Durch die Corona-Pandemie und den Umstieg auf Home Office wurde ein Problem, das schon lange existiert, deutlich verschärft: Die Naivität der Anwenderinnen und Anwender gegenüber Cyberkriminalität. Dabei stehen Existenzen auf dem Spiel. [...]
Der Digitalverband Bitkom hat Anfang August eine Studie veröffentlicht, aus der hervorgeht, welchen Schaden Cyberkriminalität deutschen Unternehmen zufügt. Die erschreckenden Zahlen: Durch Diebstahl, Spionage und Sabotage entsteht der deutschen Wirtschaft derzeit ein Gesamtschaden von 223 Milliarden Euro pro Jahr. Damit ist die Schadenssumme mehr als doppelt so hoch wie in den Jahren 2018/2019. Haupttreiber des enormen Anstiegs sind Erpressungsvorfälle, verbunden mit dem Ausfall von Informations- und Produktionssystemen sowie der Störung von Betriebsabläufen. Sie sind meist unmittelbare Folge von Ransomware-Angriffen. Die so verursachten Schäden haben sich im Vergleich zu den Vorjahren 2018/2019 mehr als vervierfacht. Aktuell sieht jedes zehnte Unternehmen seine geschäftliche Existenz durch Cyberattacken bedroht. »Die Wucht, mit der Ransomware-Angriffe unsere Wirtschaft erschüttern, ist besorgniserregend und trifft Unternehmen aller Branchen und Größen«, kommentiert Bitkom-Präsident Achim Berg. Dazu kommen gestohlene Kunden- und Unternehmensdaten, die nicht nur Reputationsschäden verursachen, sondern auch zum Verlust von Wettbewerbsfähigkeit führen. »Der Diebstahl von geistigem Eigentum kann für die innovationsgetriebene deutsche Wirtschaft schwerwiegende Konsequenzen haben.«
Social Engineering als Startpunkt vieler Angriffe
Ein Großteil der Angriffe beginnt mit Social Engineering, der Manipulation von Beschäftigten, so die Bitkom-Studie. Die Kriminellen nutzen den Faktor Mensch als schwächstes Glied der Sicherheitskette aus, um etwa sensible Daten wie Passwörter zu erhalten. Bei 41 Prozent der befragten Unternehmen gab es zuletzt solche Versuche – 27 Prozent der Befragten gaben an, unter anderem per Telefon kontaktiert worden zu sein, 24 Prozent per E-Mail. Das dürfte vor allem auch auf die veränderten Arbeitsbedingungen im Zuge der Corona-Pandemie zurückzuführen sein.
59 Prozent der befragten Unternehmen, bei denen Home Office grundsätzlich möglich ist, gaben an, seit Beginn der Pandemie habe es IT-Sicherheitsvorfälle gegeben, die auf die Heimarbeit zurückzuführen seien. In 24 Prozent dieser Unternehmen sei das sogar häufig geschehen. Sofern ein Angriff mit dem Home Office in Verbindung stand, ist daraus in der Hälfte der Fälle (52 Prozent) auch ein Schaden entstanden. Berg: »Mitarbeiterinnen und Mitarbeiter einfach zum Arbeiten nach Hause zu schicken, genügt nicht. Ihre Geräte müssen gesichert, die Kommunikationskanäle zum Unternehmen geschützt und die Belegschaft für Gefahren sensibilisiert werden. Wer das nicht tut, verhält sich fahrlässig.«
Proofpoint hat sich das hausgemachte Problem genauer angesehen. Für die jüngste Ausgabe der Studie »Der Faktor Mensch« untersuchten die Sicherheitsforscher, mit welchen Methoden Cyberkriminelle den Menschen als Schwachstelle auszunutzen versuchen. Aus der Studie geht zudem hervor, wie die außergewöhnlichen Ereignisse des vergangenen Jahres die aktuelle Bedrohungslandschaft geprägt haben. »Angreifer hacken sich nicht in Systeme, sie loggen sich schlicht ein. Und der Mensch ist nach wie vor der entscheidende Faktor, den sich Angreifer dabei zunutze machen. Die Bedrohungsszenarien haben sich im vergangenen Jahr weiterentwickelt«, sagt Ryan Kalember, EVP of Cybersecurity Strategy bei Proofpoint. »Neben einer beunruhigenden Zunahme beim Volumen und der Raffinesse von Ransomware- und BEC-Angriffen – also Business E-Mail Compromise – konnten wir auch einen massiven Anstieg bei weniger bekannten Methoden feststellen. So zum Beispiel bei CAPTCHA-Techniken und Steganografie, die sich als überraschend effektiv erwiesen haben.« Bei Angriffen, bei denen CAPTCHA-Techniken zum Einsatz kamen, wurde 50 Mal so häufig geklickt wie im Jahr zuvor. Da Menschen CAPTCHAs üblicherweise mit Maßnahmen zur Betrugsbekämpfung bei der Arbeit aus dem Home Office in Verbindung bringen, fielen fünf Prozent der Betroffenen auf diese Taktik herein – eine Steigerung um 5.000 Prozent.
Cyberkriminelle setzten zudem auf Remote Access Trojaner (RAT). Tatsächlich wurde in fast jeder vierten Cyberkampagne, bei der E-Mails als Angriffsvektor verwendet wurden, RAT-Schadsoftware eingesetzt. So wuchs beispielsweise das Volumen an Cyberbedrohungen, die Cobalt Strike enthielten – ein kommerzielles Sicherheitstool, das Unternehmen beim Aufspüren von Schwachstellen in ihren Systemen unterstützt – um 161 Prozent.
Ein Viertel aller Cyberkampagnen nutzte komprimierte ausführbare Dateien, um Malware zu verstecken. Bei dieser Methode muss ein Benutzer mit einem gefährlichen Anhang wie einer Excel-Tabelle oder einer PowerPoint-Präsentation interagieren, um die Payload auszuführen.
Phishing-Simulationen
Um herauszufinden, wo die größten Schwachstellen sind, veranstaltet Proofpoint simulierte Phishing-Angriffe unter realen Bedingungen. Dabei unterscheidet das Unternehmen zwischen der Art, bei der die meisten Fehler seitens der Anwender passieren, sowie die Branchen und Abteilungen, die für Phishing-Attacken grundsätzlich anfälliger sind. Bei der Art führen E-Mail-Anhänge, die eine schädliche Datei enthalten. 20 Prozent der Kandidaten klickten darauf. Danach folgen Links, die von 12 Prozent geklickt werden und zu Malware und schädlichen Websites führen. Unter »Dateneingabe« (4 Prozent) subsumieren die Sicherheitsexperten Aktionen, die die Anwender zu gefälschten Anmeldeseiten führen, die wiederum Anmeldedaten und andere personenbezogene Daten stehlen.
Die Phishing-Simulationen zeigen zudem, dass einigen Branchen überdurchschnittlich anfällig sind. Beispielsweise fielen Anwender in Unternehmen aus dem Entwicklungsbereich, der Telekommunikation, Bergbau und dem Bildungssektor eher auf einen Köder herein. Am anderen Ende des Spektrums standen Empfänger aus den Branchen Gastgewerbe/Freizeit und Unterhaltung/Medien, die am seltensten klickten. Die Fehlerquoten auf Abteilungsebene bieten einen weiteren Überblick über potenzielle Schwachstellen im Unternehmen. Die Abteilungen für Einkauf, IT, Forschung und Entwicklung, Steuern, Personal und Audits fielen am seltensten auf simulierte Phishing-E-Mails herein. Im Gegensatz dazu wurde in den Abteilungen Gebäudemanagement, Wartung, Qualitätskontrolle und Technik am häufigsten der Köder geklickt.
Zero Trust
Eine technische Antwort auf das Bedrohungsszenario, bei dem die Anwenderinnen und Anwender eine zentrale Rolle spielen, ist Zero Trust. Hier wird jedes Gerät beziehungsweiser jeder User innerhalb oder außerhalb des eigenen Netzwerks zunächst standardmäßig als nicht vertrauenswürdig eingestuft. Vertrauen wird Schritt für Schritt aufgebaut, etwa durch die Zwei-Faktor-Authentifizierung, die eine KI überwacht. Okta hat in der Studie »State of Zero Trust Security 2021« herausgefunden, dass 90 Prozent derzeit an einer Zero-Trust-Initiative arbeiten oder planen, dies in den nächsten 12 bis 18 Monaten zu tun – im Vergleich zu nur 41 Prozent noch vor einem Jahr. 2019 war Zero Trust nur für 18 Prozent der europäischen Unternehmen eine Priorität.
Auch die Hersteller verlagern zunehmend ihr Angebot in Richtung des Zero-Trust-Ansatzes. Beispiel ESET: Die aktuelle PROTECT-Produktlinie des europäischen Sicherheitsanbieters beinhaltet das von der Harvard Universität konzipierte Zero-Trust-Konzept, das weiterentwickelt und auf die Bedürfnisse unterschiedlicher Organisationsgrößen zugeschnitten wurde. Die User erhalten damit ein dreistufiges, aufeinander aufbauenden Reifegradmodell: je höher die Stufe, desto besser die Schutzwirkung.
Be the first to comment