Im Cyberkrieg die Oberhand behalten

Egal, ob Phishing, DDoS-Attacken oder gar selbstverschuldete Datenverluste, eines ist klar: Die IT-Sicherheit ist eine der grössten Baustellen vieler IT-Abteilungen. So haben im diesjährigen State of the Phish Report von Proofpoint 83 Prozent der befragten IT-Sicherheitsteams angegeben, dass ihr Unternehmen im vergangenen Jahr Phishing-Attacken erlebte. Im Vergleich zum Vorjahr bedeutet das einen Anstieg um 7 Prozent. Hinzu kommt, dass laut des Data Breach Investigation Reports des Telkos Verizon in 96 Prozent der Cyberangriffe eine E-Mail an einen Mitarbeiter den Angreifern als Einfallstor diente. Entsprechend paradox mutet es daher an, dass die Investitionen in E-Mail-Sicherheit auf einem vergleichsweise niedrigen Niveau stagnieren. Nach Angaben des Marktforschungsinstituts Gartner entfallen lediglich 8 Prozent des IT-Security-Budgets auf die Absicherung des E-Mail-Kanals.

Diesen überschaubaren Ausgaben stehen auf der anderen Seite hohe Kosten für die Folgen eines – aus Sicht der Kriminellen – erfolgreichen Angriffs gegenüber. IT-Sicherheitsteams nennen hier zu 67 Prozent den Produktivitätsverlust der Mitarbeitenden, gefolgt vom Verlust sensibler Informationen (54 %) und der Rufschädigung (50 %). Als weitere Kostentreiber als Folge einer Attacke benannten einige Sicherheitsverantwortliche darüber hinaus finanzielle Verluste durch betrügerische Banküberweisungen, Rechtsberatungskosten und Geldstrafen, Compliance-Probleme, eine allgemein grössere Belastung des IT-Teams, Schäden für die Reputation der IT-Sicherheitsteams, Adhoc-Investitionen in neue Technologien, einschliesslich Mehrfaktor-Authentifizierung (MFA) sowie verärgerte Kunden und Mitarbeitende nach einer Datenschutzverletzung.

Cyberkriminelle greifen aber auch zunehmend auf Informationen von Social-Media-Accounts zurück, um diese später unter anderem für Phishing-Attacken zu missbrauchen. Aber auch Angriffe über das Telefon (Voice Phishing – Vishing) und SMS (Smishing) nehmen zu. Als Gefahrenquellen zu nennen sind ausserdem unzureichende Richtlinien im Bereich Datenmanagement oder zu laxe Vorkehrungen betreffend der physischen Sicherheit; beide Bereiche können schnell zu Datenpannen und dem Diebstahl vertraulicher Geschäftsinformationen führen.

In diesem Zusammenhang sollten sich die für die IT-Sicherheit verantwortlichen Teams im Unternehmen auch fragen, wie sicher die eigenen Vorgaben sind und wie gut deren Umsetzung funktioniert. Mangelnde Sorgfalt auf diesem Feld kann schnell dazu führen, dass Zugangsdaten abgegriffen werden und Kriminelle leichtes Spiel beim Zugriff auf unternehmenskritische Systeme und Daten haben. Nicht zuletzt ist es das fehlende Wissen der Mitarbeitenden ob der Gefahren aktueller Angriffsmethoden und des richtigen Verhaltens im Verdachtsfall, das einen arglosen E-Mail-Empfänger unfreiwillig zum Mittäter machen kann.

Dazu muss man sich nur ins Gedächtnis rufen, dass heutzutage 99 Prozent aller Betrugsangriffe eine Aktion des E-Mail-Adressaten voraussetzen, um ihr böswilliges Werk zu vollenden. Umso wichtiger ist es, alle verfügbaren technischen Massnahmen zu ergreifen, um die Anzahl betrügerischer E-Mails, die das E-Mail-Postfach erreichen, auf ein absolutes Minimum zu reduzieren – um dann das Restrisiko durch umfassende, aktuelle und zielgerichtete Trainings nachhaltig zu begrenzen.

Doch Angreifer bedienen sich auch anderer Methoden und senden reine Text-E-Mails mit manipulativem Inhalt an nichts ahnende Angestellte. So kommt die kriminelle Masche des CEO-Betrugs oder Business E-Mail Compromise (BEC) in aller Regel ganz ohne Anhang beziehungsweise ohne Malware aus. Die E-Mail ist so hervorragend gefälscht, dass sie von einem hochrangigen Repräsentanten des eigenen Unternehmens zu kommen scheint und den Mitarbeitenden dazu auffordert, Geld zu überweisen oder vertrauliche Informationen preiszugeben. Umso schwieriger ist es für den Einzelnen, sie zu entlarven. Und auch traditionelle E-Mail-Filter stossen hier an ihre Grenzen.

IT-Sicherheitsteams können dem einzelnen Mitarbeitenden jedoch helfen, indem sie alle eingehenden E-Mails umfassend und mit einem speziellen Fokus auf sogenannte Impostor-Angriffe hin analysieren. Wenn eine E-Mail dann verdächtig erscheint – sie zum Beispiel einen vorgegebenen Schwellenwert, der auf verschiedenen Kriterien basiert, überschreitet – kann das Sicherheitsteam bestimmen, ob die betreffende Nachricht etwa zur weiteren Prüfung unter Quarantäne gestellt wird, um so eine unbedachte und vorschnelle Aktion des Adressaten zu verhindern. Authentifizierungsstandards wie DKIM, SPF und DMARC helfen zudem, das Domain Spoofing – die häufigste Technik für E-Mail-Betrug – effektiv einzudämmen.

Letztlich sollte aber nicht nur der Zugang von aussen kontrolliert werden. Auch ausgehende E-Mails können eine Gefahr darstellen, wenn versucht wird, darüber vertrauliche Finanzdaten oder Personalunterlagen an Dritte zu senden. Durch technische Lösungen kann das Versenden bestimmter Dokumente – man denke beispielsweise an geplante Patente – eingegrenzt werden.

Viele Unternehmen haben bereits IT-Sicherheitstrainings in ihr Schulungsportfolio aufgenommen. Mitarbeitenden soll dabei die richtige Vorgehensweise zum Erkennen von und den Umgang mit Cyberattacken beigebracht werden. Doch auch Cyberkriminelle haben dazugelernt und gehen bei ihren Angriffen gegen Endnutzer im Unternehmen immer ausgeklügelter vor. Deshalb ist ein zu eng gefasstes Training, das nur auf bestimmte Komponenten rund um das Spannungsfeld Cyberkriminalität abzielt, nicht ausreichend, um Schaden von Angestellten und ihren Unternehmen abzuwenden. Die folgenden drei Faktoren helfen bei der Definition eines geeigneten Trainings:

Quantität: Zu wenige Cybersicherheitsschulungen können nicht zur notwendigen Festigung des Wissens und einer nachhaltigen Verhaltensänderung führen. Heute finden entsprechende Schulungen laut des eingangs erwähnten State of the Phish Reports 2019 bei 22 Prozent der Unternehmen nur einmal im Jahr statt. Auf der anderen Seite können zu eng getaktete Trainings zu Irritation, Verärgerung oder Schulungsmüdigkeit der Nutzer beitragen.

Konsequenzen: Vergegenwärtigt man sich die Kosten einer Cyberattacke – in finanzieller Hinsicht, aber auch den Ruf der Abteilung und des Unternehmens betreffend –, ist es nicht verwunderlich, wenn viele IT-Sicherheitsteams Konsequenzen fordern, sollten Mitarbeitende trotz Training wiederholt auf simulierte Angriffe hereinfallen. Der Ruf nach finanziellen Strafen ist vorhanden (geahndet wird bisher nur bei 2 % der befragten Unternehmen), selbst die Kündigung halten 12 Prozent für angebracht. Der Trend geht hingegen deutlich in Richtung positiver Verstärkung und deshalb sehen Konsequenzmodelle heute primär weitere Schulungen (66 %) und Beratung durch den Vorgesetzten (76 %) vor.

Aktualität: Phishing-Attacken zu simulieren, gehört zum guten Ton bei Cybersicherheitstrainings. Dennoch ist Phishing nicht gleich Phishing. So zeichnet sich im Bereich der Kompromittierung von Anmeldedaten ein gefährlicher Aufwärtstrend ab, dem durch entsprechende Trainingsmassnahmen entgegengesteuert werden muss. Es steigt nicht nur die Anzahl solcher Attacken, sondern auch die durchschnittliche Wahrscheinlichkeit, dass Nutzer bei simulierten E-Mail-Angriffen auf diese hereinfallen, liegt über dem allgemeinen Durchschnitt. In Anbetracht dieser gefährlichen Kombination aus Gelegenheit und Schwachstelle kann der Rat nur lauten, Schulungen stets auf die aktuelle Gefahrenlage abzustimmen und die Anfälligkeit der Benutzer für diese neue Angriffsart zu testen.

Wenn die Kompromittierung von Anmeldedaten und damit der ungehinderte Zugriff auf vertrauliche Informationen, die Infektion mit Malware und letztlich Datenverlust auf dem Spiel stehen, gilt es umso mehr, das grösste Sicherheitsrisiko heutiger Unternehmen – den einzelnen Mitarbeiter – effektiv und umfassend zu schützen.