Cybersecurity & Schwachstelle Mensch

Einige Statistiken aus diesem Jahr zeigen das Ausmaß der Bedrohungslage, die auch das BSI in seinem Lagebericht 2021 als angespannt bis kritisch einstuft.

Trends bei Angriffsvektoren

Im Jahr 2021 stieg die Anzahl der Cyberattacken um 29 % an. Laut einem Interview, dass der Versicherer Euler Hermes Deutschland GmbH mit Andreas Dondera, Experte für Cyberkriminalität beim LKA Hamburg geführt hat, gehen Cyberkriminelle bei der Wahl ihrer potenziellen Opfer zunächst nach dem ‹spray and pray Prinzip› vor. Trifft man auf eine Sicherheitslücke, wird in der Folge überprüft, a) ob sich ein Angriff lohnt und b) welche der verfügbaren Methoden den größtmöglichen Erfolg versprechen. Viele der Angriffe erfolgen über kompromittierte E-Mails. Diese werden immer professioneller und können Links zu Malware enthalten.

Phishing und Pharming

Durch Phishing wird versucht, an die persönlichen Daten von realen Anwendern zu gelangen. Das ist nicht neu. In der Folge werden Daten und Passwörter erbeutet, die dann direkten Zugriff auf Online-Konten ermöglichen. Phishing und Pharming sind häufig vorbereitende Angriffe sein, mit denen in der Folge Identitäten realer Personen oder Kollegen missbräuchlich verwendet werden.

Payment Diversion und Fake President

Zu den neueren Phishing-Methoden gehören Payment Diversion Fraud und Fake President. Diese beide Betrugsmaschen kommen sofort auf den Punkt. Während man bei Spionage an geheime Daten kommen will, möchten Angreifer meist nur einen Gewinn erzielen. Der Umweg über Verschlüsselung und Erpressung wie bei Ransomware ist aufwendig. Es geht den Angreifern um den finanziellen Erfolg. Bei Payment Diversion Fraud wird per E-Mail auf eine neue Bankverbindung hingewiesen. Die Zahlung landet aber beim Hacker. Der Begriff Fake President steht u. a. für eine Zahlungsanweisung, die vermeintlich von einem Manager des eigenen Unternehmens per Mail an einen Mitarbeitenden in der Buchhaltung geschickt und dementsprechend dort arglos ausgeführt wird.

Deepfakes

Angriffe über Deepfakes dagegen sind momentan Einzelfälle, da sie noch aufwendig entwickelt werden müssen. Deshalb  kommen Deepfakes aktuell nur dort zum Einsatz, wo entsprechende Summen erzielt werden können. Künstliche Intelligenz, kann Deepfakes aber bald zum ‹nächsten großen Ding› machen.

Man-in-the-Cloud

Werden Daten in der Cloud gespeichert, kann ein Man-in-the-Cloud Angriff erfolgreich sein. Um Dateien zwischen lokalen PC und Cloudspeicher wie Google Drive oder Microsoft OneDrive automatisch synchronisieren zu können, wird auf dem lokalen PC ein Passwort-Token als Datei hinterlegt, der die Anmeldung automatisch im Hintergrund vornimmt. Wird der Token durch Phishing erbeutet, kann der Angreifer auf die in der Cloud gespeicherten Daten zugreifen.

Im Fokus: Schwachstelle Mensch

Die Pandemie wird die Arbeitswelt voraussichtlich nachhaltig verändern. Die Vorteile bergen aber auch ein gewisses Risiko. Für Unternehmen ist es nicht ausreichend, allein die Verbindung aus dem Homeoffice ins Unternehmen abzusichern.

50 % aller Cyberangriffe auf Mitarbeitende im Homeoffice sind laut Institut für Deutsche Wirtschaft erfolgreich. Statista hat zusätzlich herausgefunden, dass  Phishing-Mails zu Hause eine um 37% höhere Erfolgsquote haben als im Büro. Das liegt an sozialer Distanz, Ablenkung in der gewohnten Umgebung, mangelnder Kommunikation mit den Kollegen, aber auch an unzureichenden Sicherheitsprozessen.

Laut Andreas Dondera ist in 90 % aller Fälle, die er bearbeitet, der Mensch – ob im Büro oder im Homeoffice – die entscheidende Schwachstelle. E-Mail-Adressen und Webseiten werden nicht sorgfältig geprüft und Inhalte als Fakt hingenommen. Social Engineering ist durch die mangelnde Kommunikation mit Kollegen ebenfalls erfolgreicher.

Tipps zum Schutz vor Cybercrime

Also ist neben technisch und organisatorischen Maßnahmen (TOM) das Bewusstsein (Awareness) für mögliche Angriffsszenarien und eine dementsprechende Sensibilisierung der Mitarbeitenden entscheidend. Die daraus resultierende gesunde Skepsis schützt elementar vor Cyberangriffen. Das ist auch im KMU-Umfeld bekannt, wird aber trotzdem zu wenig praktiziert.

Der Versicherer Euler Hermes Deutschland gibt in einem Ratgeber Cybercrime weitere Tipps, die nicht sofort genannt werden, wenn es um Cyberangriffe auf die Schwachstelle, Mensch geht:

• Sind Arbeitsabläufe, Verantwortlichkeiten und Notfallpläne vorhanden und klar definiert, passieren weniger Fehler. Und wenn doch, werden sie schneller erkannt und die verantwortlichen Personen bearbeiten Vorfälle oder melden sie.
• Ist bei kritischen Vorgängen das 4-Augen-Prinzip implementiert. Wie wird das im Homeoffice umgesetzt?
• Werden bei der Personalbeschaffung Referenzen eingefordert und Auffälligkeiten im Lebenslauf hinterfragt und überprüft?
• Haben alle Mitarbeiter eine Geheimhaltungsvereinbarung unterschrieben?
• Gibt es Arbeitsabläufe und Kontrollen beim Zahlungsverkehr und bei Adressänderungen?
• Sind die Zugriffsrechte auf das Notwendige beschränkt?
• Informationen in sozialen Netzwerken dienen Angreifern als optimale Informationsquelle. Unternehmen sollten zumindest auf diesen Umstand hinweisen und mit Beispielen die Gefahren unterlegen,
• Wird bei eingehenden E-Mails mit verdächtigen Inhalten die Absenderadresse kontrolliert? Gibt es einen Arbeitsablauf wie verdächtige E-Mails überprüft werden können?

Lock the doors: Wie soll auf erfolgreiche Angriffe reagiert werden?

Nach einem erfolgreichen Angriff sind die ersten 72 Stunden entscheidend. Die NASA schottet sich in so einem Fall komplett ab, um den Schaden zu begrenzen und in Ruhe den Vorfall analysieren zu können. Die NASA nutzt dafür das Kommando ‹Lock the doors!›.

Ähnlich den Schotten im Schiffbau verhindert eine Segmentierung in getrennte Netzwerkbereiche die Ausbreitung von Schäden.

Allgemein gilt: Treffen Sie keine voreiligen Entscheidungen, sondern handeln Sie bewusst. Wenn nötig greifen Sie zeitnah auf externe Dienstleister zu, die Sie rechtlich und technisch beraten und unterstützen. Denn die rechtlichen Risiken nach einer erfolgreichen Attacke und die möglichen Strafen sind nicht zu unterschätzen.

Fazit: In 60 % aller Fälle verursachen Mitarbeitende Schäden, die Geld kosten und die Reputation des Unternehmens schädigen. Angriffe von außen haben einen Anteil von 40 %. Externe Angreifer suchen sich aber auch zu nahezu 100 % die Schwachstelle Mensch aus. Versehentlich herbeigeführte Schäden sind vermeidbar. Informieren und sensibilisieren Sie deshalb Ihre Mitarbeitenden, beispielsweise durch die Weiterleitung dieses Beitrags. Denn wer die Muster erkennt, wird in der Regel richtig reagieren. Gegen Ahnungslosigkeit helfen auch die besten technischen Abwehrmaßnahmen nur bedingt.

Einige Inhalte dieses Beitrags stammen aus dem ‹Ratgeber Cybercrime› der Euler Hermes Versicherung. Den Ratgeber mit weiteren Tipps können Sie kostenlos hier anfordern.