Im Jahr 2021 ist laut dem »Cyber Attack 2021 Mid Year Report« die Zahl der Ransomware-Angriffe um satte 93 % gestiegen. Eine weltweit durchgeführte Umfrage aus dem Jahr 2022 ergab, dass bereits rund 46 Prozent der in Deutschland befragten Unternehmen mindestens einmal Opfer einer Cyberattacke geworden waren. Im Durchschnitt gaben rund 49 Prozent der befragten Unternehmen aus den verschiedenen Ländern an, in den letzten 12 Monaten mindestens eine Cyberattacke erlebt zu haben. Deutschland gehört dabei gemeinsam mit den USA zu den am häufigsten angegriffenen Ländern.
Die Rolle der Anwender beim Kampf gegen Ransomware
Ransomware und Phishing bergen für jedes Unternehmen ein hohes Gefahrenpotenzial. Und beide hängen eng zusammen: Durch menschliche Fehler bekommen Cyberkriminelle die Möglichkeit, sich im Netzwerk über gestohlene Benutzerdaten anzumelden und Daten zu stehlen oder zu manipulieren. In nahezu allen Fällen von erfolgreichen Angriffen, müssen Cyberkriminelle überhaupt nichts hacken, sie melden sich einfach an. Bei Angriffen mit Ransomware klicken Anwender zuvor auf Links in E-Mails oder öffnen Dokumente, die eine Malware enthalten. Das Resultat ist bekannt: Die Ransomware kann sich im Netzwerk nahezu problemlos ausbreiten.
Dank der über Phishing erbeuteten Anmeldedaten können Hacker sich darüber hinaus problemlos im Netzwerk anmelden. Oft auch noch über das Internet oder per VPN, und mit den Rechten des Benutzers im Netzwerk agieren. Die Angriffe bleiben oft unentdeckt, bis größerer Schaden entsteht, oder der Angreifer im internen Netzwerk weitere Identitäten übernimmt. In der Theorie wähnen sich viele Unternehmen auf Angriffe von Hackern und auf Malware- und Ransomware-Attacken vorbereitet. Allerdings fehlen häufig praktische Vorgehensweisen und der Blick auf das Netzwerk aus der Sicht des Angreifers.
Und es fehlt sehr häufig an geeigneten Trainings für die Anwender, damit sie Malware besser erkennen, die Vorgehensweisen der Angreifer durchschauen und sich und ihre Daten besser schützen.
Warum Anwender und Administratoren ein Team bilden sollten
Nach einer repräsentativen Studie des Bitcom aus 2021 entstand der deutschen Wirtschaft im Jahr 2020 durch Cyberangriffe ein Schaden von 220 Milliarden Euro, und laut Verizon Data Breach Incident Report sind Anmeldedaten mit über 60 Prozent die begehrteste Datenkategorie bei Sicherheitsverletzungen.
Die Zahlen sprechen eine deutliche Sprache: Es reicht schon lange nicht mehr aus, Virenscanner zu installieren und darauf zu vertrauen, dass sie das Netzwerk zuverlässig schützen. Benutzer sollten mit der IT-Abteilung zusammenarbeiten und verstehen, wie Angreifer vorgehen. Im Team ist es sehr wohl möglich, Ransomware-Attacken abzuwehren. Allerdings nur, wenn alle Beteiligten verstehen, wie die Angriffe genau ablaufen und richtig reagieren. Das gilt analog für den Schutz bei der Anmeldung an einem VPN, oder bei den diversen Clouddiensten. Phishing in all seinen Spielarten ist und bleibt einer der größten Cyberbedrohungen für Unternehmen. Vermeiden lassen sich die Angriffe vor allem durch das regelmäßige praxisnahe Cybersecurity-Training der Benutzer.
Benutzer sind ohne entsprechende Schulung oft wehrlos gegen Angriffe
Will man ein Unternehmen vor Cyberbedrohungen schützen, bilden die Endbenutzer die erste Verteidigungslinie. Denn ihnen obliegt letztendlich die Entscheidung, ob vertrauliche Daten gesendet oder eine externe Datei heruntergeladen werden. Nur, menschliches Versagen ist mehr als wahrscheinlich: 95 % aller Datenschutz- und Datensicherheitsverletzungen gehen auf einen internen Fehler zurück. Zu diesen kleinen und großen Irrtümern zählen versehentlich an den falschen Adressaten geschickte E-Mails, der Klick auf einen Phishing-Link, oder das Herunterladen von bösartigen Anhängen – mit dem bekannten Folgen.
Ohne Schulungen und Trainings, die sich an den Bedürfnissen und dem aktuellen Arbeitsumfeld der Benutzer orientieren, fallen Anwender schnell auf E-Mails herein, in denen zum Beispiel das offizielle Logo von bekannten Unternehmen prangt. Phishing-E-Mails sehen inzwischen täuschend echt aus, enthalten aber Links oder Malware-verseuchte Dateianhänge. Sind die Benutzer darauf geschult, dass E-Mails nicht per se vertrauenswürdig sind, nur weil sie offiziell aussehen, ist das bereits ein erster Schritt, um Angriffe zu verhindern.
Cyberkriminelle nutzen Techniken wie Spear-Phishing dazu, Anwender auszuspionieren und Daten über sie zu sammeln. Liegen ausreichende Informationen vor, versendet der Angreifer eine Phishing-Mail, die genau auf diesen Benutzer zugeschnitten ist und ihn leichter verleitet, beispielsweise Benutzerdaten herauszugeben. Im Gegensatz zu herkömmlichen Phishing-Angriffen, bei denen die Opfer zufällig ausgewählt werden, handelt es sich bei Spear-Phishing-Attacken um gezielte, gut vorbereitete und dank der guten Planung besonders heimtückische Angriffe. Entsprechend erfolgreich sind diese dann in der Regel.
Generell sollte man Anwender sowohl in den Grundlagen der IT-Sicherheit schulen als auch hinsichtlich der Anzeichen, die auf einen Angriff hindeuten können, sowie in Bezug auf übliche Vorgehensweisen von Cyberkriminellen. Haben Benutzer dieses grundlegende Wissen und sind zusätzlich in Sachen Phishing trainiert, ist eine Schulung zum Thema Ransomware interessant. Denn hier benötigt man bereits einige, technische Kenntnisse. Dazu kommen Trainings zum Thema mobile Sicherheit, also Angriffe über Smartphone, Notebook, VPN und öffentliche WLANs.
Konsequent durchgeführte Schulungen halten den Benutzer auf dem aktuellen Wissensstand und, was noch wichtiger ist, sie befähigen ihn, selbst Angriffe zu verhindern.
Angriffe simulieren, Benutzer trainieren
Phishing-Attacken bedienen sich so gut wie aller zur Verfügung stehenden digitalen Kanäle, um an Benutzerinformationen zu kommen. Neben Angriffsvektor Nummer 1, also E-Mails, sind das häufig SMS, Text- und Videonachrichten oder Anrufe. Dabei geben sich die Absender oder Anrufer als Vertreter von Unternehmen aus, denen die meisten Anwender vertrauen. Und zumeist gelingt es Cyberkriminellen auch auf diesem Weg Zugangsdaten zu erbeuten.
Für Unternehmen stehen an verschiedenen Stellen Lösungen zur Verfügung, mit denen sie selbst Phishing-Simulationen durchführen können. Die Benutzer erhalten beispielsweise eine E-Mail, in der sie gebeten werden, geheime Daten oder Benutzerinformationen herauszugeben. Diese E-Mails sind aufgebaut wie echte Phishing-, oder Spear-Phishing-Angriffe. Klickt ein Anwender auf einen solchen Link, öffnet sich die Informationsseite der Phishing-Simulation und weist ihn darauf hin, dass er gerade auf einen Angriff hereingefallen ist. Dank realistischer Simulationen erkennen die Benutzer, wie schnell man selbst auf einen solchen Angriff hereinfallen kann. Gleichzeitig speichert die Simulation, welche Benutzer anfällig für welche Art von Angriffen ist – was wiederum bei der individuellen Schulung hilft. Anspruchsvolle Security Awareness Trainings generieren zusätzlich umfassende Berichte, die aufzeigen, wo im Unternehmen dringend Handlungs- oder Nachholbedarf besteht.
Fazit
Wenn Unternehmen ihre Mitarbeiter gezielt im Umgang mit Malware/Ransomware und Phishing schulen, lassen sich Angriffe von Cyberkriminellen erheblich leichter abwehren. Zusätzliche Tools unterstützen die Benutzer dabei, die richtigen Entscheidungen zu treffen. Regelmäßige Schulungen, welche die nötige Awareness schaffen, sind ein zentraler Baustein innerhalb der grundlegenden Cybersicherheits-Strategie jedes Unternehmens. Oder besser noch: sie sollten es sein.
Hakan Ramsing, Senior Partner Manager, Central Europe, VIPRE
Gefälschte E-Mails, QR-Codes und Deep Fakes erkennen
Eine weit verbreitete Angriffsmethode von Cyberkriminellen ist die Kompromittierung von (Geschäfts)-E-Mails. Dabei erhalten die Benutzer beispielsweise eine E-Mail, vermeintlich von einem Vorgesetzten, Manager oder einer anderen Autorität, mit der Bitte sensible Daten weiterzuleiten, einen Link anzuklicken oder eine Datei zu öffnen. Zwar stammt die E-Mail mitnichten vom vorgeblichen Absender – aber da sie so wirkt, sind Anwender eher geneigt die Dateien zu öffnen, oder den Link anzuklicken.
Dazu kommt, dass laut PriceWaterHouse Coopers drei Viertel aller Berufstätigen einen Sicherheitsvorfall aus Angst vor negativen Konsequenzen nicht melden. Vor allem, wenn die Betroffenen der Meinung sind, eine erfolgreiche Cyberattacke selbst verschuldet zu haben. Eine unverzügliche Meldung ist aber enorm wichtig, um Angriffe schnell einzudämmen. Je länger ein Krimineller ungestört im Netzwerk sein Unwesen treibt, desto höher der zu erwartende Schaden. Firmen sollten ihre Belegschaft also nicht nur im Umgang mit Cyberangriffen schulen, sondern auch darin, diese zu melden. Das gilt selbst für Verdachtsfälle.
Phishing bei Microsoft Teams, Slack und Co.
Cyberkriminelle gehen dabei äußerst raffiniert vor, und nutzen etwa Bilder von Vorgesetzten, Deep Fakes oder Chats auf Plattformen wie Slack und Teams. Diese Angriffe beschränken sich nicht auf E-Mails, sondern auf unterschiedliche Kanäle und soziale Netzwerke, die im geschäftlichen Umfeld genutzt werden. Mittels Deep Fakes lässt sich sogar die Stimme einer Personen fälschen und in Videokonferenzen nutzen. Viele Anwender haben kaum eine Vorstellung davon, welche Gefahren im Bereich Phishing heutzutage lauern, geschweige denn, wie man am besten darauf reagiert. Trainings, die genau das adressieren, sind ein wichtiges Standbein für die Unternehmenssicherheit.
Trainings helfen, Netzwerke besser zu schützen und Malware zu bekämpfen
Anwender sollten zuverlässig erkennen können, wann E-Mails oder andere Nachrichten nicht seriös sind, auch wenn der Absender vermeintlich ein Vorgesetzter oder eine andere Autoritätsperson ist. Einfach ist das allerdings nicht. Aber Benutzer sollten lernen, keine Datei blind zu öffnen oder auf einen Link klicken, nur weil ihnen der Absender bekannt zu sein scheint. Um solche E-Mails zuverlässig zu erkennen und was man tun sollte, wenn eine verdächtige E-Mail ins Postfach eingeht, bilden Trainings ein wichtiges Fundament. Auch gefälschte Rechnungen und andere Dokumente dieser Art werden gern per E-Mail versendet, um Empfänger in die Falle zu locken oder Malware einzuschleusen. Cyberkriminelle gehen dabei inzwischen äußerst raffiniert vor. Ohne entsprechende Ausbildung und Trainings reagieren Mitarbeiter nicht selten falsch.
Mehr QR-Scams und QR-Phishing
Mit QR-Scams werden Benutzer auf kompromittierte Webseiten geleitet. QR-Codes verleiten Anwender dazu, über ihre Smartphones schnell und einfach auf Webseiten zuzugreifen, indem sie den Code scannen. Statistiken zeigen, dass fast 90 Prozent aller Smartphone-Benutzer schon mindestens einen QR-Code gescannt haben, über ein Drittel macht das jede Woche. Mit einiger Verspätung verbreiten QR-Codes sich inzwischen in vielen Bereichen. Benutzer sollten also wissen wie diese funktionieren und auf was sie bei der Verwendung achten sollten.
Auch bei Phishing-Attacken kommen QR-Codes zum Einsatz. Dazu binden die Angreifer QR-Codes in die Phishing-E-Mails oder andere Nachrichten ein. Nach dem Abscannen öffnet sich eine neue Webseite, und der Anwender wird aufgefordert zum Beispiel seinen Benutzernamen und das Kennwort einzugeben. Durch diese Technik hebeln Cyberkriminelle die Sicherheitsfunktionen des E-Mail-Systems aus: Es erkennt die gefährlichen URLs nicht, weil die E-Mail lediglich einen QR-Code enthält. Das sollten Benutzer wissen und vorsichtiger mit QR-Codes umgehen, respektive bei verdächtigen QR-Codes misstrauisch werden.
Deep Fakes in Kombination mit Spear-Phishing
Bei Deep Fakes handelt es sich um täuschend echt wirkende Videos oder Bilder. Sie werden häufig für die gezielte Desinformation oder im Bereich Social Engineering verwendet. Deep Fakes lassen sich oftmals nur schwer erkennen, stellen aber eine wachsende Gefahr dar. Häufig kommen sie in Verbindung mit Spear-Phishing-Angriffen zum Einsatz, um gezielt Informationen beim Opfer abzuziehen. Auch wenn Deep Fakes gut gemacht sind, ist die Botschaft nicht selten unglaubwürdig oder das Bild/Video wirkt in sich inkonsistent. Auf was genau man achten muss, kann man mit der Hilfe von Profis gut trainieren. Mittlerweile gibt es Deep Fakes auch in Form von Anrufen. Deep Fakes per Telefon basieren oft auf Text-to-Speech-Technologien in Verbindung mit der perfekten Fälschung einer Stimme. Solche Deep Fakes sind inzwischen in der Lage, auch biometrische Systeme zu überwinden.
Mobile Security
Immer mehr Nutzer arbeiten überwiegend mobil auf Notebook, Tablet oder Smartphone. Fälschlicherweise verlassen sich dabei viele auf die Sicherheit ihres Smartphones und nehmen Phishing-Angriffe oder Malware auf mobilen Endgeräten weniger ernst als auf einem stationären Computer. In den vorherrschenden, mindestens hybriden Arbeitsmodellen greifen Mitarbeiter über die unterschiedlichsten Kanäle mobil auf Unternehmensnetze zu. Fake-Apps und gefälschte URLs verbreiten sich rasant, und bilden ein zusätzliches Einfallstor für Cyberkriminelle. Virenscanner bieten kaum Schutz. Besser sind eine umsichtige Bedienung und die richtige Reaktion, wenn es zu einem Cyberangriff kommt. Der nahezu flächendeckende Umstieg auf Remote Working oder hybride Infrastrukturen hat zahlreiche Einfallstore geöffnet. Gerade hier bewirken Trainings oft Wunder.
Cyberangriffe von innen: Insider Threats
Wenig überraschend droht Unternehmensnetzwerken nicht nur Gefahr von unbekannten externen Angreifern, sondern von Insidern aus dem eigenen Unternehmen. Das können unzufriedene Mitarbeiter sein, eingeschleuste Kriminelle, Gäste, Partner oder Lieferanten. Es gibt viele Wege, zu einem Teil des Unternehmens zu werden, es intern anzugreifen und so die meisten externen Sicherheitssysteme auszuhebeln. Wenn Mitarbeiter andere Mitarbeiter ausspionieren oder versuchen auf Daten zuzugreifen, ist es naturgemäß schwieriger, Missbrauch entgegenzuwirken. Benutzer sollten wissen, wie sie ihre Daten am besten schützen und sicherstellen, dass nur dazu berechtigte Personen auf die jeweiligen Rechner zugreifen können.
Fazit
Netzwerke sind ohnehin gefährdet, unzureichend geschulte Benutzer vergrößern das Potenzial von Datenschutz- und Datensicherheitsvorfällen. Phishing ist eine der weitreichendsten Cyberbedrohungen, und es gibt unzählige Wege, wie man über Phishing an heikle Informationen kommt. Unternehmen und Benutzer stehen dem aber nicht wehrlos gegenüber. Die Wahrscheinlichkeit eines erfolgreichen Angriffs lässt sich durch gezielte, praxisnahe Security Awareness Trainings deutlich senken.
Robert den Drijver, VP EMEA & Global Head of B2B2C, VIPRE Security Group