Level erhöht

Social Engineering sowie Phishing im Besonderen gehören zu den größten Gefahren sowohl für Privatanwender als auch für Unternehmen. Zwar wird versucht, Informationen und IT-Systeme durch technische Maßnahmen zu schützen, doch häufig zielen die Angreifer gar nicht auf die technischen Sicherheitslücken direkt ab. Stattdessen versuchen sie, den Menschen als Schwachstelle auszunutzen. Bei diesen sogenannten Social-Engineering-Angriffen wird etwa ein Telefongespräch oder eine Phishing-E-Mail genutzt, um Menschen dazu zu bringen, den Aufforderungen des Angreifers zu folgen und ihm so unbewusst Zugang zu Informationen oder Systemen und Firmennetzwerken zu verschaffen. Sind solche Angriffe erfolgreich, liegt das regelmäßig nicht an absichtlich böswilligem Fehlverhalten der Mitarbeiter. Die Kriminellen nutzen vielmehr die menschliche Natur aus, um Situationen zu schaffen, in denen das vom Angreifer gewünschte Verhalten nicht als gefährlich wahrgenommen wird. Oft ist die Ursache für erfolgreiche Angriffe deshalb auch schlicht fehlendes Bewusstsein oder die Überrumplung der Mitarbeiter durch derartige soziale Manipulationen. Aus diesem Grund wird der Mensch häufig als schwächstes Glied in der Sicherheitskette von IT-Systemen angesehen.

Goldeneye

Ein sehr gutes Beispiel dafür ist die Ende letzten Jahres aufgekommene Spear-Phishing-Welle namens Goldeneye, mit der ein neues Level an Professionalität erreicht wurde und dem auch gut geschulte und aufmerksame Anwender zum Opfer fielen. Goldeneye zielte besonders auf deutsche Unternehmen. Dabei werden Spear-Phishing-E-Mails genutzt, um den Opfern möglichst unbemerkt Schadsoftware unterzujubeln – in diesem Falle Ransomware, die den Rechner verschlüsselt und sich gegebenenfalls über das Netzwerk weiterverbreitet. Dabei tarnt sich die E-Mail unter anderem im Namen der Bundesagentur für Arbeit als täuschend echte Bewerbungs-E-Mail – ohne formale oder sprachliche Fehler sowie mit konkretem Bezug zu einer echten Stellenausschreibung. Im Anhang ist dann eine XLS-Datei zu finden, in der die Ransomware hinter Makros versteckt liegt. In vielen Fällen ist zudem eine vollkommen legitime PDF-Datei angehängt, die keine Infektion verursacht, sondern nur die Glaubwürdigkeit der Bewerbung weiter unterstreicht.

Phishing boomt

Phishing-Angriffe sind seit einigen Jahren auf einem beeindruckenden Hoch, so ist beispielsweise die Anzahl von Phishing-E-Mails im Zeitraum vom vierten Quartal 2015 bis zum ersten Quartal 2016 um unglaubliche 789 Prozent gestiegen. Im Jahr 2016 hat sich Ransomware erfolgreich auf diese Angriffsmethodik konzentriert und ist gemeinsam mit den Phishing-Angriffen gewachsen. Mittlerweile ist auch die Professionalität dieser Angriffe enorm gestiegen, findet jedoch in Goldeneye nun ein neues Level der Professionalität von Massen-E-Mails. Bisher konnte das nur bei extrem gezielten und gut vorbereiteten Angriffen auf sogenannte High-Value-Targets, wie beispielsweise beim CEO-Fraud, beobachtet werden. Beim CEO-Fraud, ein Angriff der unter dem Begriff Business E-Mail Compromise (BEC) eingeordnet wird, versuchen die Angreifer zunächst, möglichst viel über interne Prozesse und Abläufe zu erfahren. Diese Informationen werden im nächsten Schritt verwendet, um Finanzabteilungen dazu zu bringen, eine Überweisung auf das ausländische Konto des Angreifers zu autorisieren. Diese Angriffe sind sehr erfolgreich, sodass viele, auch gut geschützte Unternehmen und offizielle Stellen fälschlicherweise Zahlungen bis zu einer Größenordnung im zweistelligen Millionenbereich gesendet haben. Nun erreichen diese gefährlichen Angriffe viele Unternehmen.

Wie gehen Angreifer dazu vor?

Die konkrete Vorgehensweise der Angreifer ähnelt bei diesen Angriffen dem herkömmlichen Hacking. Zunächst werden aus frei zugänglichen Quellen Informationen gesammelt. Diese Quellen umfassen unter anderem auch soziale Netzwerke wie Xing, LinkedIn oder Facebook, aber auch weitere Webseiten wie Job-Bewertungsportale und Nachrichtenseiten. Hauptziel der Angreifer ist, ein möglichst konkretes, umfassendes Bild ihrer Opfer zu erhalten. Je detaillierter und umfangreicher die gefundenen Informationen sind, desto einfacher kann ein erfolgreiches Angriffsszenario konzipiert werden. Die gefundenen Informationen werden schließlich genutzt, um einen sinnvollen Vorwand zu erfinden, mit dem Opfer in Kontakt zu treten und eine Beziehung aufzubauen. Das kann eine gefälschte E-Mail im Namen eines realen Vertriebspartners sein, der von dringenden Problemen mit einem Produkt berichtet, bis hin zur E-Mail des Kollegen ob des schlechten Abschneidens des bevorzugten Fußballteams. Nun ist der Angreifer in der Lage, weiter gehende Informationen zu extrahieren oder das Vertrauen auszunutzen, um einen Computer zu infizieren. Durch das immense Aufkommen von E-Mails im beruflichen Alltag gehen solch getarnte E-Mails gerne einmal durch die Sicherheitsnetze und enden in einer Infektion, die am Ende Datenverlust, Produktionsausfälle oder Datenabfluss zur Folge hat.

Schutz nicht nur durch Schulungen

Ein wichtiger Schritt, um sich gegen künftige Phishing-Angriffe zu wappnen, ist, alle potenziell betroffenen Mitarbeiter auf solche Angriffe aufmerksam zu machen und zu schulen. Doch auch jeder noch so gut ausgebildete Anwender ist angreifbar. Daher sind weitere Sicherheitsmaßnahmen angezeigt, um Phishing nicht als dauerhaftes Problem bekämpfen zu müssen. So ist die Preisgabe von Informationen im Internet zwar einerseits ein beliebtes und wirkungsvolles Werbemittel, doch bergen diese Informationen auch ein Risiko: Angreifer sammeln diese und nutzen sie, um professionelle Angriffe zu gestalten. Daher sollte bei jeglicher Veröffentlichung, seien es Dokumente, Stellenausschreibungen, soziale Medien oder simple Kontaktinformationen auf der eigenen Website, immer bedacht werden, was ein Angreifer mit diesen Informationen anfangen kann und ob sich die Preisgabe dann immer noch lohnt. Um sich gegen gefälschte E-Mails zu schützen, sollten technische Maßnahmen, beispielsweise beim E-Mail-Filter, ergriffen werden.
Dieser kann so konfiguriert werden, dass E-Mails, die fälschlich vorgeben, von einer vertrauenswürdigen Domain zu kommen, direkt herausgefiltert werden. So kann die Bedrohung schnell und einfach gemindert werden, beziehungsweise die Anwender werden solche Angriffe einfacher entdecken. Um speziell die Bedrohung durch Bewerbungs-E-Mails mit Goldeneye zu minimieren, können Job-Portale genutzt werden.
Zudem kann ein Online-Bereich eingerichtet werden, über den sich standardmäßig alle Bewerber melden und Dokumente hochladen müssen. Wird danach noch eine Bewerbung per E-Mail übermittelt, ist das sofort verdächtig. Unabhängig davon gilt: Beim geringsten Zweifel sollte man einen Anhang oder Link nicht öffnen, sondern besser bei der IT-Abteilung nachfragen. Dabei gilt: Dumme Fragen gibt es nicht, und zehnmal Fehlalarm ist immer noch besser als ein Trojaner im Firmennetz.

Sicherheitsmaßnahmen nach individueller Analyse

Sind die Mitarbeiter gewappnet, bieten sie zugleich ein großes Potenzial, um ein hohes Sicherheitsniveau zu erreichen. Die Unternehmen können verschiedene Maßnahmen ergreifen, um den Anwendern etwas Verantwortung abzunehmen und sie beim sicheren Umgang mit dem Internet zu unterstützen. Um herauszufinden, wo Schulungen oder weiter gehende Sicherheitsmaßnahmen angezeigt sind, ist eine unabhängige, individuelle Analyse hilfreich. Denn interne Mitarbeiter haben häufig ihre eigene Sicht der Dinge. Mithilfe eines unabhängigen Dienstleisters aber können die effizientesten Sicherheitsmaßnahmen identifiziert und anschließend umgesetzt werden.

Zum Autor

David Kelm

Geschäftsführer der IT-Seal GmbH, Darmstadt. Das Unternehmen wird vom Bundesministerium für Wirtschaft und Energie gefördert und hat sich auf den Schutz von Mitarbeitern gegen Social-Engineering-Angriffe spezialisiert.

Weitere Artikel des Autors