Wie QR-Codes den Erfolg von Unternehmen untergraben können.
Die Bedrohung durch Cyberangriffe ist größer denn je. Das Bundesamt für Sicherheit in der Informationstechnik hat in seinem letzten Lagebericht einen Anstieg an Schadprogrammen von rund 116 Millionen neuen Varianten verzeichnet [1]. Zielte die häufigste Methode von Cyberangriffen, das Phishing, noch bis vor kurzem vor allem darauf ab, dass Angegriffene aktiv auf einen Link klicken, bricht sich nach und nach eine neue Gefahr Bahn: das QR-Code-Phishing oder Quishing. Wie kann sich ein Unternehmen oder Behörde sinnvoll schützen?
Der Feind einer jeden IT-Abteilung: Phishing. Cybersecurity ist mittlerweile bei vielen Unternehmen als großes Thema auf der Tagesordnung. So sind sich laut Cyber Security Report 2023 75 % der IT-Admins bewusst, dass Hacker sie angreifen könnten [2]. Doch gerade bei der Belegschaft ist diese Gefahr nach wie vor nur partiell in den Köpfen verankert. Dieser Umstand erhält eine umso größere Brisanz, als dass von etwa 25 Milliarden geprüften E-Mails im Zuge des Cyber Security Reports beinahe jede zweite (40,5 %) als maliziös eingestuft wurde.
Aus diesem Grund müssen IT-Admins jetzt handeln. Moderne Softwarelösungen können nicht nur Gefahren wie Spam, Viren oder Ransomware erkennen, sie helfen auch dabei, unerwartete Ausfallzeiten zu verhindern und E-Mails gesetzeskonform zu archivieren. Zudem gilt es, die eigenen User regelmäßig auf die reale Gefahr aufmerksam zu machen. Schließlich ist die beste Firewall jedes Unternehmens eine aufmerksame Belegschaft. Der kürzlich veröffentlichte
ESI Benchmark Report von Hornetsecurity verdeutlicht dabei das enorme Potenzial: Innerhalb von nur drei Monaten kontinuierlichen Trainings können Mitarbeiter ein akzeptables Sicherheitsbewusstsein erreichen [3]. Das Schlagwort hierbei lautet »kontinuierlich«. Bereits bei einer Pause von vier Monaten fällt die Security Awareness signifikant ab und landet wieder auf dem Nullpunkt.
QR-Code-Phishing – darum ist die Gefahr so groß. Eine gute Security-Lösung kann zwar dazu beitragen, gefährliche Mails herauszufiltern, wenn es ein Mitarbeiter einmal versäumt, eine Phishing-Mail als solche zu markieren und zu melden. Nachdem Quishing jedoch ein recht neues Phänomen ist, sind gängige Sicherheitssoftwares noch nicht dazu in der Lage, bei dieser Gefahrenlage korrekt zu reagieren. Nötig wären spezielle QR-Code-Analysetools, die in Bildern versteckte, bösartige Links erkennen und im Vorfeld entsprechend herausfiltern. Diese sind bislang rar gesät.
Führt man sich die Flut an QR-Codes vor Augen, mit der wir mittlerweile im Alltag konfrontiert werden, ist ein wachsames Auge umso wichtiger. In Zeiten von online abrufbaren Speisekarten oder Kassenzettel, die man sich per QR-Code aufs Handy schicken lassen kann, sind sich nur wenige der dahinter lauernden Gefahr bewusst. Äquivalent zu den grundlegenden Ratschlägen im Umgang mit Phishing-Mails sollten Enduser vor dem Scannen eines QR-Codes daher folgende Regeln beachten:
Ist der Absender, wer er vorgibt zu sein? Ein Blick auf die Absenderadresse kann bereits verraten, ob tatsächlich der CEO schreibt. Wird im Postfach nur der Name des Absenders angezeigt, können User mit dem Cursor auf den Namen gehen und die dahinterliegende Absenderadresse überprüfen.
Sind Tonalität und Kommunikationsweg so üblich? Läuft die Kommunikation sonst weniger förmlich oder über andere Kommunikationswege – wie beispielsweise MS Teams –, ist Vorsicht geboten.
Wenn möglich, Rückversicherung einholen. Bestehen berechtigte Zweifel, können Mitarbeiter stets über andere Kommunikationswege nachfragen, ob es sich um eine Phishing-Mail handelt. Ein Vieraugengespräch kann vor unnötigen Sicherheitslecks schützen.
Gerade bei QR-Codes zücken viele Menschen unbedacht ihr Smartphone, um zu prüfen, was sich hinter dem Link verbirgt. Deswegen sollten Mitarbeiter besonders im Arbeitsumfeld für den Ernstfall dahingehend geschult werden, wie sie eine maliziöse Quelle identifizieren können. Wurde ein QR-Code gescannt, sollte umgehend geprüft werden, ob die hinterlegte Website oder App tatsächlich die angegebene Quelle ist. Ein kurzer Check der URL-Leiste oder der App-Beschreibung kann User bereits vor Gefahren wie Trojanern oder Malware absichern.
Smart Devices – wann es ratsam ist, die Ermächtigungen einzuschränken. Besonders Unternehmen, die tagtäglich mit sensiblen Daten hantieren, sollten zudem darüber nachdenken, die Kamera-Ermächtigungen auf den Smart Devices der Belegschaft einzuschränken. Gerade im Healthcare- oder Gesundheitssektor sowie im Finanz- und Versicherungswesen sind mitunter besonders sensible Daten auf Arbeitshandys gespeichert. In diesem Fall ist es von Vorteil, wenn Mitarbeiter mit dem QR-Code-Scanner des Smartphones nur bestimmte, vorab definierte sichere Quellen erreichen können.
Dabei muss jedoch berücksichtigt werden, dass ein solcher Eingriff einen enormen Einschnitt in das Vertrauen zwischen Arbeitgeber und Arbeitnehmer darstellt. Daher sollten Unternehmen diesen Schritt im Vorfeld besonders gut abwägen.
Fazit: So wappnen sich Unternehmen vor Quishing. Die Gefahr von Phishing-Mails ist ungebrochen. Durch den Einsatz von QR-Codes erhält diese Methodik eine weitere, bislang noch nicht sonderlich bekannte Facette. Unternehmen müssen sich hier sowohl auf die Technologie als auch auf ihre Mitarbeiter verlassen können. Dafür empfiehlt sich eine ganzheitliche Cybersecurity-Strategie mit regelmäßigen Security-Awareness-Trainings für die Belegschaft und umfänglicher Thread-Protection-Technologie, die bestenfalls schon über einen QR Code Analyzer verfügt. Hier gilt es zu prüfen, welche am Markt verfügbare Lösung am besten zu den Anforderungen passt. Nur wenn das ganze Unternehmen am selben Strang zieht, kann eine cybersichere Umgebung auf höchstmöglichem Niveau geschaffen werden.
Umut Alemdar,
Head of Security Lab,
Hornetsecurity
[1] https://www.bnd.bund.de/DE/Die_Themen/Cybersicherheit/cybersicherheit_node.html
[2] https://www.hornetsecurity.com/de/cyber-security-report/
[3] https://www.hornetsecurity.com/de/esi-benchmark-report/
Hornetsecurity ist ein weltweit führender Anbieter von Cloud-basierten Sicherheits-, Compliance-, Backup- und Security-Awareness-Lösungen der nächsten Generation, die Unternehmen und Organisationen jeder Größe auf der ganzen Welt unterstützen. Das Flaggschiffprodukt 365 Total Protection ist die umfassendste Cloud-Sicherheitslösung für Microsoft 365 auf dem Markt. Angetrieben von Innovation und Cybersecurity-Exzellenz, baut Hornetsecurity mit seinem preisgekrönten Portfolio eine sicherere digitale Zukunft und nachhaltige Sicherheitskulturen auf. Hornetsecurity ist über sein internationales Vertriebsnetz mit über 8.000 Channel-Partnern und MSPs in mehr als 30 Ländern aktiv. Die Premium-Dienste des Unternehmens werden von mehr als 50.000 Kunden genutzt.