beebright - stock.adobe.com
Nachhaltige Cyberabwehr: Wenn gut einfach nicht ausreicht
Kriminelle haben im Zuge der Pandemie ihre Angriffe stark verfeinert. Daher sollten Unternehmen dies zum Anlass nehmen, die Verteidigung entsprechend nachhaltiger zu gestalten.
Unter Organisationen auf der ganzen Welt existiert die weit verbreitete Fehleinschätzung, dass „gute“ Sicherheitsvorkehrungen ausreichen, um geschäftskritische Daten abzusichern und Cyberkriminelle fernzuhalten. Doch ist dieser Ansatz wirklich ausreichend?
Wohl eher nicht, denn Cyberbedrohungen richten sich heutzutage gegen Menschen, nicht mehr primär gegen Schwachstellen der technischen Infrastruktur von Unternehmen. Während also technische Lösungen und Zugriffskontrollen beim Aufbau einer nachhaltigen Cyberabwehr nach wie vor von hoher Bedeutung sind, stellen sie doch nunmehr lediglich ein Teilaspekt einer breit aufgestellten Abwehrstrategie gegen moderne Bedrohungen dar.
Ob mittels Links zu Schadinhalten, kompromittierten Accounts oder Social Engineering – die Akteure hinter aktuellen Bedrohungen richten ihr Augenmerk auf die letzte Verteidigungslinie vieler Unternehmen. Eine letzte Abwehrkette, die oft nur mangelhaft vorbereitet ist: die eigenen Mitarbeiter.
Alles, was es für einen aus Sicht der Cyberkriminellen erfolgreichen Angriff braucht, ist ein einziger Klick eines Mitarbeiters. Ganz gleich, wie ausgefeilt die technischen Abwehrmechanismen sind, Cyberkriminelle haben dadurch ein Einfallstor in das Unternehmen.
Dieser Umstand erfordert eine neue Herangehensweise, zumal der Alltag derzeit von der neuen Normalität der Arbeit aus dem Home-Office geprägt ist. Entsprechend bedarf es eines Ansatzes, der den Menschen in den Mittelpunkt der Cyberabwehr stellt. Gleichzeitig muss sicherstellt werden, dass die Mitarbeiter nicht nur in der Lage sind, Angriffe zu erkennen und abzuwehren, sondern sich auch ihrer Rolle hinsichtlich der Sicherheit ihrer Organisationen bewusst sind.
Cybersicherheit in Zeiten des neuen Normalzustands
Da Millionen von Angestellten nun vermehrt von zu Hause aus arbeiten, außerhalb der geschützten Büroumgebung, haben sich die Angriffsflächen vieler Organisationen erheblich vergrößert. Sie sind aufgrund dessen stärker als je zuvor von Cyberbedrohungen gefährdet. Auch die Cyberkriminellen sind sich dieser Tatsache wohl bewusst und haben in der Folge keine Zeit verschwendet, um diese Situation in ihrem Sinne zu auszunutzen.
Noch bevor die WHO das neue Coronavirus offiziell als globale Pandemie klassifiziert hatte, deckte das Threat-Intelligence-Team von Proofpoint bereits eine große Anzahl von Phishing-Versuchen mit Bezug zu COVID-19 auf.
Angefangen mit Ködern, die ein vermeintliches „Heilmittel“ anboten, bis hin zu Cyberkampagnen, die angeblich Informationen sammelten, um eine Datenbank der Regierung zu ergänzen. Nun, da die Lockdown-Regeln weltweit von Region zu Region unterschiedlich ausfallen, liegt die Vermutung nahe, dass die Angreifer ihre Taktiken anpassen werden und unter anderem verstärkt das Thema Rückkehr ins Büro aufgreifen.
Doch unabhängig davon, welcher Köder bei einem E-Mail-Angriff verwendet wird, das Ziel bleibt immer das gleiche – menschliche Schwächen auszunutzen. Mit Social-Engineering-Angriffen tricksen Cyberkriminelle Mitarbeiter aus, um Login-Daten zu stehlen, vertrauliche Daten abzugreifen, Gehaltszahlungen umzuleiten und Gelder betrügerisch transferieren zu können.
Eine in dieser Hinsicht spezielle Methode sticht dabei hervor. Sie wird auch als die teuerste Gefahr der Cybersicherheit bezeichnet und gewinnt in den letzten Jahren immer mehr an Bedeutung: Die Rede ist von Business E-Mail Compromise (BEC). BEC-Angriffe erfreuen sich aus zwei einfachen Gründen einer zunehmenden Beliebtheit unter Cyberkriminellen. Zum einen, weil die Taktik funktioniert und zum anderen, weil sie sich für die Angreifer lohnt. Die Gefahren sind derart drastisch, dass sich das FBI bereits vor knapp einem Jahr veranlasst sah, eine Warnung dazu herauszugeben. Darin schätzt die Polizeibehörde, dass mittels dieser Methode allein in der Zeit zwischen 2016 und September 2019 Unternehmen auf der ganzen Welt Schäden von rund 26 Milliarden US-Dollar erlitten haben.
Immer, wenn es um solche Statistiken geht, verbergen sich hinter diesen Zahlen auch stets reale Unternehmen, die unter den tatsächlichen Folgen solcher Angriffe zu leiden haben. Erst 2019 wurde in diesem Zusammenhang bekannt, dass Toyota Boshoku (PDF) den größten jemals bekannt gewordenen Schaden bei einem einzigen Angriff zu beklagen hatte. Die Toyota-Tochtergesellschaft wurde von einem Betrüger in die Irre geführt, der sich als Geschäftspartner ausgab. Er überzeugte die Verantwortlichen im Unternehmen davon, 37 Millionen Dollar auf ein von ihm kontrolliertes Konto zu überweisen.
In jüngerer Zeit, genauer gesagt im Januar 2020, hatte Puerto Rico einen Schaden von mehr als 4 Millionen US-Dollar zu verzeichnen, die Online-Betrüger bei drei separaten BEC-Angriffen auf Regierungsbehörden erbeuten konnten. Auch der staatliche norwegische Investitionsfonds Norfund fiel 2020 auf eine gefälschte E-Mail herein und überwies 100 Millionen NOK (etwa 10 Millionen US-Dollar) an Cyberkriminelle.
Mit der Verteidigung von morgen bereits heute beginnen
Bei der Abwehr von BEC-Angriffen haben die aktuell vorherrschenden, außergewöhnlichen Umstände gezeigt, dass die Cyberabwehr vieler Organisationen alles andere als gut ist. Die vielen Mitarbeiter, die nun aus der Ferne ihrer Arbeit nachgehen und dabei verstärkt auf E-Mails als Kommunikationsmittel zurückgreifen, haben hierbei eine signifikante Schwachstelle aufgedeckt. Eine Schwachstelle, die viele Unternehmen bislang nicht oder nur mangelhaft adressieren.
Menschen via E-Mail zu attackieren, ist für Cyberkriminelle heutzutage die Angriffsmethode der Wahl. Die überwiegende Anzahl der Verteidigungsstrategien tragen diesem Umstand aber keineswegs Rechnung. Obwohl mehr als 90 Prozent der aktuellen Bedrohungen von E-Mails ausgehen, werden nur zehn Prozent der Ausgaben in Sachen Cybersicherheit in diesem Bereich investiert.
Auch diejenigen, die in der vordersten Linie der Cyberverteidigung eines Unternehmens stehen, leiden unter einem ähnlichen Mangel an Investitionen. Die Mehrheit aller Organisationen bietet seiner Belegschaft weniger als zwei Stunden an Security-Schulungen pro Jahr an. Leider hat dieser Missstand auch ein unzureichendes Bewusstsein der Endanwender für Cyberbedrohungen zur Folge.
Nur 66 Prozent der Angestellten auf der ganzen Welt können mit dem Begriff Phishing etwas anfangen, und lediglich 31 Prozent wissen über die Gefahren von Ransomware-Attacken Bescheid.
Hier besteht dringender Handlungsbedarf. Denn es kann von Mitarbeitern nicht erwartet werden, dass sie Unternehmen schützen, ohne sie mit dem dafür nötigen Rüstzeug auszustatten und entsprechende Kenntnisse zu vermitteln.
„Eine lediglich gute Cyberabwehr ist zumeist nicht gut genug, um der heutigen dynamischen Bedrohungslandschaft Rechnung zu tragen.“
Michael Heuer, Proofpoint
Analog dazu, wie die Cyberkriminellen die gegenwärtige Situation genutzt haben, um ihre Angriffe zu verfeinern, müssen auch die Security-Verantwortlichen in den Unternehmen die Gelegenheit nutzen, um ihre Verteidigung zu verbessern. Cybersicherheitsstrategien können nicht mehr länger auf den Prinzipien von gestern aufbauen. Moderne Strategien müssen vielmehr die Bedrohungslandschaft von heute widerspiegeln und auf Angriffe von morgen schon jetzt vorbereitet sein.
Diese vom Menschen ausgehende Lücke vieler Cyberabwehrsysteme ist auf mangelndes Bewusstsein und mangelnde Aufklärung zurückzuführen. Ein Umstand, an dem viele Organisationen noch immer scheitern.
Der Mensch im Mittelpunkt der Verteidigung
E-Mail-basierte Angriffe verursachten schon lange vor der COVID-19-Pandemie erhebliche Schäden und dies wird auch noch lange danach zu beobachten sein. Als Nebenprodukt der massenhaft erzwungenen Arbeit aus dem Home-Office heraus bietet dies jedoch die Gelegenheit, die am häufigsten vorkommenden Angriffe zu untersuchen und zu überprüfen, ob die Mechanismen, die zu deren Abwehr implementiert wurden, diesen auch standhalten. Eine Analyse, die schon lange überfällig ist.
Dass die Netzwerk- und Endgerätesicherheit nach wie vor das Hauptaugenmerk der Sicherheitsteams darstellen, obwohl sie bei weitem nicht das Hauptangriffsziel der Cyberkriminellen sind, sollte Anlass zur Sorge geben. Daher ist es höchste Zeit für eine neue Denkweise, denn Mitarbeiter sind heutzutage mobil und greifen von überall sowie mit Hilfe verschiedenster Geräte, Netzwerke und Plattformen abseits des traditionellen Unternehmensnetzwerks auf Firmendaten zu.
Da der Mensch jedoch im Zentrum der meisten Cyberangriffe steht, ist es nur logisch, ihn auch in den Mittelpunkt der Cyberabwehr zu rücken und somit die bisherigen Maßnahmen zu ergänzen, denn sie sind weiterhin notwendig.
Neben einer Verstärkung der Abwehrmechanismen gegen E-Mail-Attacken durch sogenannte Secure E-Mail Gateways benötigt die Entdeckung und Abwehr gängiger Bedrohungen auch eine wachsame und sachkundige Belegschaft. Eine, die sich ihrer Rolle bei der Gewährleistung der Sicherheit des Unternehmens voll und ganz im Klaren ist – und die über die Folgen im Falle von Versäumnissen bei dieser Aufgabe wohl informiert ist.
Dies kann durch kontinuierliche und anpassbare Cybersicherheitsschulungen erreicht werden. Schulungen, die weit über Allgemeinplätze zu häufigen Bedrohungen hinausgehen. Sie müssen den Mitarbeitern ein Verständnis dafür vermitteln, weshalb ihr Verhalten den Unterschied zwischen einem Angriffsversuch und einer erfolgreichen Attacke ausmachen kann.
Eine lediglich gute Cyberabwehr ist zumeist nicht gut genug, um der heutigen dynamischen Bedrohungslandschaft Rechnung zu tragen – diese Erfahrung müssen Organisationen auf der ganzen Welt leider immer wieder machen. Unternehmen zu schädigen, ist das Hauptziel von Cyberkriminellen. Sofern dieser Umstand nicht auch dem letzten Angestellten klar gemacht wird, wird es letztlich immer nur einen Gewinner geben – und das ist nicht das Unternehmen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.