Social Engineering – Wie Hacker ohne Programmierkenntnisse an Daten gelangen

Social Engineering – Wie Hacker ohne Programmierkenntnisse an Daten gelangen

„Es gibt heute keine Technologie, die nicht durch Social Engineering überwunden werden kann.“ (Kevin Mitnick, ehemaliger Hacker & Experte im Bereich Social Engineering)

Selbst mit den besten technischen Sicherheitsvorkehrungen besteht in jedem Unternehmen ein Risikofaktor, der nur schwer kontrolliert werden kann: der Mensch. Um Zugriff auf wichtige Daten oder Zugänge zu erhalten, muss ein Hacker nicht nur Computer verstehen, sondern den Menschen an sich. Was genau ist Social Engineering und wie kann man sich davor schützen? Im folgenden Beitrag klären die wichtigsten Fragen dazu.

Das steckt hinter „Social Engineering”

Beim Social Engineering geht es um die zwischenmenschliche Beeinflussung einer Person. Dabei versucht der Hacker das Vertrauen des Opfers zu gewinnen und ihn so zum Beispiel zur Preisgabe von vertraulichen Informationen oder zur Freigabe von Kreditkartendaten und Passwörtern zu bewegen.

Social Engineering findet nicht nur im Internet statt, sondern ist eine Betrugsmasche, die schon seit vielen Jahrzenten genutzt wird. Eine der bekanntesten Maschen ist der Enkel-Trick, bei der Trickbetrüger über einen Telefonanruf ältere Menschen davon überzeugen, dass sie ein Verwandter seien und dringend Geld benötigen (Polizeiliche Kriminalprävention, 2017).

Auch auf Online-Partnerbörsen wird Social Engineering von Kriminellen immer wieder angewandt, um sich finanziell zu bereichern. Eine vermeintlich junge, attraktive Frau kontaktiert einen Mann, der offensichtlich auf der Suche nach einer neuen Partnerin ist. Der Betrüger spielt seine Rolle als verliebte Single-Frau so gut, dass das Vertrauen des Opfers nach einem relativ kurzen Zeitraum gewonnen wird. Beispielsweise für eine Reise zum „neuen Partner“, bittet der Kriminelle schließlich um die finanzielle Unterstützung durch das Opfer. Danach wird der Kontakt häufig abgebrochen.

Social Engineering Angriffe auf Unternehmen

Wenn der Social Hack im privaten Umfeld funktioniert, dann sind Unternehmen das nächst höhere Ziel für Kriminelle – vor allem weil hier oftmals höhere Geldbeträge zu erbeuten sind. Das Vorgehen der Hacker verläuft ähnlich wie bei Privatpersonen, wobei das Einholen der nötigen Informationen für einen professionellen Angriff wesentlich mehr Zeit in Anspruch nimmt. So sind hauptsächlich folgende Angaben für Cyberkriminelle relevant:

  • Wer ist der Chef (CEO) des Unternehmens und welche Personen befinden sich in Führungspositionen?
  • Wer ist befugt Überweisungen zu tätigen?
  • Wann ist der Chef im Urlaub oder auf Geschäftsreise?
  • Welche geschäftlichen Aktivitäten finden derzeit statt?

Mit einer gefälschten E-Mail-Adresse, ähnlich der des Vorgesetzten, wendet sich der Hacker mit dringenden Worten zumeist an einen Mitarbeiter, der befugt ist finanzielle Transaktionen durchzuführen.

Beispiele für Social Engineering:

Durch die mutmaßliche Dringlichkeit des Anliegens befindet sich der Empfänger der E-Mail nun in der Situation, dem Auftrag des Vorgesetzten zügig nachzukommen, ohne eventuell große Rückfragen zu stellen. Sind die Daten erst einmal übermittelt, macht sich der Cyberkriminelle direkt ans Werk oder die Überweisung geht direkt auf das Konto der „Social-Hacker“. Große Unternehmen wie der österreichische Luftfahrtzulieferer FACC und der Nürnberger Kabelhersteller Leoni machten 2016 finanziell schwerwiegende Erfahrungen mit dieser Vorgehensweise und mussten einen Verlust von mehreren Millionen Euro erleiden.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Aber Achtung, denn nicht nur Personen aus der Buchhaltung und Geschäftsführer sind gefährdet:

„Hey, hier ist Felix aus der IT-Abteilung. Mir sind bei deinem Account in unserem System ein paar Unregelmäßigkeiten aufgefallen, kannst du mir einmal deine Zugangsdaten geben, damit ich das einmal überprüfen kann?

Gruß Felix

Wie würden Sie auf solch eine Nachricht reagieren? Würden Sie antworten? Sie kennen zwar nicht alle IT-Mitarbeiter, aber Felix ist scheinbar ein Kollege und möchte Ihnen helfen, die Sicherheit der internen IT zu gewährleisten.

Insbesondere in großen Unternehmen kennen die Mehrzahl der Mitarbeiter nicht alle IT-Mitarbeiter. Wer solch einer E-Mail vertraut, ermöglicht den Diebstahl sensibler Daten und gefährdet neben der IT-Sicherheit auch viele weitere Bereiche eines Unternehmens immens.

Phishing, die unpersönliche Art des Social Engineerings

Eine weniger aufwendige Art des Social Engineerings ist die klassische Phishing E-Mail. Meist handelt es sich dabei um gefälschte PayPal E-Mails mit hinterlegtem Link zu einer nachgebildeten Website, der Originalen so ähnlich, dass ein Betrug kaum auffällt. In der E-Mail wird darum gebeten, auf dieser Website seine Login-Informationen zu aktualisieren oder Zugangsdaten zu verifizieren. Jedoch gelangen die Daten so direkt in die Hände der Betrüger.

Anstelle einer persönlichen E-Mail sind diese Nachrichten sehr generisch. Hintergrund der klassischen Phishing E-Mail ist das einfache und weniger aufwendige Verfahren. So werden ganze Massen an E-Mails versendet. Selbst wenn nur ein Bruchteil der Empfänger auf den Trick hereinfällt, hat sich die Social Engineering Attacke für den Hacker gelohnt.

Social Engineering erfordert keine Programmierkenntnisse

Allein durch das Anwenden psychologischer Tricks werden technische Hürden überwunden. Der Hacker nutzt den Menschen als das schwächste Glied der IT-Sicherheits-Kette. Selbst der sicherste Tresor der Welt kann geöffnet werden, wenn die Zugangsdaten an unbefugte Personen weitergegeben werden. So spart sich der Kriminelle einen großen technischen Aufwand und das Risiko durch die IT-Sicherheitsvorkehrungen entdeckt zu werden.

Wenn Sie auf die obige E-Mail von Felix geantwortet hätten, wäre der Hacker innerhalb von wenigen Minuten in das Unternehmensnetzwerk eingedrungen. Ohne Aufwand, ohne Programmierkenntnisse, ohne großes Risiko. Kriminelle nutzen das Grundvertrauen und die Neugier der Mitarbeiter, um Daten oder Geld stehlen zu können.

Wie schütze ich mich und mein Unternehmen vor Social Engineering?

Organisieren Sie regelmäßig präventive Schulungen, in denen Sie sich und Ihre Mitarbeiter für die Gefahren durch gefälschte E-Mails sensibilisieren. Ebenso können reguläre Info E-Mails helfen Aufmerksamkeit für das Thema zu schaffen.

Solange der Kriminelle sich keinen Zugang zum E-Mail Account eines Mitarbeiters oder des Geschäftsführers verschafft hat, gibt es verschiedene Möglichkeiten gefälschte E-Mails zu erkennen:

  • Absender-Adresse prüfen: Prüfen Sie die Absender-Adresse sorgfältig. Ist die E-Mail-Adresse wirklich korrekt? Wurden vielleicht Buchstaben vertauscht? Oder ein kleines L mit einem großen I vertauscht? Häufig steht hinter der E-Mail-Adresse noch eine weitere, automatisch generierte und nicht nachvollziehbare. Sollten Sie misstrauisch gegenüber einer E-Mail sein, können Sie sich den Header genauer ansehen. Im Header einer E-Mail stehen alle Informationen, wie der tatsächliche Absender und der Server, von dem die Nachricht versendet wurde. In den meisten Fällen ist der Absender das eindeutigste Kriterium, an dem eine Fraud Attacke erkannt werden kann.
  • Persönlich nachfragen: Kontaktieren Sie Ihre Kollegen persönlich, wenn Sie sich unsicher sind. Rufen Sie an oder sprechen Sie Face-to-Face mit der entsprechenden Person.
  • Rhetorik: Gerade bei CEO-Fraud Attacken ist es wichtig, sich nicht einschüchtern zu lassen. Hinterfragen Sie, ob der Chef wirklich ohne das Wissen Anderer 20.000 € auf ein unbekanntes Konto überweisen will. Oder überlegen Sie sich, ob der IT-Kollege Felix tatsächlich „ungewöhnliche Aktivitäten“ feststellen konnte und warum er dazu überhaupt Ihre Zugänge benötigt. Auch als Privatperson hilft ein kurzer Anruf beim Support des Unternehmens, bei dem Sie Kunde sind, sollte eine erhaltene E-Mail bei Ihnen für Verwunderung sorgen.
  • Auf Rechtschreibfehler achten: Gerade in Phishing E-Mails finden sich viele Rechtschreibfehler. Angefangen bei der falschen Schreibweise des Namens, bis hin zu einer unsauberen Sprache, die darauf schließen lässt, dass der Text nicht von einem Muttersprachler verfasst, sondern beispielsweise von einem automatischen Sprachprogramm übersetzt wurde.
  • Nicht direkt auf Links klicken: Sollte Sie der Inhalt einer E-Mail verunsichern, klicken Sie am besten nicht auf einen Link in der E-Mail, sondern rufen Sie die jeweilige Website direkt über den Browser auf. Fordert Sie beispielsweise Amazon auf Ihre Daten zu aktualisieren, gehen Sie am besten direkt auf Amazon.com und suchen dort nach einer entsprechenden Meldung. Ist dort nichts zu finden, handelt es sich wahrscheinlich um eine Phishing E-Mail.
  • Über einen Link hovern: Bevor Sie einen Link öffnen, gehen Sie mit der Maus über den Link. In den meisten Browsern wird unten links ein kleines Fenster geöffnet. Dies ist die URL, die mit einem Klick auf den Link aufgerufen wird. Eine Kontrolle der URL gibt Aufschluss über das tatsächliche Ziel der angezeigten Web-Adresse.

Phishing Quiz von Google: Der kostenlose Awareness-Check

Vor wenigen Wochen hat Google auf das starke Wachstum von Phishing Angriffen mit einem Security Quiz reagiert. In diesem Quiz müssen Sie versuchen eine Phishing E-Mail zu erkennen. Durchschauen Sie jeden Social Engineering Angriff? Finden Sie es hier heraus.

Zusätzlicher Schutz mit Advanced Threat Protection von Hornetsecurity

Klassische Phishing E-Mails werden in aller Regel von einem guten Spamfilter erkannt und direkt aussortiert. Ein personalisierter Social Engineering Angriff unterscheidet sich aber nicht groß von einer ganz normalen E-Mail. So landen, trotz Spamfilter, die ungewollten E-Mails im eigenen Postfach.

Advanced Threat Protection geht einen Schritt weiter: Verschiedene tiefgreifende Filter und heuristische Erkennungsmechanismen enttarnen fast jede gefälschte E-Mail. Mit der Unterstützung von AI lernt der Filter mit jedem Angriff dazu und steigert so täglich seine Erkennungsrate. Advanced Threat Protection übernimmt viele der oben genannten Punkte vollständig automatisiert.
Am Ende gilt aber immer, jede E-Mail zu hinterfragen und bei der Weitergabe von Daten mit Bedacht vorzugehen.

Malware – Die wachsende Bedrohung im Cyber Century

Malware – Die wachsende Bedrohung im Cyber Century

WannaCry, Petya und Ryuk – diese Malware-Arten haben in den letzten zwei Jahren besonders verdeutlicht, dass Schadprogramme und Cyberangriffe durchaus in der Lage sind Unternehmen bei unzureichender Cyber-Sicherheit an den Rand des Betriebsstillstands bis hin zur Insolvenz zu führen.

Das Hornetsecurity Security Lab beobachtete im Jahr 2018 einen enormen Anstieg an E-Mails mit schadhaften Anhängen. Besonders vor den Trojanern Emotet, Hancinator, Zeus und Trickbot mussten sich Unternehmen in Acht nehmen – gemessen an ihrem E-Mailvolumen, gehören sie zu den größten Malware-Kampagnen 2018. Die Infografik zeigt das monatliche Aufkommen und die Verteilung von Malware Attacken über das Jahr 2018. Hornetsecurity analysierte die einzelnen Kampagnen und stellt anschaulich dar, hinter welchen Formaten und Dateien sich die Schadprogramme versteckten.

Malware gilt mittlerweile als die größte Bedrohung für Unternehmen, denn laut des „Lageberichts der IT-Sicherheit in Deutschland 2018“ des BSI, sind 57% aller erfassten Cyberangriffe auf Infektionen mit Schadprogrammen zurückzuführen. Als Hauptübertragungsweg gilt die E-Mail-Kommunikation: Getarnt als harmlose E-Mail, verbirgt sich die Malware beispielsweise als Office-Datei im Anhang.

Ransomware, Crypto-Miner und Spyware verstecken sich sowohl hinter Word-Dokumenten als auch hinter Web-Links und zählen zu den beliebtesten Malware-Arten der Cyberkriminellen. Während ungezielte Massenmails mit Schadprogammen, auch als Spam bekannt, über die vergangenen Jahre deutlich zurückgingen, sind Unternehmen vor allem immer öfter gezielten und komplexen Angriffskampagnen ausgesetzt. Mittels Social Engineering und Spear-Phishing schleusen Hacker vermehrt Malware in die Betriebssysteme von Unternehmen.

Der Anteil von Schadprogramm-infizierten E-Mails am gesamten verzeichneten E-Mail-Verkehr stieg innerhalb der letzten zwei Jahre auf rund 1,3 Prozent an. Bei einem Volumen von 1.000 E-Mails pro Tag bedeutet das, dass mindestens 13 E-Mails Malware enthalten: Für ein Unternehmen, welches mehrere tausend E-Mails am Tag erhält, ist ohne ausreichende E-Mail-Security, das Risiko Opfer eines Malware-Angriffs zu werden, extrem hoch. Denn: Die Methode stellt sich für Cyberkriminelle als besonders lukrativ dar. Im Jahr 2017 und 2018 entstand alleine für die deutsche Industrie durch Schadsoftware ein Gesamtschaden von rund 43 Millionen Euro.

Durch Entwicklungen wie die fortschreitende Vernetzung und sich wandelnde Kommunikationsplattformen, werden Angriffe mit Schadprogrammen und die damit einhergehende Schadenssumme voraussichtlich noch weiter ansteigen – Cyber-Risiken gelten als eine der größten Bedrohungen der Digitalisierung. Insbesondere durch Ransomware, eine der verbreitetsten Malware-Arten, versprechen sich Hacker große Gewinne. Seit der Einführung der europäischen Datenschutzgrundverordnung (DSGVO) hat sich die Zahlungsbereitschaft von Unternehmen bei Ransomware-Angriffen versechsfacht. Zu groß ist die Befürchtung, durch negative PR und unzureichende Sicherung der unternehmensinternen Daten mögliche weitreichende Folgen davonzutragen.

Die Tendenz der Verbreitung von Malware ist durch die letzten Jahre klar zu erkennen: Malware-Attacken werden weiterhin stark zunehmen. Solange Unternehmen E-Mail- und Cyber-Sicherheit nicht als unabdingbare Voraussetzung für eine gefahrlose Aufrechterhaltung der Unternehmenskommunikation und Betriebsprozesse sehen, werden Cyberkriminelle weiterhin erfolgreich zur Kasse bitten.

 

Weiterführende Informationen:

 

 

Cyberkriminalität: Skrupellos, hochkomplex und kein Ende in Sicht

Cyberkriminalität: Skrupellos, hochkomplex und kein Ende in Sicht

Kein Jahr zuvor hat in Sachen digitaler Kriminalität für mehr Schlagzeilen gesorgt als 2018. Zu diesem Ergebnis kommt die neuste Ausgabe des Hornetsecurity Cyberthreat Reports. Dabei hat nicht nur die Quantität der Straftaten rasant zugenommen, sondern auch ihre Qualität. Wie ein Sprecher des LKA-Niedersachsens auf Anfrage der HAZ mitteilte, ist die Anzahl krimineller Aktivitäten über das Internet allein in den letzten Jahren um 30% angestiegen.

Sowohl Cyberattacken wie Advanced Persistent Threats, Malware und Spam als auch die Verlagerung von „herkömmlichen“ kriminellen Aktivitäten in die Online-Welt sorgen für die rasante Zunahme. Zu diesen herkömmlichen kriminellen Aktivitäten gehören beispielsweise Waffen- und Drogenhandel, illegale Pornographie und der Handel mit gefälschten Papieren. „Täter nutzen extensiv die Möglichkeiten der Digitalisierung und das nicht nur bei der Kommunikation “, stellt LKA-Sprecher Marius Schmidt fest. Insbesondere das Darknet spiele dabei eine immer größere Rolle.

Die Dunkelziffer ist gigantisch

Wie dem Cyberthreat Report zu entnehmen ist, gilt Cyberkriminalität nach Umweltkatastrophen und politischen Spannungen, weltweit als drittgrößte Bedrohung. In Deutschland konnte das BKA im Jahr 2017 bundesweit knapp 86.000 Fälle von Cyberkriminalität feststellen – vier Prozent mehr als noch im Jahr zuvor.

Die Schadenssumme stieg genauso rapide an. Verursachte Cybercrime in der Bundesrepublik im Jahr 2016 noch einen wirtschaftlichen Schaden von 50,9 Millionen Euro, mussten 2017 bereits 71,4 Millionen verschmerzt werden. Das besonders Bittere an diesen Zahlen: Es handelt sich lediglich um durch das BKA registrierte Fälle. Experten schätzen, dass diese Quote lediglich 9% des Gesamtschadens darstellt. Das ergibt eine gigantische Dunkelziffer von mehr als 90%.

Doch warum ist die Dunkelziffer so riesig? Experten gehen davon aus, dass Cyberangriffe nicht selten viel zu spät oder überhaupt nicht bemerkt werden. Oft werden sie durch die betroffenen Unternehmen aber auch gar nicht erst an die zuständigen Stellen gemeldet. Grund hierfür sind die befürchteten Verluste an Reputation und Image. Der neuste, gewaltige Cyberangriff auf die Hotelkette Marriott ist ein Paradebeispiel für einen solchen Vorfall. Hacker hielten sich über Jahre hinweg unbemerkt im Netzwerk des weltweit drittgrößten Hotel-Konzerns auf und erbeuteten unter anderem Kreditkartendaten von einer halben Milliarde Kunden. Der Branchenverband Bitkom kommt aufgrund von solchen cyberkriminellen Vorfällen zu ganz anderen Ergebnissen. Hier spricht man über eine gewaltige Schadenssumme von 55 Milliarden Euro.

Advanced Persistent Threats anhaltend beliebt

Wie auch bereits im Jahr 2017, setzt sich die Beliebtheit von Advanced Persistent Threats unter Cyberkriminellen ungebrochen fort. Mit dem Angriff auf den französischen Baukonzern Ingérop bewiesen die Hacker noch einmal das beträchtliche Gefahrenpotential von solch ausgeklügelten Angriffen. Ihnen gelang mittels einer professionell angelegten Phishing-Kampagne auf Mitarbeiter des Konzerns, Schadsoftware in die IT-Infrastruktur einzuschleusen. Diese diente als Türöffner für einen groß angelegten Datendiebstahl. Insgesamt erbeuteten die Hacker 65 Gigabyte sensibler Daten, darunter Baupläne von Atomanlagen und Hochsicherheitsgefängnissen. Weiterhin kamen sensible persönliche Daten von insgesamt 1.200 Ingérop-Angestellten abhanden.

Auch beim Rüstungskonzern Krauss Maffei ereignete sich erst vor Kurzem ein Angriff dieser Art. Hacker drangen in die IT-Systeme des Unternehmens ein und verseuchten sie mit Malware. Die Produktion musste danach eine Woche stillstehen. Im Anschluss habe es einen Erpressungsversuch mit Lösegeldforderung gegeben.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Malware bleibt Standardrepertoire

Im Vergleich zu Advanced Persistent Threats ist das Prinzip Malware längst nicht so komplex, aber dennoch weiterhin erfolgreich. Im Großen und Ganzen dient sie dazu, bei Benutzern unerwünschte oder schädigende Funktionen auszuführen. Diese nutzen die Cyberkriminellen, um sich beispielsweise finanziell zu bereichern. Die große Vielfalt der Malware macht sie zu einem universell einsetzbaren und damit beliebten Tool für Hacker.

Auch in der Verbreitung spiegelt sich die Beliebtheit wieder: Im Zeitraum zwischen 2006 und 2017 nahm die Zahl der Malware-Delikte immer weiter zu. Die E-Mail-Kommunikation ist das Haupteinfallstor von schädlichen Dateianhängen. Als Tarnung besonders beliebt: Office-Dateien. Jede dritte versandte Malware tarnte sich als Word, Excel oder auch PowerPoint-Datei, wie ferner aus dem Cyberthreat Report zu entnehmen ist.

Spam-E-Mails – Gefahrenpotential steigt

Der Spamversand ist bei Cyberkriminellen längst nicht mehr so beliebt wie noch vor zehn Jahren. Der Hornetsecurity Cyberthreat Report kommt zu dem Ergebnis, dass 2018 nicht mal mehr jede zweite E-Mail eine Spam-E-Mail war. 2009 sah dies noch anders aus. Hier waren es noch knapp 100 Prozent aller E-Mails. Wer nun denkt, dass diese Entwicklung doch durchaus positiv ist, der irrt leider. Während vor zehn Jahren so gut wie keine Spam-E-Mail Malware enthielt, ist dies heutzutage ganz anders. Immer mehr E-Mails sind mit Malware, wie Viren, Trojanern, Ransomware oder auch Spyware gespickt.

Fazit: Der Kampf ist noch lange nicht verloren

Auch wenn die Schäden durch Cyberkriminalität stetig zunehmen und es immer schwieriger wird, der komplexen Bedrohungslage Herr zu werden, ist die letzte Schlacht noch nicht geschlagen. Immer mehr Unternehmen setzen auf das richtige Pferd und führen sowohl ausgeklügelte IT-Sicherheitskonzepte, wie auch effektiv arbeitende Managed Security Services zum Schutz vor Cyberattacken ein.

Während sich die Ausgaben für Managed Security Services im Jahr 2016 noch auf insgesamt 4,27 Milliarden US-Dollar beliefen, wird sich diese Summe im Jahr 2021 auf insgesamt 8,26 Milliarden US-Dollar verdoppelt haben. Die Unternehmen haben erkannt, dass sie Cyberbedrohungen von Grund auf vorbeugen müssen. Ist die Bedrohung erst einmal in die IT-Infrastruktur eingedrungen, dann ist es bereits zu spät.

In unserem aktuellen Cyberthreat Report erfahren Sie im Detail, welche Trends und Entwicklungen die Welt der Cyberkriminalität zurzeit besonders prägen und welche Gefahren daraus resultieren.

Security-Awareness: Der Mensch als Sicherheitslücke

Security-Awareness: Der Mensch als Sicherheitslücke

Rückblickend war das Jahr 2018 sehr ereignisreich – vor allem im Hinblick auf Cybersicherheit. So listet das amerikanische Tech-Magazin WIRED in seinem Rückblick der „Worst Hacks in 2018“ neben der Datenpanne bei Marriott und dem Cambridge Analytica Skandal um Facebook auch den Leak bei Quora und einige weitere. Auch das neue Jahr startete mit brisanten Nachrichten: persönliche Daten von über 900 aktiven sowie inaktiven Politikern standen frei zugänglich im Netz. Kurze Zeit später entdeckte der „Haveibeenpwned“-Gründer, Troy Hunt, eine Sammlung von über 700 Millionen Passwörtern aus vergangenen und aktuellen Hacks.

Innenminister Horst Seehofer (CSU) warnte vor dem Hintergrund des Politiker-Datenleaks vor Sorglosigkeit seitens der Nutzer und forderte ein risikobewusstes Handeln jedes Einzelnen. Denn kein IT-Sicherheitssystem sei zu 100 Prozent sicher. Schaut man sich die vielfältigen Angriffsarten an, setzen gerade Social Engineering-Attacken auf soziale Manipulation – also den Menschen als Schwachstelle.

Neben Angriffen wie Phishing, bergen CEO-Fraud– und Whaling-Attacken genau hier große Gefahren. Ihr Ziel ist es, Mitarbeiter eines Unternehmens zu täuschen, um an vertrauliche Daten wie beispielsweise Passwörter zu gelangen. Die Angreifer üben dazu emotionalen sowie zeitlichen Druck aus, um schneller an ihr Ziel zu gelangen. Laut einer Befragung von „KnowBe4“ gaben 77 Prozent der Befragten als Hauptursache für Angriffe im Jahr 2018 Social Engineering an – eine ernstzunehmende Erkenntnis.

Der Mensch als Schwachstelle im System – ist die Lücke zu schließen?

Ein Klick auf eine vermeintlich seriöse E-Mail, die Verwendung externer Datenträger, der Einsatz von unsicheren Passwörtern – schon kann es um die unternehmensinterne IT geschehen sein. Oftmals ohne Absicht, sondern eher durch Naivität oder Unwissenheit, gefährden Mitarbeiter ihr Unternehmen. Es fehlt die Sensibilisierung für solche Sicherheitsrisiken und das Wissen um ihre Vermeidung. Durch sogenannte „Security-Awareness-Trainings“ werden Mitarbeiter für Themen der IT-Sicherheit sensibilisiert. Ihnen werden verschiedene Angriffsarten zu Gemüte geführt und Ratschläge gegeben, wie sie sich und das Unternehmen davor schützen können.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Doch geht es um den Nutzen von Security-Awareness-Schulungen, scheiden sich die Geister. Einige Security-Experten halten derartige Maßnahmen für wirkungslos. Der amerikanische IT-Security Guru Bruce Schneier ist der Meinung, dass die dafür aufgewendeten Budgets stattdessen in sichere Software-Entwicklung und bessere Security-Schnittstellen investiert werden sollten. Er veranschaulicht dies mit einem Beispiel aus dem Gesundheitsbereich: Das Wissen um eine gesündere Lebensweise besitzen die meisten Menschen, doch geht es um die Umsetzung, erscheint der Weg aufs Sofa weitaus attraktiver als der ins Fitnessstudio. Auf die IT-Sicherheit übertragen, öffnet sich folgendes Bild: Das Kerngeschäft von Unternehmen liegt in unterschiedlichen Bereichen, jedoch oftmals nicht im IT-Sicherheitsbereich. Die Akzeptanz und Unterstützung von IT-Sicherheit durch die Mitarbeiter ist daher keine universelle Voraussetzung. Die meisten von ihnen kennen wahrscheinlich die gängigen Regelungen, empfinden doch einige davon als zu aufwendig, um sie in ihren Arbeitsalltag einzubinden.

Security-Awareness im Unternehmen nicht zu fördern, wäre jedoch fatal. Olaf Petry, CISO bei Hornetsecurity meint dazu: “Es ist schwierig, Awareness mit Zahlen konkret und aussagekräftig zu messen. IT-Sicherheit wird von den Verantwortlichen meist als zu kostenintensiv und ohne erkennbares Ergebnis wahrgenommen. Wichtig ist jedoch, dass sie Einzug in die Köpfe der Mitarbeiter erhält und im Arbeitsprozess eingebunden, aktiv gefordert und gefördert wird.“

Security & Awareness:

Das Wissen um das richtige IT-Sicherheitsverhalten ist das eine, den Grund dafür zu verstehen ist das andere. Die Ausmaße eines Datenleaks oder Hackerangriffs scheinen vielen nicht bewusst. Und darüber hinaus: Warum sollte es gerade mich treffen? Eine Security-Awareness-Schulung sollte daher nicht nur Was- und Wie-Fragen beantworten können, sondern auch das „Warum“ und „Wieso“ in den Fokus stellen. Mitarbeiter müssen verstehen, welche Auswirkungen ein Hackerangriff haben kann und was er selbst tun kann, um diese zu vermeiden. Dabei ist es wichtig, dass IT-Sicherheit nicht nur firmenbezogen, sondern übergreifend gelebt wird, denn auch die private Sicherheit hat Einfluss auf die Unternehmenssicherheit. Nehmen wir zwei Beispiele, um das zu verdeutlichen:

1. Beispiel: Mitarbeiter der Marketingabteilung:

Die Aufgaben von Mitarbeitern in der Marketingabteilung erstrecken sich auf viele Bereiche. Im Social Media-Bereich bauen sie eine Präsenz des Unternehmens in Netzwerken wie Facebook, Instagram und LinkedIn auf, pflegen diese mit regelmäßigen Inhalten und stärken so die Markenbekanntheit. Um eine Unternehmensseite zu erstellen, benötigt man im Fall von Facebook und LinkedIn ein persönliches Profil, um über dieses die Unternehmensseite aufbauen zu können. Beide Profile sind dann miteinander verknüpft. Diese Verknüpfung stellt zugleich ein Sicherheitsrisiko dar, denn hat der Mitarbeiter ein vergleichsweise einfach zu knackendes Passwort, haben die Cyberkriminellen freie Hand über das Unternehmensprofil, sobald ihnen die Zugangsdaten des Mitarbeiters in die Hände fallen.

2. Beispiel: BYOD im Unternehmen

In einigen Unternehmen herrscht eine „Bring-your-own-device“-Kultur – kurz: „BYOD“, das heißt, Mitarbeiter können auch mit privaten Endgeräten im Unternehmen arbeiten. Die Kultur bringt so seine Vorteile mit sich, jedoch auch einige Nachteile, wenn es um die firmeninterne IT-Sicherheit geht. Über eine ungepatchte Sicherheitslücke auf dem heimischen Laptop nistet sich eine fiese Malware ein. Der Mitarbeiter bekommt davon nichts mit: sie macht sich nicht bemerkbar und bleibt im Hintergrund. Greift der Mitarbeiter mit seinem Laptop auf unternehmensinterne Systeme zu, nutzt die Malware die Chance aufs große Ganze und verbreitet sich über die IT-Infrastruktur des Unternehmens weiter.

Vor dem Hintergrund dieser beiden Anwendungsbeispiele ist es sinnvoll, Mitarbeiter auch zur privaten IT-Sicherheit zu schulen und Programme zum Schutz zu empfehlen. „Für Hacker reicht meist ein kleines Schlupfloch aus. Sie arbeiten sich dann so weit hoch, bis sie quasi die ganze Lebensgeschichte des Opfers kennen. Im Unternehmensnetzwerk ist das ähnlich: Hier gibt es einiges für Hacker zu holen. Um daran zu kommen, suchen sie sich das schwächste Glied – und das ist eben der Mensch“, so Olaf Petry weiter.

Das Interesse für IT-Sicherheit steigt immens, wenn es um den Mitarbeiter persönlich geht. Einen Blick auf die eher unternehmensfremden Anwendungen wie WhatsApp und Dropbox zu werfen, kann sich daher lohnen.

Das Optimum aus Security-Awareness-Schulungen rausholen

Für die Konzeption eines Trainings empfiehlt Hornetsecurity IT-Sicherheitsexperte Olaf Petry folgendes: „Security-Awareness-Trainings sollten sich immer nach der Zielgruppe richten – stehe ich vor Mitarbeitern eines IT-Unternehmens oder einer Bank? Das technische Know-How ist bei der Themenauswahl sehr wichtig, um die Teilnehmer weder zu überfordern noch zu unterfordern. Jedoch sollten gängige Themen wie Passwortsicherheit immer Bestandteil einer Schulung sein.“

Generell sollte eine Schulung ausgewählte Awareness-Aspekte zum Thema haben. So könnte es ein Ziel sein, dass Mitarbeiter nach der Schulung eine der folgenden Fragen sofort beantworten können:

  • Wie sieht die aktuelle Bedrohungslage aus?
  • Welche Risiken ergeben sich für das Unternehmen und den Mitarbeiter?
  • Welche Schutzmaßnahmen muss ich im Fall einer Nutzung eines externen Datenträgers ergreifen?
  • Welche Gefahren ergeben sich durch soziale Netzwerke?
  • Wie gehe ich sicher mit meinen E-Mails und Passwörtern um?
  • Was ist Phishing und wie läuft eine entsprechende Attacke ab?
  • Wie verhalte ich mich bei Malware-Befall?

Wie bereits beschrieben, können Verbindungen zur privaten IT-Sicherheit sehr nützlich sein. Damit steigt auch die Motivation, überhaupt an einer Awareness-Schulung teilzunehmen. Interesse und Motivation sind dabei die Treiber, die den Lernprozess anschieben. Der Mitarbeiter möchte etwas lernen, also fällt es ihm leichter zu verstehen was er tun muss und warum er das tun muss.

Da Angriffe immer professioneller werden und neue Angriffsvektoren wie zum Beispiel durch das Internet of Things entstehen, sollten solche Schulungen in regelmäßigen Abständen wiederholt und aufgefrischt werden. Informationen zur aktuellen Bedrohungslage müssen zudem frühzeitig kommuniziert werden. So wissen Mitarbeiter wann besonders hohe Aufmerksamkeit gefordert ist.

Durch die schnelle Entwicklung neuer Technologien bleibt festzuhalten, dass IT-Sicherheit ein lebenslanges Lernen voraussetzt. So ist es mit einer Schulung nicht getan. „Aus Sicht der IT-Sicherheit müssten Awareness-Schulungen täglich durchgeführt werden, praktisch lässt sich das allerdings kaum realisieren“, so Petry.

Aktueller Einsatz von Security-Awareness-Schulungen

Rund die Hälfte der deutschen Unternehmen setzen laut BSI Lagebericht 2018 bereits auf Security-Awareness-Schulungen und nehmen Trainingsangebote von einem mittlerweile breiten Anbietermarkt wahr. Für 29 % der Unternehmen kommen derzeit und auch in Zukunft keine Security-Awareness-Trainings zum Einsatz. 19 % der befragten Unternehmen planen jedoch ein entsprechendes Schulungsangebot für ihre Mitarbeiter.

Einsatz von Security Awareness-Schulungen in Unternehmen

%

Ja

%

Nein

%

In Planung

Die Untersuchung von KnowBe4 zeigt weiter, dass etwa 84 Prozent der Befragten angeben, dass ihr Unternehmen einen Rückgang von erfolgreichen Social Engineering-Angriffen (Phishing, CEO-Fraud etc.) feststellen konnte, nachdem Security-Awareness-Trainings implementiert wurden. Olaf Petry meint dazu: „Es liegt nicht allein am Menschen, dass etwa eine Phishing-E-Mail Erfolg hat. Hier spielen viele Sicherheitsebenen eine Rolle. Das menschliche Verhalten als einzige gemessene und bewertete Kenngröße ist hier nicht aussagekräftig.“

Der Erfolg einer Schulung kann nur geschätzt werden und der Effekt der Schulung ist vielleicht auch nur von kurzer Dauer. Es besteht immer eine Wahrscheinlichkeit, dass der Mitarbeiter am Ende wieder in alte Muster verfällt. „Für mich ist eine Schulung bereits dann erfolgreich, wenn jemand bei einer Phishing-E-Mail misstrauisch wird und den Angriff aufgrund seines vorhandenen Wissens aus der Schulung im Keim erstickt“, resümiert Petry.

Somit können auch wir sagen: Wenn wir es schaffen, dass eine Person, die diesen Beitrag liest, eine Attacke abwehrt, ist unser Ziel hiermit erreicht.

Weiterführende Informationen:

 

Wird künstliche Intelligenz die IT-Sicherheit revolutionieren?

Wird künstliche Intelligenz die IT-Sicherheit revolutionieren?

 

Amazon kann erkennen ob eine Frau schwanger ist, Facebook weiß genau in welcher Lebenssituation wir uns befinden und Google kennt uns besser als unsere engsten Freunde. All diese Schlüsse basieren auf Datenanalysen: „Big Data“ prägt schon heute unsere Gesellschaft, denn Daten gelten als eine der wichtigsten Ressourcen unserer Zeit. .

Daten sind messbar und nutzbar für diejenigen, die sie erheben. Daraus resultierende Informationen sind wiederrum sehr wertvoll für Unternehmen, die die Daten beispielsweise zur Optimierung und Entwicklung ihrer Geschäftsprozesse verwenden. Im Alltag begegnet uns das etwa bereits als personalisierte Werbung. Zur Steigerung der Effizienz werden Systeme eingesetzt die Arbeitsabläufe für den Menschen vereinfachen, weil beispielsweise Maschinen die Prozesse teilweise bis gänzlich übernehmen.

In der Produktion des Industriesektors ist das bereits Standard, hierbei handelt es sich um automatische mechanische Vorgänge. Computer erhalten einen Input an Informationen, diese werden verarbeitet und schließlich ausgeführt. Die Steigerung davon stellt Künstliche Intelligenz (KI) dar: Sie beschreibt Technologien und Systeme, die anhand von großen Datenmengen Handlungsabläufe erlernen können und selbstständig weiterentwickeln beziehungsweise intelligent ausführen sollen. Das soll Abläufe in den unterschiedlichsten Bereichen optimieren: Von Chatbots im Kundenservice bis hin zur maschinellen Erstellung journalistischer Texte.

Doch wie sieht es mit der Sicherheit in der IT selbst aus? Denn schon jetzt nutzen Cyberkriminelle KI für sich, indem sie Schadprogramme so entwickeln, dass sich das Programm selbstständig verändern und bestimmten Gegebenheiten, wie beispielsweise Analysemechanismen von Antivirenprogrammen, anpassen kann, um nicht entdeckt zu werden. Gerade in der IT-Sicherheit müssen die Schutzmechanismen aufgrund dieser Entwicklungen schnell und vorrauschauend reagieren können – KI soll auch hier neue Akzente setzen.

 

Die geteilte Welt der KI – stark und schwach

Im Großen und Ganzen handelt es sich bei Künstlicher Intelligenz um Anwendungen, bei denen Maschinen menschenähnliche Intelligenzleistungen nachbilden und Aufgaben sowie Probleme eigenständig bearbeiten. Zudem ist sie in der Lage, Verhalten zu beobachten und Muster zu erkennen, die für Menschen nicht sichtbar sind. KI lässt sich in zwei Etappen einteilen: Stark und schwach.

Eine starke Künstliche Intelligenz versucht die gleichen intellektuellen Fähigkeiten von Menschen zu erlangen und diese sogar, falls möglich, noch zu übertreffen. Sie reagiert nicht nur, sondern kann auch flexibel proaktiv handeln. Ob eine starke KI allerdings ein eigenes Bewusstsein erlangen und empathisch mit Menschen interagieren kann, bleibt auch für die Forschung weiterhin offen. Bisher wird in der Wissenschaft noch stark diskutiert, ob die Entwicklung einer „superintelligenten“ Maschine überhaupt möglich ist.

Als schwache KI hingegen werden Systeme beschrieben, die Lösungen konkreter Anwendungsprobleme fokussieren. Dafür werden Methoden der Mathematik und Informatik angewandt. Die daraus resultierenden Algorithmen sind in der Lage, datenbasierte Schlüsse zu ziehen. Schwache KI-Systeme sind sehr oberflächlich und haben kein tiefergehendes Verständnis für Problemlösungen. Im alltäglichen Leben begegnet uns schwache KI beispielsweise bereits als individuelle Aussteuerung von Werbung, in der Bilderkennung sowie Autovervollständigungen.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Anwendung von künstlicher Intelligenz in der IT-Sicherheit

Die Arbeit eines Security-Analysten ist oft mühsam. Einer Studie zufolge jagen sie alleine 200 Stunden im Jahr Warnungen hinterher, die sich letztendlich als Finte herausstellen. An dieser Stelle wünschen sich die IT-Spezialisten eine tatkräftige Unterstützung – zum Beispiel durch Künstliche Intelligenz. Tatsächlich gibt es auch schon Ideen, wie man dieses Vorhaben umsetzen könnte: „Cognitive Security“, zu deutsch: „kognitive Sicherheit“ lautet hier das Stichwort.

Konkret handelt es sich dabei um eine Verknüpfung aus künstlicher- und menschlicher Intelligenz. Die KI erschließt den riesigen Berg an Wissen über Cybersicherheit, der sich in einem Security Lab ansammelt. Darüber hinaus verarbeitet sie Informationen in Nanosekunden und liefert Handlungsempfehlungen für Gegenmaßnahmen an die menschlichen Akteure. So können Sicherheitsmechanismen wesentlich flexibler auf Cyber-Angriffe reagieren.

Im Gegenzug muss die KI mit Informationen gefüttert werden, um bestimmte Aktionen durchführen zu können – ein Geben und Nehmen zwischen Mensch und Maschine. Das einzige Problem dabei: Die Entwicklung von solch ausgeklügelten Systemwächtern ist alles andere als einfach und die Gegenspieler bleiben dabei nicht untätig. Cyberkriminelle könnten KI dafür nutzen, um Daten und Informationen über eine bestimmte Person im Internet zu suchen und zusammenzutragen, daraufhin Inhalte zu erstellen, die auf das Opfer ansprechend wirken und anhand des aufgezeichneten Bewegungsprofils festzustellen, wann der richtige Zeitpunkt für einen Angriff wäre.

KI und IT-Sicherheit- Ein Pakt für die Zukunft?

Bestehende Antivirenprogramme stoßen immer mehr an ihre Grenzen: Die Anzahl an versendeten Schadprogrammen nehmen jeden Tag zu, gezielte Angriffe mit getarnten Malware-Attacken werden von herkömmlichen Security-Mechanismen nicht erkannt und die Reaktionszeit auf neue Bedrohungen dauert schlichtweg zu lange. Sicherheits-Software muss in der Lage sein schnell und prädiktiv zu „handeln“. Mit Input von zahlreichen vorliegenden Informationen und Datensätzen der bisherigen IT-Sicherheit wird Künstliche Intelligenz trainiert.

Im Einsatz kann die KI schließlich große Mengen an Daten schnell analysieren, bereits bekannte Schadprogramme erkennen und erweitert zudem seine Leistungs- und Lernfähigkeit selbstständig und kontinuierlich. Es wird immer wichtiger, frühzeitig ein genaues Lagebild über aktuelle Bedrohungs- und Angriffssituationen zu erhalten. Doch es geht in der Cybersicherheit von heute nicht nur darum, mit den Kriminellen Schritt zu halten, sondern viel mehr darum vorbereitet zu sein und vorausschauend aktiv zu werden. Wir können mit Sicherheit sagen, dass der Mensch diesen Schritt mit Künstlicher Intelligenz zusammengehen wird und IT-Sicherheit eine neue Dynamik und Qualität erlangt.

Gand Crab – Erpressertrojaner nimmt Personalabteilungen ins Visier

Gand Crab – Erpressertrojaner nimmt Personalabteilungen ins Visier

Wieder einmal ist es ein Erpressertrojaner, der die Nerven vieler E-Mail-Nutzer strapaziert. Gand Crab, wie die Schadsoftware offiziell bezeichnet wird, tarnt sich als harmlose Bewerbung in Form eines Office-Dokuments. Er zielt insbesondere auf Personalabteilungen ab und stellt durch seine äußerst professionelle Aufmachung ein erhebliches Risiko für dort beschäftigte Angestellte dar.

Seinen ersten Auftritt hatte Gand Crab bereits im Herbst 2018. Schon zu diesem Zeitpunkt war die Schadsoftware dem BSI ein Dorn im Auge, weshalb umgehend eine Warnung veröffentlicht wurde. Nun hat sich die Situation allerdings zugespitzt: Ähnlich wie beim Vorgänger GoldenEye, der bereits im Jahr 2016 nach ganz ähnlichem Prinzip agierte, geben sich die Cyberkriminellen als Jobsuchende aus und versenden vermeintliche Bewerbungsunterlagen per E-Mail. Während die verwendeten Anschreiben bei GoldenEye noch massenhaft Rechtschreib- und Grammatikfehler aufwiesen, sieht dies bei Gand Crab anders aus: Wie das unten zu sehende Sample zeigt, sind die E-Mails in perfektem Deutsch verfasst und lassen ohne genauere Überprüfung keine Annahme zum Betrug zu.

Gand Crab E-Mail
Gand Crab E-Mail

Ziel der Cyberkriminellen ist es, die Opfer zum Öffnen des Office-Dokuments im Anhang zu bewegen. Dies ist in der Regel eine .doc, also eine veraltete Word-Datei. Nach dem Öffnen erscheint ein täuschend echter Hinweis im Design von Microsoft Office. Es handle sich um ein veraltetes Format und man müsse den Kompatibilitätsmodus aktivieren, um die Datei anzeigen zu lassen. Kommt man der Aufforderung nach, wird die Ausführung von Makros zugelassen und der in der Datei versteckte Gand Crab Trojaner macht sich sofort an die Arbeit, die Festplatte des Geräts zu verschlüsseln. Ist dieses Szenario erst einmal eingetreten, ist der Schädling nur schwer wieder loszuwerden.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Die IT-Sicherheitsexperten von Hornetsecurity raten Unternehmen dazu, sich keineswegs ausschließlich auf Antivirenprogramme zu verlassen. Denn nur ein Teil der AV-Scanner sei momentan in der Lage, Gand Crab zu erkennen. Zudem wird dringend davon abgeraten, die geforderte Lösegeldsumme zu zahlen. Wie bei anderen Erpressertrojanern, gilt die Entschlüsselung der Daten bei Gand Crab keinesfalls als sicher.

Viel mehr wird Unternehmen empfohlen, frühzeitig auf geeignete Präventivmaßnahmen zu setzen. Die ausgeklügelten Sicherheitsmechanismen von Managed Security Services, wie Hornetsecurity ATP, stufen den Trojaner bereits vor dem Eintreffen im E-Mail-Postfach als Bedrohung ein und filtern ihn konsequent aus. So kann es im teilweise hektischen Arbeitsalltag in Personalabteilungen ausgeschlossen werden, dass eine mit Gand Crab bestückte E-Mail versehentlich geöffnet wird.