Wir möchten auf unserer Internetseite Dienste von Drittanbietern nutzen, die uns helfen, unsere Werbeangebote zu verbessern (Marketing), die Nutzungsweise unserer Internetseite auszuwerten (Performance) und die Internetseite an Ihre Vorlieben anzupassen (Funktional). Für den Einsatz dieser Dienste benötigen wir Ihre Einwilligung, welche jederzeit widerrufen werden kann. Informationen zu den Diensten und eine Widerspruchsmöglichkeit finden Sie unter „Benutzerdefiniert“. Weitergehende Informationen finden Sie in unserer Datenschutzerklärung.

Use #itsa20

12. - 14. Oktober 2021 // Nürnberg

Social Engineering: Verführt zum Klick

© Tree4Two / www.istockphoto.com

Malware spielt bei Angriffen auf Unternehmen nur eine untergeordnete Rolle

So gut wie immer ist das Einfallstor ins Netzwerk von ausgespähten Firmen ein schwer zu schützender Unternehmensteil: der Mensch. Firewalls sind nutzlos, es helfen nur Aufklärungskampagnen.

Die gute Nachricht aus der Welt der Industriespionage: Cyber-Kriminelle haben sich keine neuen Mittel einfallen lassen, um in Netzwerke einzudringen. Die schlechte Nachricht dabei: Müssen sie auch nicht, weil die alten Wege – immer noch bestens funktionieren. Allen voran: Social Engineering. Social Engineering beschreibt die Verführungskünste von Kriminellen: Per Social Engineering verleiten die Spione Mitarbeiter des betroffenen Unternehmens dazu, Passwörter auf (perfekt nachgeahmten) Phishing-Seiten einzugeben oder auf vergiftete E-Mail-Anhänge zu klicken.

So gut wie alle aufgeklärten Fälle von Industriespionage lassen sich auf Social Engineering zurückführen. Erst wenn der Mensch überlistet wurde, setzen die Angreifer Software ein. Schadsoftware ist hierfür nicht immer nötig, in manchen Fällen missbrauchen die Angreifer auf den Systemen vorinstallierte Werkzeuge – und schrecken Antiviren-Software damit gar nicht erst auf.

Die von Industriespionen versandten Phishing-Nachrichten sind nicht vergleichbar mit den plumpen Phishing-Versuchen, die in den Postfächern von privaten Nutzern landen. Sie basieren auf zuvor gesammelten Informationen, die der jeweiligen Person glaubhaft erscheinen. Man spricht dann von Spear-Phishing, da die Nachrichten präzise wie ein Speer losgeschickt werden.

Nicht die Führungsetage im Visier

Wichtig beim Definieren von Abwehrmaßnahmen: Ziel der Spear-Phishing-Attacke sind nicht zwingend leitende Mitarbeiter oder Forscher, die an den von den Spionen begehrten Projekten arbeiten. Vielmehr spielen die Kriminellen über Bande und attackieren beliebige Mitarbeiter, über die sie zuvor hinreichend Informationen sammeln konnten.

Oft werden Mitarbeiter angeschrieben, die im Rahmen ihrer Tätigkeit ohnehin regelmäßig Post von unbekannten, externen Sendern samt Anhang bekämen. In den Personalabteilungen beispielsweise schrillen keine Alarmglocken, wenn E-Mails inklusive Word- oder PDF-Anhang auftauchen. Ist der Rechner des nichtsahnenden Mitarbeiters erst einmal unter Kontrolle, hangeln sich die Angreifer nach und nach durchs Netzwerk.

Erst dann kommt Malware zum Einsatz. Diese dient inzwischen anderen Zwecken als noch vor eineinhalb Jahren: Bis dahin hatten es die Kriminellen direkt auf die betreffende Führungskraft oder den mit den spannenden Themen betrauten Forscher abgesehen. War dessen Maschine infiziert, musste die zum Absaugen der Daten verwendete Software noch nicht einmal über Admin-Rechte auf dem lokalen PC oder gar einem Server haben: Die Rechte des Mitarbeiters genügten, um an die relevanten Dateien heranzukommen. Unterm Strich verschwanden die Kriminellen also so schnell aus dem Netzwerk, wie sie gekommen sind.

Heute sieht die Lage anders aus: Das Hauptziel der Angreifer ist in aller Regel die Kontrolle über das komplette Netzwerk. Sie nisten sich tief in diversen Servern ein, ähnlich der Attacke auf das Netzwerk des Bundestags.

Schutz weicher Ziele

Schutzmechanismen wie Firewalls oder DLP-Lösung sorgen keinesfalls für umfassenden Schutz. Sie mindern zwar das Risiko, kämpfen auf verlorenem Posten, wenn Mitarbeiter nicht ebenfalls auf der Hut ist. Und genau hier sehen Fachleute in der Praxis die größten Lücken: Nur in wenigen Unternehmen sähen sie Aufklärungskampagnen, die Mitarbeiter – am besten fortlaufend – über neue Angriffsmaschen informieren. Ohne das Wissen, wie eine Spear-Phishing-Kampagne aussieht und welche Raffinesse dabei an den Tag gelegt wird, sind Mitarbeiter aber leichte Opfer für Cyberkriminelle.

Aber nicht nur die Kollegen in den Fachabteilungen benötigen Wissen. Auch die IT-Mitarbeiter selbst müssten besser geschult werden, um einen Kardinalsfehler zu verhindern: Das sofortige Säubern der infizierten Endgeräte. Damit nehmen sich Unternehmen jegliche Chance, mehr über die Hintermänner beziehungsweise die erbeuteten Daten zu erfahren. Fehlt dieser Einblick, ist die nächste, noch wirksamere Spear-Phishing-Kampagne so gut wie sicher. Denn niemand im Unternehmen weiß, welche der eigenen Daten für die nächste Attacke missbraucht werden.

Fotos: © Tree4Two / www.istockphoto.com
top