Elnur - stock.adobe.com
Collaboration-Tools: Einfallstor für Social Engineering
Das schnelle und großflächige Ausrollen der beliebten Collaboration-Tools sorgte dafür, dass die Sicherung der Umgebungen und die nötige Schulung häufig auf der Strecke blieb.
Sie sind aus dem hybriden Arbeitsalltag nicht mehr wegzudenken: Teams, Zoom, Slack. Collaboration Tools helfen virtuellen Teams, effizient zusammenzuarbeiten. Die Konsolidierung von E-Mail-, Collaboration- und Projektmanagement-Tools in Produktsuiten wie Microsoft 365 oder Google Workspace bieten zentrale Plattformen für die gemeinsame Nutzung von Daten und Dokumenten – und sie haben ein neues Einfallstor für Cyberkriminelle geschaffen, das viele Unternehmen und Belegschaften bislang zu wenig auf dem sprichwörtlichen Radar haben.
Zu Unrecht, wie eine Mimecast-Umfrage (PDF) unter 600 Cybersecurity-Führungskräften und mehr als 3.000 Mitarbeitern zeigt. In der Erhebung gaben 94 Prozent der befragten Unternehmen aus Australien, Frankreich, Deutschland, Südafrika, Großbritannien und den USA an, bereits Opfer einer Bedrohung geworden zu sein, die von diesen Tools ausging. Bei diesen so genannten Social-Engineering-Angriffen geben Angreifer sich als Personen aus, denen der Nutzer sonst vertraut: als Vorgesetzter, Lieferant oder Partner. Fortschritte in der KI-Technologie ermöglichen es, diese Angriffe selbst bei Videoanrufen und -konferenzen noch glaubwürdiger zu gestalten. Auch Stimmen und Videoübertragung können gefälscht werden – man denke an das „Telefonat“ der damaligen Berliner Oberbürgermeisterin Giffey mit dem angeblichen Oberbürgermeister von Kiew, Vitali Klitschko.
Collaboration-Tools als Bedrohungsvektor
Collaboration Tools sind der perfekte Angriffsvektor für diese Art der Infiltration, die oft nur den Ausgangspunkt für weiteres Unheil – im Besonderen Ransomware-Angriffe – darstellen. Im August 2023 gab das Threat-Intelligence-Team von Microsoft eine Warnung vor Angriffen auf Microsoft Teams heraus. Bereits im Juni hatten Sicherheitsforscher von Jumpsec eine Sicherheitslücke in Teams identifiziert, über die Angreifer an Anmeldedaten von Benutzern gelangen konnten. Microsoft riet Cybersecurity-Verantwortlichen, ihre Umgebungen umgehend zu sichern und Teams-Nutzer zu sensibilisieren.
Zielscheibe der Angriffswelle waren Unternehmen jeder Größenordnung sowie Behörden und andere öffentliche Einrichtungen. Auffällig: Während kleine und mittlere Unternehmen von früheren Angriffswellen weniger stark betroffen waren, ist das heute nicht mehr der Fall. Das liegt auch daran, dass Angreifer entlang der Software Supply Chain heute rasch von einem Unternehmen ausgehend ganze Ökosysteme infiltrieren können. Unter anderem deshalb sind Softwarestücklisten (oder SBOM, Software Bill of Materials) inzwischen ein verbindlicher Teil regulatorischer Anforderungen an die Cyberresilienz von Unternehmen.
Es ist geschäftskritisch, Collaboration-Plattformen abzusichern
E-Mails sind laut dem jährlichen BSI-Report zur Lage der Cybersicherheit (PDF) noch immer der häufigste Angriffsvektor. Gleichzeitig nahm jedoch der Anteil von Angriffen über Collaboration Tools im 3. Quartal 2023 zu. Die Auswirkungen unterscheiden sich nicht von den Folgen „herkömmlicher“ Cyberattacken. Dazu gehören der Verlust von Unternehmensdaten, Kundenvertrauen, wirtschaftliche Schäden in Form von Vertragsstrafen, Erpressungsgeldern, Rechtskosten und Bußgeldzahlungen, Reputations- sowie immaterielle Schäden in Form erheblicher Belastungen für Mitarbeiter – unabhängig von der Größe des Unternehmens. Das Analysehaus Gartner prognostiziert in diesem Zusammenhang, dass bis 2025 fast die Hälfte der Cybersecurity-Experten den Arbeitsplatz wechseln werden. Und 25 Prozent werden aufgrund von Mehrfachbelastungen am Arbeitsplatz sogar den Beruf wechseln oder ganz ausscheiden.
Die durchschnittlichen Gesamtkosten von Angriffen auf Unternehmen, die auf Collaboration-Tools basieren, beliefen sich laut der Mimecast-Befragung im vergangenen Jahr auf über 523.722 Euro pro Angriff. Darin enthalten sind die Kosten für zusätzliche Sicherheitsmaßnahmen, zusätzliches Personal und die Wiederherstellung von Systemen.
Kleine und mittlere Unternehmen sind im Vergleich zu Unternehmen anderer Größenordnungen am wenigsten zuversichtlich, was ihre Vorbereitung auf Cyberangriffe anbelangt: Nur 66 Prozent der Befragten waren der Meinung, dass ihr Unternehmen sehr gut oder gut auf eine Collaboration-Attacke vorbereitet ist. Große Unternehmen zeigen größeres Vertrauen in die eigene Abwehrbereitschaft.
In Unternehmen jeder Größenordnung sind jedoch vor allem Mitarbeiter erstaunlich selbstbewusst. Auffallend ist vor allem die Abweichung zwischen Selbsteinschätzung und tatsächlichem Verhalten: Obwohl eine klare Mehrheit von 81 Prozent der befragten Mitarbeiter aussagte, das Risiko zu verstehen und sich entsprechend zu verhalten, sind Mitarbeiter im Umgang mit Collaboration Tools im Vergleich zu E-Mails unvorsichtiger im Umgang mit Links und Anhängen: 21 Prozent - also mehr als jeder fünfte Angestellte – gaben an, bei Links und Anhängen in einer Nachricht in einem Team-Chat oder -Kanal auf jede Form der Cybersecurity-Prüfung zu verzichten.
Die Daten zeigten auch, dass enormer Schulungsbedarf zu den Sicherheitsrisiken von Collaboration Tools besteht. Besonders auffällig ist, wie sehr hier die Meinungen zwischen Führungskräften und Belegschaften auseinandergingen. Während 85 Prozent der Cybersecurity-Profis davon ausgingen, dass ihr Unternehmen seine Mitarbeiter ausreichend über Risiken von Collaboration-Tools informiere, gaben ganze 38 Prozent der Mitarbeiter an, keine Sicherheitsschulung für Collaboration-Tools erhalten zu haben. In KMU stieg dieser Wert sogar auf 48 Prozent.
„Cybersicherheit ist nicht zuletzt eine Frage der Unternehmenskultur und in Zeiten dezentralen Arbeitens über multiple Endgeräte längst nicht mehr nur Aufgabe der IT, sondern jedes Einzelnen.“
Frank Sammüller, Mimecast
Gleichzeitig ist das Problembewusstsein deutlich geringer ausgeprägt als in Bezug auf E-Mails. Mitarbeiter zeigten bei der Nutzung von Collaboration-Tools ein riskanteres Verhalten, was das Öffnen von Dateien und Anklicken von Links betraf. Ein Grund dafür ist, dass Collaboration-Tools dazu verführen, sie als geschlossene Umgebungen wahrzunehmen, die sie nicht sind. Sie erscheinen persönlicher, weswegen Mitarbeiter Anfragen, die sie über Collaboration-Tools erhalten, weniger hinterfragen als E-Mails. Zudem fühlen sie sich weniger verantwortlich für Hacks, bei denen ihr Konto betroffen ist: 30 Prozent der Mitarbeiter gaben an, dass sie sich nicht persönlich verantwortlich fühlen würden, wenn ihr Gerät oder Konto betroffen wäre.
Der Aspekt der fehlenden Eigenverantwortung ist für Unternehmen besonders besorgniserregend. Denn Cybersicherheit ist nicht zuletzt eine Frage der Unternehmenskultur und in Zeiten dezentralen Arbeitens über multiple Endgeräte längst nicht mehr nur Aufgabe der IT, sondern jedes Einzelnen.
Viele Unternehmen verlassen sich auf die nativen Sicherheitsmechanismen von Google Workspace und Microsoft 365. Als größte Dienste stehen die beiden Anbieter jedoch im Fokus der Angreifer und diesen gelingt es immer wieder, die Schutzmechanismen zu umgehen. Unternehmen, die eine zusätzliche, KI-unterstützte Sicherheitsschicht für die gesamte Umgebung etablierten, konnten ihre „Angriffsbilanz“ verbessern.
Checkliste für Unternehmen: Die To-Dos für mehr Collaboration-Sicherheit
1. Die Sicherung der Plattformen ist nicht nur eine technische, sondern auch eine kulturelle Herausforderung. Bewusstsein und Verantwortungsgefühl für die Risiken von Collaboration Tools liegen auf einem deutlich niedrigeren Niveau als für E-Mails. Mitarbeiter übernehmen weniger persönliche Verantwortung für die Sicherheit von Collaboration-Tools als von E-Mails.
2. Die Risiken von Tools wie Microsoft Teams oder Slack müssen ein klarer und gleichwertiger Teil von Sicherheitsschulungen werden. Unternehmen bieten ihren Mitarbeitern aktuell entweder keine oder keine ausreichend spezifischen Sicherheitsschulungen für Collaboration-Tools an.
3. Unternehmen benötigen integrierte, konsolidierte und mehrschichtige 360-Grad-Sicherheitskonzepte. Führungskräfte müssen ihre Unternehmen mit ganzheitlicher Cybersecurity für die gesamte Umgebung ausstatten. Diese sollte moderne KI-Technologien nutzen, um bösartige Links und Anhänge zu identifizieren. Bei Microsoft 365 kann dazu zum Beispiel Mimecast Cloud Integrated zum Einsatz kommen.
4. Nutzer müssen in Bezug auf Collaboration Tools dasselbe Maß an Verantwortlichkeit und Vorsicht entwickeln wie bei E-Mails. Aktuell sind sie sich trotz gegenteiliger Behauptungen der Sicherheitsrisiken von Collaboration-Tools nicht vollständig bewusst und nehmen E-Mail-Sicherheit ernster.
5. Unternehmen überschätzen den Grad ihrer Vorbereitung und müssen ihre diesbezügliche Einschätzung mit der Wirklichkeit abgleichen. Verantwortliche für Cybersicherheit überschätzen den Kenntnisstand von Mitarbeitern und damit die Resilienz ihres Unternehmens. Mitarbeiter haben gleichzeitig das Gefühl, in Bezug auf Collaboration-Sicherheit nicht ausreichend unterwiesen worden zu sein.
6. In Microsoft Teams sollte festgelegt werden, von welchen Microsoft 365-Unternehmen und Einrichtungen Nachrichten empfangen werden dürfen. Nutzer sollten dahingehend geschult werden, dass sie externe Chats in der Regel nicht annehmen.
7. Die Absicherung hybrider Arbeitsumgebungen ist häufig unzureichend. Viele IT-Sicherheitsteams behandeln diesen Kommunikationskanal heute noch nicht als den wichtigen Angriffsvektor, zu dem er sich in kurzer Zeit entwickelt hat.
Fazit
Der Bedarf an umfassender Sicherheit für Collaboration-Tools ist hoch und das Risikobewusstsein auf Unternehmensseite – noch – vergleichsweise niedrig. Angesichts der Tatsache, dass in einer Umfrage nahezu jeder Befragte angab, bereits eine Attacke erlebt zu haben, die ihren Ausgangspunkt in Teams & Co. nahm, überrascht das. Besonderer Nachholbedarf besteht bei der zielgerichteten Sicherheitsschulung für Mitarbeiter. Hier müssen Unternehmen nachlegen und sich besser auf Angriffe über diese Einfallstore vorbereiten – denn diese werden kommen.
Über den Autor:
Frank Sammüller ist Sales Director DACH bei Mimecast.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.