ra2 studio - stock.adobe.com
Den Mensch in den Mittelpunkt der Cyberabwehr stellen
Auf den Menschen ausgerichtete Cyberangriffe erfordern eine entsprechend angepasste Abwehr. Dafür müssen IT-Verantwortliche wissen, welche Anwender wie angegriffen werden.
Nicht zuletzt aufgrund der grassierenden Pandemie, kam es seit Beginn des Jahres 2020 im Bereich der Cybersicherheit zu einer Reihe von Veränderungen, deren langfristige Auswirkungen sich erst nach und nach erkennen lassen. Während die Cybersicherheitsteams damit beschäftigt waren, unzähligen Benutzern die Arbeit aus der Ferne zu ermöglichen und folglich eine bis dahin ungekannte Anzahl neuer Angriffspunkte abzusichern, witterten Cyberkriminelle ihre Chance. Noch nie zuvor gab es so viele betrügerische E-Mails, die sich um ein und dasselbe Thema rankten.
Nach dem nun so mancher Arbeitnehmer wieder den Weg zurück ins Büro gefunden hat, planen andere, langfristig ihrer Tätigkeit von den eigenen vier Wänden aus nachzugehen oder zumindest in hybrider Form zu arbeiten. Und dies bleibt nicht der einzige Trend, der sich im Zuge der Pandemie entwickelt hat. Von ihren illegalen Erfolgen des letzten Jahres beflügelt, attackieren Cyberkriminelle bestimmte Personen in den Unternehmen und nutzen dabei immer ausgefeiltere Taktiken, um Anmeldeinformationen sowie Daten zu stehlen und sich den Zugang zu Unternehmensnetzwerken und -Systemen zu erschleichen.
Um Mitarbeiter in dieser neuen Bedrohungslandschaft schützen zu können, ist ein umfassendes Verständnis in drei Schlüsselbereichen nötig: Schwachstellen, Angriffsformen und Berechtigungen. Mit anderen Worten: Wo sind Benutzer am stärksten gefährdet, welchen Bedrohungen sind sie ausgesetzt und wie groß sind die potenziellen Auswirkungen eines erfolgreichen Angriffs?
Wie versuchen Cyberkriminelle die Angestellten auszunutzen?
Da 99 Prozent der Cyberangriffe eine menschliche Aktion erfordern, um erfolgreich sein zu können, sind Mitarbeiter zweifellos die größte Schwachstelle jedes Unternehmens. Um sie und damit auch die Organisation insgesamt zu schützen, müssen die Verantwortlichen die Bedrohungen verstehen, denen Angestellte derzeit ausgesetzt sind. Erst dann ist es möglich, sie umfassend über ihre Rolle bei der Abwehr solcher Bedrohungen aufzuklären.
Bei der Bewertung des Risikos stellt sich allerdings zusätzlich die Frage: Wie wahrscheinlich ist es, dass die eigenen Angestellten Opfer eines Cyberangriffs werden, wenn sie ins Visier Cyberkrimineller geraten?
Die Antwort darauf lässt vermutlich tiefer blicken, als so manchem Security-Verantwortlichen lieb sein dürfte. Und in diesem Zusammenhang spielt vor allem die E-Mail nach wie vor eine große Rolle. Denn sie bleibt das primäre Einfallstor für Cyberangriffe, schließlich lassen sich mit Hilfe dieses Kommunikationsmittels alle Arten von Phishing-Ködern, gefährlichen Payloads und Social-Engineering-Angriffen verbreiten.
Doch trotz der zunehmenden Berichterstattung zu Cyberbedrohungen, sind viele Arbeitnehmer noch immer nur unzulänglich auf diese vorbereitet. So klickte in simulierten Attacken jede fünfte Testperson auf Bedrohungen, die auf Dateianhängen basierten.
Erschwerend kommt hinzu, dass andere Bedrohungsformen in der Realität noch weit höhere Erfolgsquoten aufweisen. Steganographie beispielsweise, eine Technik zum Verstecken gefährlicher Payloads in Fotos und Audiodateien, führte im vergangenen Jahr jeden dritten Empfänger in die Irre, so dass ein Klick erfolgte. Damit verfügt diese Form über die höchste Klickrate aller Angriffsarten.
Die Bedrohungslandschaft -– alte Bekannte und neue Emporkömmlinge
Die Cyberkriminellen von heute mögen zwar raffinierter, zielgerichteter und hartnäckiger bei ihren Angriffen vorgehen, allerdings sind ihre Methoden alles andere als neu. So war Ransomware im vergangenen Jahr eine große Herausforderung für die Unternehmen auf der ganzen Welt.
Die Verbreitung derartiger Angriffe nahm im Vergleich zu 2019 um ganze 300 Prozent zu. Und erneut zeigte sich, dass auch hier die Postfächer der Angestellten der maßgebliche Ausgangspunkt dieser Attacken waren. Zwar wird der Ransomware heutzutage zunächst durch eine andere (initiale) Malware der Weg geebnet, aber deren Verbreitung erfolgt zumeist über die E-Mail. Für die nachfolgende Ransomware-Infektion bedient sich die initiale Payload in der Regel kompromittierter RDPs (Remote Desktop Protocol) oder VPNs.
Eine weitere bekannte Bedrohungsform, das Phishing von Anmeldedaten, war im Jahr ebenfalls sehr weit verbreitet. Mehr als die Hälfte aller E-Mail-Bedrohungen im letzten Jahr waren Versuche, Anmeldedaten abzuphishen. Damit übertraf Phishing sogar alle anderen Bedrohungsvektoren zusammengenommen.
Wenig überraschend ist daher, dass weiterhin viele cyberkriminelle Gruppen sich diesem Bereich widmen. Denn erfolgreich kompromittierte Anmeldedaten können zu verschiedenen illegalen Aktivitäten genutzt werden, von Überweisungsbetrug über Identitätsdiebstahl bis hin zu Cyberspionage.
Der Diebstahl von Anmeldedaten steht auch direkt in Verbindung mit der teuersten Herausforderung, derer sich Cybersecurity-Teams gegenübersehen – dem sogenannten Business E-Mail Compromise (BEC, auch Chef-Masche genannt). Mit geschätzten Schäden in Höhe von 1,8 Milliarden US-Dollar im Jahr 2020 ist dieser Cyberbetrug für fast die Hälfte aller Verluste durch Cyberkriminalität verantwortlich.
Was Neuerungen in der heutigen Bedrohungslandschaft anbelangt, so überrascht es nicht, dass Köder, die einen Bezug zur aktuellen Pandemie aufwiesen, im Jahr 2020 in einer Vielzahl von Fällen als Aufhänger verwendet wurden. Bis Mitte März 2020 wurden bei etwa 80 Prozent aller Cyberbedrohungen Themen mit einem Pandemiebezug verwendet.
Gerade in einer Phase, in der sich im Zuge der aufkommenden Pandemie Angst und Verunsicherung herrschten, lockten Cyberkriminelle Menschen weltweit in die Falle. Hierzu verwendeten sie vermeintliche Angebote für Impfstoffe, Behandlungsmethoden, Heilmittel und vielem mehr, um ihre Opfer zum Klick auf gefährliche Links oder der Preisgabe von Anmeldedaten auf einer gefälschten Website zu verleiten.
Auch wenn sich nun nach und nach ein Ende der Pandemie abzuzeichnen scheint, bleibt weiterhin damit zu rechnen, dass diese Taktiken noch für eine Weile ein alltäglicher Begleiter der meisten Security-Experten bleiben werden. Bei jüngst zu beobachtenden Kampagnen nutzten die Cyberkriminellen mutmaßliche Bestätigungen für Impftermine, um potenzielle Opfer zu ködern. Dies belegt einmal mehr, dass jeder Meilenstein in Bezug auf COVID-19 direkt von den Angreifern in ihrem Sinne ausgenutzt wird und immer mit neuen Taktiken zu rechnen ist.
Prüfung der Benutzerrechte
Um den Risikograd eines Unternehmens vollständig zu erfassen, muss zunächst genau ermittelt werden, worauf Cyberkriminelle Zugriff haben könnten, sofern sie einen Benutzer-Account kompromittieren. Die potenziellen Auswirkungen eines solchen Angriffs hängen maßgeblich vom Umfang der Berechtigungen des jeweiligen Kontos ab. Wird ein Benutzer mit hohen Privilegien kompromittiert, verschafft dies den Cyberkriminellen Zugang zu weitaus sensibleren und wertvolleren Informationen als dies andernfalls möglich wäre.
„Unabhängig von den spezifischen Taktiken und Angriffsmethoden stellen Mitarbeiter das größte Risiko für jedes Unternehmen dar. Sie stehen an der vordersten Front der Cyberverteidigung.“
Michael Heuer, Proofpoint
Insider-Bedrohungen, ob böswillig oder fahrlässig, sind ebenfalls ein erhebliches Risiko, insbesondere im Falle privilegierter Benutzer. Sind nur die Anmeldedaten eines einzigen Kontos durchgesickert oder hat ein Mitarbeiter unbedacht geklickt, kann dies bereits zu schwerwiegenden finanziellen Folgen und einer Rufschädigung für das Unternehmen führen. Erschwerend kommt hinzu, dass diesen speziellen Bedrohungen besonders im Falle des Home-Office sowie bei hybriden Arbeitsumgebungen viel schwieriger zu begegnen ist.
Um privilegierte Benutzer effektiv zu überwachen und zu schützen, sollten die Security-Verantwortlichen zunächst die VAPs – also Very Attacked People – identifizieren. Sobald Erkenntnisse dazu vorliegen, wer die größte Bedrohung darstellt und in welchem Umfang diese Personen Zugang zu Unternehmensdaten und -Netzwerken haben, können entsprechende Sicherheitsmaßnahmen ergriffen werden.
Für die meisten Organisationen bedeutet dies die Überwachung von USB-Verbindungen, der Ausschleusung von Daten, Datei-Downloads und das Kopieren von Ordnern zu unregelmäßigen Zeiten. Je besser die Security-Teams die risikoreichsten Benutzer und deren Aktivitäten kennen, desto sicherer ist das Unternehmen insgesamt.
Der Mensch im Mittelpunkt der Abwehr
Heutige, auf den Menschen ausgerichtete Cyberangriffe erfordern eine ebenfalls auf den Menschen ausgerichtete Cyberabwehr. Dieser Ansatz macht es erforderlich, dass sich die Security-Verantwortlichen einen möglichst umfassenden Überblick darüber verschaffen, wer tatsächlich angegriffen wird, wie die Attacken durchgeführt werden wird und welche Daten und Zugänge dadurch möglicherweise gefährdet werden.
Neben Schutzmaßnahmen in puncto E-Mail sowie für den Perimeter müssen Unternehmen ein umfassendes, dauerhaftes und anpassungsfähiges Schulungsprogramm zum Sicherheitsbewusstsein ins Leben rufen. Benutzer aller Ebenen, insbesondere diejenigen mit privilegiertem Zugang, müssen in die Lage versetzt werden, verdächtige Aktivitäten und E-Mails zu erkennen, damit umzugehen und melden zu können. Darüber hinaus müssen die Mitarbeiter wissen, welche Rolle sie bei der Sicherheit ihres Unternehmens spielen – und welche Konsequenzen es hat, wenn sie dieser Rolle nicht gerecht werden.
So entsteht mit der Zeit eine Kultur, in der die Cybersicherheit nicht nur eine Angelegenheit der IT-Teams ist. Sie obliegt der Verantwortung aller. Unabhängig von den spezifischen Taktiken und Angriffsmethoden stellen Mitarbeiter das größte Risiko für jedes Unternehmen dar. Sie stehen an der vordersten Front der Cyberverteidigung. Und daher ist es von entscheidender Bedeutung, dass Angestellte sich ihrer Aufgabe bewusst werden und vorbereitet sind.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.