Sicherheitsrisiko Mitarbeiter

Eine kürzlich vom US-Cyberspezialisten Proofpoint veröffentlichte Studie über den Stand der Cybersecurity in Deutschland, Österreich und der Schweiz hat ein alarmierendes Ergebnis zutage gebracht: 67 Prozent der für die Studie befragten Unternehmen sind bereits Opfer von Cyberkriminalität geworden. Die dadurch entstehenden Schäden, wie durch Diebstahl von Geschäftsgeheimnissen, Störungen der Betriebsabläufe oder Verlust von Stammkunden, sind oft langfristig spürbar. Doch um die richtigen Gegenmassnahmen zu ergreifen, müssen die Unternehmen verstehen, wie die Cyberkriminellen vorgehen, um im kriminellen Sinne erfolgreich zu sein.

Dazu ist es wichtig zu verstehen, dass heutzutage nur noch ein verschwindend geringer Anteil der Hackerangriffe über den Versuch ­er­folgt, die technischen Abwehrmassnahmen wie Virenscanner, Spam-Filter und Firewalls zu überwinden. Es ist wesentlich einfacher, eine Mail an einen Mitarbeiter zu versenden und diesen zu einer unbedachten Aktion aufzufordern.

Dafür fälschen oder imitieren die Hacker einen legitimen Absender dieser E-Mail, beispielsweise einen Kollegen, Kunden, Lieferanten oder auch eine bekannte Institution. Diese Nachricht wird dann mit einem Word-, Excel- oder PDF-Dokument versehen, das mit Schadsoftware infiziert ist. Alternativ enthält die Mail einen Link, der zu einer Website führt, die statt des Dokuments mit der Malware programmiert wurde. Bei beiden Varianten wird in der Regel der Empfänger dazu aufgefordert, das Dokument oder die Webseite zu öffnen und gegebenenfalls aktive Inhalte zuzulassen. Das installiert dann die Schadsoftware direkt auf dem jeweiligen Computer oder fungiert als Türöffner, um dann die eigentliche Schadsoftware – auch als Payload bezeichnet – zu installieren. Das hat nahezu immer weitreichende Folgen, denn die Angreifer verfügen damit über den Zugang zur Unternehmensinfrastruktur, können Ransomware installieren, Unternehmensgeheimnisse ausspionieren oder auch weitere Firmenpartner über die Lieferketten verdeckt angreifen.

Aber es geht auch ohne Schadsoftware. Eine ebenfalls sehr beliebte Methode, um Anwender zu unbedachten Aktionen zu verleiten, ist Phishing – für die IT-Verantwortlichen punkto Cybersicherheit das häufigste Pro­blem, so die Proofpoint-Studie. Dieser Ansicht ist zumindest jeder zweite Befragte.

Beim Phishing versuchen die Hacker über unterschiedlichste Methoden, Zugang zu Log­in-Daten eines Anwenders, zum Beispiel für einen Cloud-Service wie Office 365 oder das Online-Banking, zu erhalten. Dies ist gerade in Zeiten von vermehrtem Home Office und der damit verbundenen intensiven Nutzung der Dienste von Microsoft, Google und Co. ein wachsendes Problem für die IT-Security.

Der Zugang eines Angreifers zu einem Office-365-Konto (EAC, E-Mail-Account Compromise) bedeutet fast immer auch Zugang zu dessen Mails und damit auch die Möglichkeit, in dessen Namen Nachrichten zu versenden und damit weiteren Schaden anzurichten. Diese Form des Angriffs erfolgt sowohl mit einer grossen Zahl an E-Mails an viele Empfänger als auch in Form von hochindividualisierten Attacken auf einzelne Personen.

Eine andere Form kommt ebenfalls ohne Code aus: BEC (Business E-Mail Compromise, auch als CEO-Betrug bekannt). Dabei spähen die Kriminellen die potenziellen Opfer über ­deren Social-Media-Aktivitäten aus, analy­sieren deren berufliches, soziales Umfeld und nutzen dieses Wissen dann für kriminelle ­Machenschaften. Es folgt eine auf diesen ­Nutzer und sein Umfeld zugeschnittene, gefälschte E-Mail beispielsweise des vermeint­lichen ­Vorgesetzen, in der dann vielleicht die Änderung einer Kontoverbindung eines Zulieferers angefragt wird. Alternativ wird auch um die ­Zusendung privater Daten von Kollegen (angeblich aus oder für die Personalabteilung) respektive von Geschäftsgeheimnissen gebeten oder ­direkt um eine Überweisung an einen wichtigen Geschäftspartner im Namen eines hochrangigen Managers ersucht.

Die daraus entstehenden Schäden erreichen mittlerweile sehr hohe Summen: BEC und EAC haben weltweit zwischen Juni 2016 und Juli 2019 nach Angaben des FBI zusammen mehr als 26 Milliarden US-Dollar Schaden verursacht. Diese beiden sind damit die teuersten Varianten digitaler Attacken auf Unternehmer, Ämter, Behörden und andere Organisationen.

All diese Angriffsformen haben jedoch eines gemeinsam: Die E-Mails an sich sind harmlos, von Firewalls und Virenscanner nahezu nicht zu entdecken und sie erfordern die aktive Beteiligung der Anwender, um Wirkung zu entfalten. Gleichzeitig ist der Aufwand der Kriminellen sehr gering. Es reicht eine einzig gut gemachte Fälschung einer E-Mail an eine Person ohne irgendwelchen Code oder gar Programmierkenntnisse, um enormen Schaden zu ver­ur­sachen.

Die genannte Proofpoint-Studie zeigt dabei ebenfalls, dass sich viele der IT-Security-Verantwortlichen in den Unternehmen zumindest in Teilen dieser Bedrohung bewusst sind: So sind mit 53 Prozent der befragten CSOs (Chief Security Officer) und CISOs (Chief Information Security Officer) mehr als die Hälfte der befragten Entscheider der Meinung, dass ihre Mitarbeiter anfällig für Cyberangriffe seien.

Es gilt also, zwei Dinge zu tun: Zum einen müssen traditionelle IT-Security-Lösungen um neue Services ergänzt werden, die in der Lage sind, diese Angriffs-E-Mails zuverlässig zu identifizieren und deren Zustellung an die Anwender zu blockieren. Zum anderen müssen die Mitarbeiter über diese Bedrohungen Bescheid wissen, um entsprechend zu reagieren.

Zunächst zur Technik. Moderne Lösungen sollten in der Lage sein:

Doch auch die beste Technik schafft es nicht, die Zustellung aller gefährlichen E-Mails zu verhindern. Entsprechend gilt es, die Mitarbeiter für aktuelle Bedrohungen zu sensibi­li­sieren. Das geschieht noch viel zu selten, denn mehr als drei Viertel (77 Prozent) der in der Proofpoint-Studie Befragten trainiert
seine Mitarbeiter höchstens zweimal im Jahr. In einem dynamischen Markt wie der IT-Sicherheit viel zu selten.

Dabei wäre es wichtig zu wissen, welche Mitarbeiter werden denn am häufigsten in welcher Form attackiert? Denn es sind keineswegs nur die Mitglieder der Geschäftsleitung, die angegriffen werden. Ein Mitarbeiter in der Einkaufsbuchhaltung oder der Personalabteilung ist für die Hacker genauso interessant. Auch diese können daher sehr schnell zur Very Attacked Person (VAP) werden. Gerade diese VAPs sollten über gut simulierte Attacken mit Vor­lagen von echten Cyberattacken trainiert werden. Damit helfen die Unternehmen ihnen, legitime E-Mails von potenziell gefährlichen zu unterscheiden und bei Dokumenten sowie Links grösste Vorsicht walten zu lassen. Der Erfolg kann sich sehen lassen: Diese interaktiven Schulungen helfen dabei, die Klickraten auf möglicherweise gefährliche Links und Dokumente um bis zu 90 Prozent zu reduzieren.

Auf diese Weise sorgt die Kombination modernster Technik mit geschulten, sensibilisierten Userinnen und Anwendern für nachhaltige Verbesserung der IT-Sicherheit in Unternehmen und Organisationen.