeiter ist gleichzeitig auch eine Investition in die Zukunft des Unternehmens. Wichtig dabei: Das Verhalten der Mitarbeiter muss regelmässig aufgefrischt werden, sonst schleicht sich wieder Routine in den Arbeitsalltag ein.
Die inhaltliche Verantwortung für den Artikel liegt bei
G Data CyberDefense AG.
