In der Corona-Krise hat sich einmal mehr gezeigt, dass der «Faktor Mensch» in der Cyberabwehr eine zentrale Rolle spielt. Computerworld unterhielt sich mit Irene Marx, Country-Managerin für die Schweiz und Österreich bei Proofpoint, über aktuelle Cybersecurity-Trends und besonders über die Gefahr von Insidern auf die IT-Sicherheit von Unternehmen.

Irene Marx: Es ist sicherlich weltweit eine Ausnahmesituation und eine spezielle Herausforderung für die IT-Security vieler Unternehmen. Von einem Tag auf den anderen mussten ganze Belegschaften remote arbeiten und von zuhause auf Applikationen und Daten zugreifen, die früher hinter der scheinbar sicheren Firmen-Firewall waren.

Wir haben bei der ganzen Situation beobachten können, dass Unternehmen sich zunächst einmal bemüht haben, ihren Mitarbeitern überhaupt den Zugriff zu ermöglichen. Der Fokus lag somit zu Beginn auf sehr grundlegenden Fragen, wie: Haben alle einen Laptop oder eine schnelle Internetverbindung? Erst im zweiten Schritt, machte man sich Gedanken, ob das alles auch sicher ist.

In Sachen IT-Security wurde dabei besonders ein Aspekt augenscheinlich, der vorher nicht derart prominent zutage getreten ist: Dass nämlich der Mensch der Perimeter des Unternehmens ist. Selbst innerhalb von Firmen und hinter der angeblich sicheren Firewall ist es ja so, dass der Mensch derjenige ist, der angegriffen wird. Durch die Home-Office-Situation wurde dies nun noch deutlicher.

Marx: Es ist deutlich geworden, dass «Hoffnung» hier keine Strategie ist. Ich kann als IT- oder Cybersecurity-Verantwortlicher nicht darauf hoffen, dass nichts passieren wird und die Mitarbeiter schon nichts tun werden, was sie nicht sollten. Vielmehr sollten sie eine Strategie entwickelt haben, wie die Angestellten geschult und trainiert werden, damit sie typische Fehler nicht machen und sich der Gefahren bewusster werden.

CW: Wie haben Cyberkriminelle auf die Situation reagiert? Haben Sie beispielsweise die Zeit der Unsicherheit zwischen der Infrastruktur-Bereitstellung und -Absicherung ausgenutzt?

Marx: Absolut. Genau in dieser Phase der Verunsicherung haben wir einen unglaublichen Anstieg an Angriffen wahrnehmen können. So wurden in diesem Zeitraum zahlreiche Phishing-Versuche gestartet. Dabei wurden eine Vielzahl von Corona-Look-a-like-Domains und zugehörige Webseiten erstellt, die dann aber keine Informationen zur Pandemie enthielten, sondern Malware verteilten. Zudem haben wir beobachtet, dass bewusst die Verunsicherung auch bei Unternehmern ausgenutzt wurde. So kursierten Phishing-Mails, die vorgaben, von offizieller Stelle zu stammen und ankündigten, dass die Firma auf Grund der Pandemie geschlossen würde. Daran sieht man, dass die Kampagnen immer gezielter werden und professioneller aufgemacht sind. In den besagten Fällen wurden nämlich die richtigen Namen der Firmenchefs und der Unternehmen verwendet.  Bei derart professionellen Phishing-Mails klickt man fast unweigerlich auf den angegebenen Link.

Die Erfahrungen aus dem Lockdown bestätigen schliesslich die Ergebnisse von Untersuchungen, die zeigen, dass 96 Prozent der Angriffe mit einem Mail beginnen. Eine Mail an sich ist noch nichts Schlimmes. Es braucht somit den Menschen, der darauf klickt.

Marx: Was man jetzt schon sagen kann, ist, dass Cyberkriminelle immer weniger mit dem Giesskannenprinzip vorgehen, sondern sehr gezielt. Die Phishing-Mails in holprigem Deutsch sind definitiv passé. Was wir dagegen vermehrt beobachten, sind so genannte «Business-E-Mail-Compromises». Da wird sehr gezielt auf Entscheidungsträger eingewirkt, um sie etwa dazu veranlassen, grössere Beträge zu überweisen. Dabei nisten sich die Cyberkriminellen oft ein und beobachten den Mailverkehr über einen längeren Zeitraum. Steht dann etwa ein grosser Geld-Transfer an, wird sich eingemischt. Hierbei werden auch oft die Mail-Accounts der Betroffenen gekapert und Schreiben im Namen der Betroffenen verschickt. Das ist ein Trend, den wir eindeutig sehen.

Marx: Definitiv. Ein Trend in diesem Bereich ist die Nutzung der sozialen Medien durch die Cyberkriminellen. Im Geschäftsumfeld werden etwa die LinkedIn-Konten untersucht, um herauszufinden, wer mit wem verknüpft ist. Diese Informationen werden dann für die gezielte und dadurch auch sehr glaubhafte Adressierung der Opfer verwendet.

Eine weitere Social-Engineering-Taktik, die wir beobachten, sind regelrechte Bestechungsversuche. Es werden Mitarbeiter angegangen mit dem Angebot, einen bestimmten Geldbetrag zu überweisen, wenn der Betreffende im Unternehmen die Installation von Schadcode zulässt, der es den Angreifern dann ermöglicht, das Unternehmen auszuspionieren. Dieser Fall ist in den USA aufgedeckt worden, weil der Betroffene selbst den Bestechungsversuch dem FBI gemeldet hat.

CW: Interessant: Hier wird also versucht, Mitarbeitende zu Mittätern zu machen…

Marx: Genau. Es wird künftig schwieriger werden hier eine Unterscheidung zu machen, denn die Grenzen zwischen Opfer und Täter beginnen sich zu verwischen. Ab wann bin ich Täter? Wenn ich ein Phishing-Mail nur erhalte, bin ich noch Opfer. Klicke ich aber auf den Link, bin ich zwar auch noch ein Opfer, werde aber in einem gewissen Sinn auch zum Täter. Es wird also künftig immer wichtiger sein, zu wissen, wann man Opfer ist, damit man nicht zum Täter wird.

Marx: Es gibt zwei Typen von Insidern, die zu unterscheiden sind. Den nachlässigen Mitarbeitenden, der, ohne es zu wissen, Firmendaten preisgibt, sowie den böswilligen, der wissentlich und absichtlich gegen das eigene Unternehmen handelt. In beiden Fällen geraten Unternehmensdaten in fremde Hände.

Gerade in der diesjährigen Corona-Situation hat sich gezeigt, dass die Gefahr von nachlässigen Insidern etwas virulenter ist, da es im Home Office mehr Ablenkungsmöglichkeiten gibt. Zuhause kommt es doch öfters als im Büro zu Situationen, bei denen man den Firmen-Laptop für private Dinge verwendet. So kann man sich gut vorstellen, dass etwas mit dem Schul-PC des Kindes nicht funktioniert und in der Folge das Firmen-Gerät für das Herunterladen der Hausaufgaben verwendet wird. Durch dieses private Umfeld rückt die Unternehmens-Infrastruktur in die privaten Abläufe hinein, wodurch potentiell neue Gefahren entstehen.

Marx: Hier muss Security um den Menschen aufgebaut werden. Dies geschieht am besten mit unterschwelligen, aber beständigen Awareness-Trainings der Mitarbeitenden. Sicherlich die falsche Strategie ist es in diesem Zusammenhang, zwei Mal im Jahr der Belegschaft ein Training aufzuerlegen, bei der sie sich durch zahlreiche Fragen durchklicken müssen. Das ist fast so sinnvoll, wie wenn man einmal für die Erlangung des Führerausweises einen Nothilfekurs absolviert und die dort gelernten Methoden nie wiederholt.

Marx: Nehmen wir das Beispiel Phishing. Hier werden den Mitarbeitenden aktuelle Beispiele von Phishing-Mails zugeschickt und beobachtet, ob diese als solche erkannt werden. Klicken sie nicht auf den Link, haben bisherige Sensibilisierungs-Kampagnen vielleicht schon ihre Wirkung gehabt. Klickt jemand aber auf den Link, wird er auf sein Fehlverhalten aufmerksam gemacht. Dabei geht es nicht darum den Betreffenden blosszustellen. Vielmehr kann davon ausgegangen werden, dass der Lerneffekt dann am grössten ist, wenn man sich eines Fehlers bewusst wird. Hinzu kommt, dass der so Trainierte, wenn dann in der nächsten Zeit ein sehr ähnlich geartetes, aber echtes Phishing-Mail in seinem Postfach landet, wohl kaum nochmals den gleichen Fehler macht und auf den Link klickt.

Wichtig bei der ganzen Anlage solcher Kampagnen ist auch, dass diese sehr spezifisch auf die Mitarbeitenden zugeschnitten sind. So sollten Mitglieder der HR-Abteilung oder Lageristen jeweils auf Ihren Aufgabenbereich zugeschnittene Phishing-Mails erhalten.

Marx: Die sind sehr erfolgreich. Messungen haben ergeben, dass mit solchen interaktiven Trainings eine bis zu 90-prozentige Reduktion an Klicks auf potentiell gefährliche E-Mails erreicht werden kann. Das ist doch ein signifikanter Unterschied zu traditionellen Kampagnen, bei denen Mitarbeitende gelegentlich ein anderthalbstündiges Awareness-Video anschauen müssen.

Marx: Hier lässt sich das Verhalten dieser Mitarbeiter über einen längeren Zeitraum beobachten und untersuchen. Dabei lässt sich eine Abfolge von eigentlich legitimen Abläufen in Korrelation setzen, mit dem Ergebnis, dass das System den IT-Security-Verantwortlichen vor einem möglicherweise bösartigen Insider warnt.

Ich geben Ihnen ein Beispiel: Ein Mitarbeiter der Finanzabteilung lädt die Gehaltsliste herunter und gibt der Datei einen unverfänglichen Namen wie etwa «Urlaubsfotos». Jetzt passiert 14 Tage lang nichts. Doch danach eröffnet der Angestellte ein Dropbox-Konto. Wieder wartet der Betreffende eine Woche, bevor er die Urlaubsfoto-Liste in seinen Dropbox-Account hochlädt. All diese Aktionen sind ja für sich gesehen harmlos und lassen noch keine bösen Absichten vermuten. Warum sollte der Mitarbeiter nicht die Excel-Tabelle umbenennen? In der Kombination wird es aber klar, dass hier wichtige Daten nach aussen gelangen, und dies in böswilliger Absicht.