Computerworld: Es stehen zahlreiche IT-Events auf der Agenda von Entscheidern. Weshalb sollten sie Ihre Breakfast-Session besuchen?

Georgeta Toth: Sicherheitsexperten sehen sich heute einer sehr schwierigen Aufgabe ausgesetzt, weil sie zum einen eine Cyber-Sicherheitsstrategie entwickeln müssen, die nicht nur den Risiken von sich ständig wandelnden Bedrohungen Rechnung trägt, sie haben auch die Bedrohungslage und mögliche Schwachstellen der jeweiligen Branche kontinuierlich im Auge zu behalten. Proofpoint unterstützt Tausende von Unternehmen bei der Entwicklung eines mehrstufigen Ansatzes ihrer Cybersicherheitsstrategie. Bei der Breakfast-Session wird der von uns empfohlene Ansatz zur Maximierung der Unternehmenssicherheit erläutert.

CW: Für wen lohnt sich ein Besuch besonders?

Georgeta Toth ist Senior Regional Director für Zentral- und Osteuropa beim IT-Security-Unternehmen Proofpoint

Toth: Die Teilnahme lohnt sich für jeden, der innerhalb seiner Organisation direkte Verantwortung für die Cybersicherheit trägt und auch für diejenigen, die auf die IT-Sicherheitsstrategie ihres Unternehmens Einfluss haben.

CW: Das Thema Ihrer Breakfast-Session lautet Schwachstelle Mensch. Wie sichert man «den Faktor Mensch» ab?

Toth: Cyberkriminelle attackieren zunehmend Mitarbeitende, nicht die Infrastruktur von Organisationen. Auch der zunehmende Einsatz der Cloud verändert die Art und Weise, wie sich Unternehmen heutzutage schützen müssen. Mehr als 99 Prozent aller gezielten Angriffe, die wir derzeit beobachten, setzen eine Aktion des Anwenders voraus. Sei es, indem er Makros aktiviert, ein Passwort auf einer Phishing-Site eingibt oder aufgrund eines sogenannten CEO-Betrugs (auch Business Email Compromise – BEC) Daten an einen Cyberbetrüger sendet oder eine Zahlung autorisiert.

CW: Wie werden die Ziele ausgewählt?

Toth: Bei Kriminellen liegt der Fokus darauf, wer in einem Unternehmen Zugriff auf die gewünschten Informationen hat. Sie sprechen ihre potentiellen Opfer direkt über E-Mail, Cloud-Anwendungen und Social-Media-Kanäle an. Ferner nutzen sie beispielsweise LinkedIn und Google, um potenzielle Zielpersonen zu identifizieren und zu beobachten. Das ist für Cyberkriminelle erfolgversprechender, als komplizierte technische Schwachstellen auszunutzen.

CW: Sind diese Trends bereits in den Unternehmen angekommen?

Toth: Für die meisten Sicherheitsexperten bildet die IP-Adresse noch immer das Zentrum ihres Denkens, wodurch auch ihre Herangehensweise an Sicherheitsprobleme definiert wird. Nach Gartner entfallen noch immer mehr als 60 Prozent der IT-Budgets daher auf die Netzwerksicherheit. Doch leider interessieren sich potenzielle Angreifer nur in den seltensten Fällen für technische Schwachstellen. Dies belegt auch die Untersuchung der grössten Datendiebstähle. Dort zeigt sich, dass die E-Mail der lukrativste Weg für Cyberkriminelle ist, um ihre Ziele zu erreichen. In der Realität wissen Angreifer oft mehr über die Mitarbeiter als die Verantwortlichen der IT-Sicherheit. Der Ansatz von Proofpoint ist daher darauf ausgelegt, diese Schwachstellen zu erkennen und fördert eine auf den Menschen ausgerichtete Strategie, im Gegensatz zu einer «Einheitslösung».

CW: Proofpoint verfolgt den Ansatz der People Centric Security. Was muss man sich darunter vorstellen?

Toth: Um den Schutz des Unternehmens zu gewährleisten, ist es unerlässlich, dass Unternehmen ihr begrenztes Sicherheitsbudget dafür verwenden, ihren anfälligsten Kommunikationskanal – die E-Mail – abzusichern. Während die Netzwerk-, Web- und Endpoint-Sicherheit in der Gesamtstrategie wichtig sind, haben Studien gezeigt, dass E-Mail weiterhin der Angriffsvektor der Wahl für Cyberkriminelle ist. Fortschrittliche Sicherheitstechnologie gepaart mit effektivem IT-Sicherheitstraining bildet dabei die beste Verteidigung, wenn es darum geht, die zunehmend spezialisierten und mitunter auf Social Engineering basierenden Cyberattacken zu stoppen.

CW: Was raten Sie Unternehmen bei der Umsetzung dieses Ansatzes?

Toth: Für Organisationen ist an der Zeit, sich auf die am stärksten gefährdeten Mitarbeiter (Very Attacked People – VAPs) zu konzentrieren, anstatt den bekanntesten Köpfen des Unternehmens (den VIPs) ihre Hauptaufmerksamkeit zu widmen. Proofpoint verschafft Unternehmen zunächst einen Überblick darüber, wer diese Zielgruppe ist, und hilft anschliessend dabei, Mitarbeiter, Daten und die Benutzer selbst vor erweiterten Bedrohungen und Compliance-Risiken zu schützen. Die Einblicke, die Proofpoint seinen Kunden in deren Schwachstellen bietet, helfen Unternehmen dabei, ihre Unternehmens-IT bestmöglich abzusichern.
Proofpoint konzentriert sich unermüdlich darauf, Unternehmen in die Lage zu versetzen, ihr grösstes Risiko – ihre Mitarbeiter – zu schützen, indem Angriffe frühzeitig unterbunden werden und dadurch grösserer Schaden von der eigenen Organisation abgewendet werden kann.

CW: Worin unterscheidet sich Ihr Security-Modell von dem Ihrer Mitbewerber?

Toth: Unser Unternehmen wurde vor über 15 Jahren gegründet und E-Mail-Sicherheit ist seit jeher ein Teil unserer DNA. Wir haben uns zu einem Cybersecurity-Unternehmen der nächsten Generation weiterentwickelt, das seinen Kunden eine Cloud-basierte Plattform zum Schutz vor dem Angriffsvektor E-Mail bietet. Darüber hinaus zählt der Schutz vor neueren Vektoren wie Social Media und Cloud-Anwendungen zu unserem Portfolio. Was uns einzigartig macht, ist, dass wir Cybersicherheit mit dem Menschen im Mittelpunkt betrachten und uns auf Lösungen konzentrieren, die die VAPs einer Organisation schützen. Als das am schnellsten wachsende börsennotierte Cybersicherheits-Unternehmen hat Proofpoint im Laufe der Jahre mehrere strategisch wichtige Akquisitionen getätigt. Wir können daher eine breite Produkt-Palette anbieten, die mit einem Portfolio von mehr als 25 Cloud-basierten Lösungen, die alle auf die Bedürfnisse von Menschen in der modernen Arbeitswelt abgestimmt sind, unerreicht ist. Darüber hinaus unterstützen wir Unternehmen bei der Abwehr neuer Bedrohungen mit der weltweit grössten Sammlung von Bedrohungsdaten, mehreren Ebenen dynamischer und menschlicher Analysen und einem erfahrenen Team von Sicherheitsexperten.

CW: Wie empfänglich sind Schweizer Unternehmen für Social Engineering im internationalen Vergleich?

Toth: Die Anzahl von Attacken basierend auf E-Mail-Betrug nimmt exponentiell zu. Vor allem, weil derartige Attacken funktionieren, kostengünstig zu verwirklichen sind und für Kriminelle grosse finanzielle Vorteile bieten. Jüngste Untersuchungen von Proofpoint bei über 2000 führenden IT-Entscheidern haben ergeben, dass 77 Prozent der Unternehmen erwarten, dass sie in den nächsten 12 Monaten Opfer von E-Mail-Betrug werden. Unsere Untersuchungen zeigen auch keinen Zusammenhang zwischen der Grösse und dem Standort eines Unternehmens und seinem Risiko, Opfer eines Angriffs zu werden. Mit anderen Worten, jeder ist ein potentielles Ziel. Für Cyberkriminelle ist der Schweizer Markt besonders lukrativ, da er einer der grössten Finanzplätze der Welt ist. Die potentiellen Geldwerte, die Cyberkriminelle aufgrund dieser Tatsache erbeuten können, sind dementsprechend attraktiv.

Zudem sind für eine solche Attacke keine ausgefeilteren Techniken als E-Mail-Spoofing und klassisches Credential Phishing von Nöten. Durch die so genannten Email-Account-Compromise-Angriffe (EAC), also kompromittierte E-Mail-Postfächer, können Kriminelle ihre Opfer noch überzeugender hinters Licht führen, da sie sich mit gefälschten oder anderweitig gestohlenen Zugangsdaten einloggen und E-Mails von einem echten, vertrauenswürdigen Konto aus versenden können. Credential Reuse, Brute-Force-Angriffe und Credential-Stealing-Malware sind in diesem Zusammenhang beliebte EAC-Cybercrime-Taktiken.

Toth: Aus unseren regelmässigen Untersuchungen geht hervor, dass im zweiten Quartal 2018 das Volumen bösartiger E-Mails im Vergleich zum ersten Quartal des gleichen Jahres um 36 Prozent angestiegen ist. Das Jahr 2017 war durch massive E-Mail-Kampagnen mit schädlichen Anhängen gekennzeichnet. Dabei war die Gruppe TA505 für den grössten Anteil dieser Kampagnen verantwortlich. Ihre Motivation liegt im finanziellen Bereich und die Gruppe hat daher grosse Volumina (Millionen) an E-Mails mit bösartigen Anhängen an potentielle Opfer versendet. Die Kampagnen, die wir bisher in diesem Jahr bereits beobachten konnten, sind hingegen kleiner, aber zugleich vielfältiger hinsichtlich der Payloads. Darüber hinaus sind die Kampagnen eher auf URLs angewiesen, die im Gegensatz zu mit Malware infizierten Dokumenten im Dateianhang ein Opfer durch das Aufrufen eines Links mit Schadsoftware infizieren.

Toth: Im zweiten Quartal 2018 war ein Zuwachs von Ransomware-Attacken bei gleichzeitigen Rückgängen bei Credential-Stealern und Banking-Trojanern zu verzeichnen. Doch scheint die Erpressung von Lösegeld mit einem Anteil von elf Prozent am Gesamtvolumen bösartiger Nachrichten lediglich eine der vielen Methoden von Cyberkriminellen zu sein und nicht die dominierende Angriffsform im Quartal. Zudem stellen wir eine Konsolidierung von Bedrohungen wie GandCrab – eingeführt im ersten Quartal – und Sigma, einem relativ neuen Akteur in der Ransomware-Landschaft, fest.

Schliesslich bleibt Krypto-Geld die Währung der Wahl für jeden, der sich auf anonyme Transaktionen und mögliche Gewinne fokussiert. Da sich die Erfolgsaussichten von Ransomware-Attacken reduziert haben, wenden sich Cyberkriminelle nun oftmals anderen Optionen zu. Dazu zählen insbesondere Coin-Mining-Malware, Zusatzmodule für Banking-Trojaner und Mining-Software, die im Hintergrund des Browsers lauffähig ist, um Krypto-Geld verschiedenster Währungen zu generieren.

Toth: Wir konnten etwa beobachten, dass unsere Kunden im Schnitt 35 BEC-E-Mails in zweiten Quartal erhalten haben, was einem Anstieg von 26 Prozent zum ersten Quartal und einem 87-prozentigen Anstieg zum zweiten Quartal 2017 entspricht. Wie bereits in den vorangegangenen Quartalen sind diese Anstiege jedoch unabhängig von der Grösse des angegriffenen Betriebs. Unternehmen aller Grössen wurden gleichermassen Ziel derartiger Attacken, obwohl einige Branchen wie der Einzelhandel, Gesundheitswesen und Behörden einen grösseren Anstieg der BEC-Aktivität verzeichneten als ihre Pendants.