SPONSORED-POST Dossier kompakt in Kooperation mit Proofpoint

Mitarbeiter im Visier von Cyberkriminellen

Uhr
von Werner Thalmeier, Senior Director System Engineering EMEA, Proofpoint

Unternehmen können sich nur wirksam vor Cyberbedrohungen schützen, wenn sie verstehen, welche Angriffsformen vorherrschen, über welche Kanäle die Attacken stattfinden und wer im Visier der Kriminellen steht. Neben der Einführung technologischer Lösungen gilt es, die Mitarbeiter zu sensibilisieren.

Werner Thalmeier, Senior Director System Engineering EMEA, Proofpoint. (Source: www.tom-bauer-foto.de)
Werner Thalmeier, Senior Director System Engineering EMEA, Proofpoint. (Source: www.tom-bauer-foto.de)

Obgleich Social-Media-Plattformen zunehmend für Cyberangriffe genutzt werden, wird primär der E-Mail-Kanal als Einfallstor für Attacken missbraucht. Dabei werden die Methoden immer ausgefeilter. Waren in der Vergangenheit Tipp- und Grammatikfehler, aber auch fragwürdige Absender auffällige Indizien dafür, dass es sich um keine legitime E-Mail handelte, so werden diese E-Mails zunehmend professioneller und sind damit weitaus schwieriger von legitimen Nachrichten zu unterscheiden. Die Methoden sind so ausgefeilt, dass Cyberkriminelle es sogar fertigbringen, sich als Geschäftsführer auszugeben und die Finanzabteilung per E-Mail anzuweisen, hohe Beträge zu überweisen.

E-Mail-Betrug stellt Cyberkriminellen bei niedriger Einstiegshürde zugleich hohe Gewinne in Aussicht – und noch immer sind nur Superlative zu vermelden: 410 Prozent Steigerung in nur einem Jahr und mehr Angriffe im vierten Quartal 2018 als in den sieben vorausgehenden Quartalen zusammen. So gehört der Kampf gegen E-Mail-Betrug ganz oben auf die Agenda einer jeden IT-Abteilung.

VAP statt VIP

Unternehmen können sich nur dann wirksam vor Cyberbedrohungen schützen, wenn sie verstehen, wer im Visier der Kriminellen steht. Denn diejenigen, die üblicherweise besonderen Schutz erfahren – der Vorstand, das obere Management –, sind nicht unbedingt auch diejenigen, gegen die sich Angriffe tatsächlich wenden. Richtig ist: Cyberangriffe richten sich gegen Personen auf allen Hierarchiestufen (über 70 Prozent der Phishing- und Malware-Angriffe sind aktuell gegen das untere Management und einfache Mitarbeiter gerichtet), und es gibt keinen statistischen Zusammenhang zwischen Unternehmensgrösse und der Wahrscheinlichkeit, Opfer eines E-Mail-Betrugs zu werden.

Besonders gefährdet sind Personen, die Mitglied öffentlicher ­E-Mail-Aliasse sind (wie etwa kontakt@firma.ch). Gegenwärtig wenden sich 30 Prozent aller zielgerichteten Phishing-Angriffe gegen solch geteilte E-Mail-Konten, zu denen typischerweise zwei oder mehr Personen Zugang haben.

IT-Sicherheitsabteilungen müssen sich auch darüber im Klaren sein, wie schnell Cyberkriminelle ihren Fokus verschieben. So zeigen Untersuchungen, dass 87 Prozent der VAPs (Very Attacked Persons) im vierten Quartal 2018 im vorausgehenden Quartal noch nicht im Visier der Angriffe standen.

Kampf gegen E-Mail-Betrug

Im Bereich der technologischen Lösungen muss zuerst DMARC erwähnt werden. Dieser Standard zur E-Mail-Authentifizierung hilft Unternehmen die missbräuchliche Nutzung ihrer vertrauenswürdigen Domains zu verhindern und bietet damit effektiven Schutz für Mitarbeiter, Kunden als auch Geschäftspartner. Stand November 2018 nutzen 12 der 20 Unternehmen im Swiss Market Index DMARC, doch nur 3 davon – also 15 Prozent der SMI-Unternehmen – weisen Empfänger an, nicht korrekt authentifizierte E-Mails zu löschen, bevor sie die Adressaten erreichen, sodass sich auch hier noch ausreichend Chancen für Cyberkriminelle bieten. Und auch andere Formen des E-Mail-Betrugs, die sich über DMARC nicht stoppen lassen (z.B. über Look-alike-Domains oder Display Name Spoofing), bedürfen einer Lösung.

Nicht zuletzt geht es aber darum, die Mitarbeiter für die Methoden Cyberkrimineller zu sensibilisieren und ihnen anhand Security-Awareness-Schulungen die unternehmensinternen Prozesse und Richtlinien zur IT-Sicherheit zu vermitteln. Nur so kann verhindert werden, dass Mitarbeiter weiterhin als Einfallstor für Cyberkriminelle missbraucht werden.

----------

Die E-Mail bleibt der Angriffsvektor Nummer eins

Die E-Mail ist eine der einfachsten Mittel, um sich Zugang zu sensiblen Daten und Infrastrukturen zu verschaffen. Georgeta Toth, Senior Regional Director Zentral- und Osteuropa bei Proofpoint, erklärt im Interview, wer besonders im Fokus von Phishing-Attacken steht und wie Mitarbeiter auf solche Angriffe vorbereitet werden können. Interview: Kevin Fischer

Im vierten Quartal 2018 gab es mehr E-Mail-Betrug als in den vorhergehenden sieben Quartalen zusammen. Was hat sich geändert?

Georgeta Toth: E-Mail-Betrug ist ein lohnendes Geschäft. Hinzu kommt, dass die Einstiegshürde gering ist. Bei anderen Formen der Cyberkriminalität, die sich etwa gegen das Netzwerk eines Unternehmens richten, müssen Hacker viel Zeit darauf verwenden, ein ausgeklügeltes und fast unüberwindliches Sicherheitssystem zu bezwingen. Verglichen damit ist ein Phishing-Angriff sehr einfach zu bewerkstelligen, und noch immer fallen viele Nutzer arglos auf diese betrügerischen E-Mails herein. So bleibt die E-Mail Angriffsvektor Nummer eins – ein Trend, der exponentiell ansteigt.

Wieso werden primär Mitarbeiter und das untere ­Management Ziel von Phishing-Attacken?

Natürlich sind auch VIPs im Visier der Cyberkriminellen, doch wichtiger ist den Angreifern, dass ihre Zielperson Zugang zu Systemen und Prozessen hat, um so über die Mithilfe eines unwissenden Mitarbeiters genau darauf Zugriff zu erhalten. Wir haben einen Gefährdungs-Index entwickelt, der neben der Rolle des Mitarbeiters im Unternehmen auch seine Zugriffsberechtigung auf Unternehmenssysteme und die unterschiedlichen Angriffsformen der Cyberkriminellen, die oftmals genau auf diese verschiedenen Aufgaben der Zielpersonen zugeschnitten werden, mit einbezieht. So werden beispielsweise Personen mit hohem Zugriffslevel oft Ziel eines Angriffs mit versuchtem Diebstahl von Berechtigungen. Bei Personen, die sensible Daten verwalten, erfolgt der Angriff hingegen häufig mit Trojanern und Keyloggern.

Warum sind besonders Mitglieder öffentlicher E-Mail-Aliasse im Visier von E-Mail-Betrügern?

E-Mail-Aliasse haben – für Cyberkriminelle – drei klare Vorteile. Erstens kann so die Zahl der potenziellen Opfer direkt vergrössert werden, da die betrügerische E-Mail gleichzeitig an mehrere Adressaten geht. Zweitens sind die E-Mail-Adressen oftmals einfach zu erhalten, da sie auf Webseiten im Klartext veröffentlicht werden. Und drittens sind sie weitaus schwieriger zu schützen, da beispielsweise Multifaktor-Authentifizierung für E-Mail-Adressen, die sich mehrere Mitarbeiter teilen, nur schwer umsetzbar ist.

Weshalb weisen so wenige KMUs Empfänger an, nicht authentifizierte E-Mails zu löschen, bevor diese den Adressaten erreichen?

Bevor man technisch gesprochen die Richtlinie auf "reject" ändern kann, muss sichergestellt sein, dass sich alle legitimen E-Mail-Ströme auch wirklich korrekt authentifizieren. Deshalb nutzen Unternehmen erst einmal eine DMARC-Policy, die lediglich überwacht. Nachdem heute viele verschiedene Systeme, aber auch externe Dienstleister, legitime E-Mails verschicken, kann dies durchaus etwas komplexer sein; aber es lohnt sich, und Experten für E-Mail-Sicherheit können dabei helfen, den Prozess zu beschleunigen.

Auf welche Weise können Mitarbeiter für die Methoden ­Cyberkrimineller sensibilisiert werden?

Damit das gelingt, sind klassische Schulungen nicht ausreichend. Vielmehr muss man die wiederkehrenden Trainings um vorgetäuschte Cyberangriffe im Alltag ergänzen. Das bedeutet, dass unregelmässig – und unter Verwendung verschiedenster Bedrohungszenarien – Fake-Attacken durchgeführt werden. So wird sichergestellt, dass Mitarbeiter jederzeit mit einer Bedrohung für ihr Unternehmen rechnen und dementsprechend wachsam bleiben. Denn ohne einen umsichtigen Benutzer bietet selbst die beste technische Sicherheitslösung nur einen sehr begrenzten Schutz.

Wie hilft DMARC dabei zu verhindern, dass vertrauenswürdige Domains von Betrügern missbraucht werden?

Der DMARC-Standard funktioniert, weil sich grosse E-Mail-Versender und Mailbox Provider zusammengeschlossen haben, um gegen E-Mail Betrug vorzugehen. DMARC baut auf den etablierten Authentifizierungsstandards SPF und DKIM auf und ist in der Lage, Mailbox Provider anzuweisen nicht korrekt authentifizierte Mails abzuweisen und sie damit nicht an die Adressaten weiterzureichen. Das SPF-Protokoll bedient sich dabei dem DSN-Eintrag (Domain Name Server) der Absender-Adressen. Hier wird überprüft, ob die IP- Adresse der Mail der legitimen, also hinterlegten, Adresse entspricht. Die Referenz ist somit die IP-Adresse und nicht der Domain-Name selbst. So können nicht nur illegale Absender ausgefiltert werden, auch Man-in-the-Middle-Angriffe werden auf diese Weise erschwert.

Webcode
DPF8_136503