Fortinet - Phishing während einer Pandemie

In den letzten Monaten haben IT-Sicherheitsteams auf der ganzen Welt eine deutliche Zunahme von Phishing-Angriffen festgestellt. Diese Angriffe gehen mit einem vorübergehenden Rückgang von traditionellen Angriffen einher, was darauf hindeutet, dass Angreifer ihre Methoden modifizieren, um für die Veränderungen aufgrund der Pandemie Rechnung zu tragen.

Immer mehr Menschen arbeiten derzeit von zu Hause und verbinden sich von ihren Heimnetzwerken aus mit dem Büro, und zwar recht häufig über eigene PCs. Angreifer versuchen, die Geräte dieser Benutzer als Weg in das Unternehmensnetzwerk oder die Cloud ins Visier zu nehmen. Es wird versucht, ahnungslose Opfer dazu zu verleiten, auf bösartige Websites zu gehen, auf bösartige Links zu klicken oder persönliche Informationen per E-Mail oder Telefon preiszugeben. Cyberkriminelle geben sich hierbei als legitime Organisationen aus, wie z.B. das Centers for Disease Control (CDC) oder die Weltgesundheitsorganisation (WHO), und verbreiten von gefälschte Informationsupdates über vergünstigte Masken bis hin zu Versprechungen über einen beschleunigten Zugang zu Impfstoffen. Ähnliche Angriffe richten sich auch gegen Beschäftigte im Gesundheitswesen oder in der Politik.

Natürlich sind solche Taktiken nicht neu. Wir sehen regelmäßig Spitzen in den Social Engineering-Angriffen im Zusammenhang mit Großereignissen und Katastrophen. Cyberkriminelle reagieren auf Hurrikane und andere Naturkatastrophen, indem sie sich als Hilfsorganisationen ausgeben oder bei großen Sportereignissen wie der Fußballweltmeisterschaft Opfer mit dem Versprechen von vergünstigten Eintrittskarten oder kostenlosen Streaming-Angeboten locken.

Wie funktioniert Social Engineering?

Der Grund dafür, dass Social Engineering - eine Angriffsstrategie, bei der Psychologie eingesetzt wird - so weit verbreitet ist, liegt darin, dass es funktioniert. Laut Verizons Data Breach Investigations Report 2019 (DBIR) war fast ein Drittel aller Datenschutzverletzungen auf die eine oder andere Art mit Phishing und somit einer Social Engineering-Attacke verbunden. Cyberkriminelle sind opportunistisch und versuchen die einzige Schwachstelle auszunutzen, die nicht gepatcht werden kann – der Mensch.

Die Chancen stehen zu Gunsten des Angreifers, denn er braucht nur eine ahnungslose Person, die auf einen bösartigen Link oder Anhang klickt, um die Tore in das Unternehmensnetzwerk zu öffnen. Die Wahrheit ist, dass niemand immun ist - von Einstiegsmitarbeitern, Auftragnehmern und Praktikanten bis hin zum C-Level. Geschäftspartner können ebenfalls indirekte Ziele sein, indem dort nach Informationen sucht, um die eigentlichen Ziele aufzuweichen.

Das Ziel besteht natürlich darin, Zugang zu Unternehmensnetzwerken und sensiblen Informationen zu erhalten, um diese entweder zu stehlen, zu verändern oder sie „Geisel“ zu nehmen und gegen Lösegeld zu entschlüsseln.

Warum reicht Training alleine nicht?

Natürlich ist das Bewusstsein für Cybersicherheit in den letzten Jahren gewachsen - bis zu 95% der Mitarbeiter erhalten jetzt Phishing-Schulungen, damit sie lernen, verdächtige E-Mails zu erkennen. Dies ist ein wichtiger Schritt, da die meisten Angriffe mit einer Phishing-E-Mail beginnen. Trotz dieses Schulungsschubs ist die Anzahl der Mitarbeiter, die den Unterschied zwischen einer legitimen und einer bösartigen E-Mail erkennen können, immer noch erschreckend gering. Das liegt daran, dass Cyberkriminelle Experten in der Kunst des Maskierens, Manipulierens, Beeinflussens und Erfindens von Ködern sind, um Ziele zur Weitergabe vertraulicher Daten zu verleiten oder ihnen Zugang zu internen Netzwerken zu verschaffen.

Viele Mitarbeiter die Cybersicherheit schlichtweg nach wie vor nicht ernst. Es gibt immer noch viel zu viele Mitarbeiter, die ihre Passwörter nie ändern, und zwei Drittel von ihnen verwenden noch immer kein Tool zur Passwortverwaltung. Gleichzeitig hat die jahrelange Schulung der Mitarbeiter im Erkennen von Phishing-E-Mails, im Vermeiden von Klicks auf verdächtige Links und das Befolgen von Best Practices mit ihren Passwörtern nicht den Erfolg gebracht, den sich die InfoSec-Community gewünscht hätten.

Mitarbeiter wissen, dass sie komplexe Passwörter benutzen müssen, aber sie benutzen immer noch Passwörter, die Hacker leicht knacken können, indem sie beispielsweise die Social-Media-Seiten eines Ziels durchsuchen um den Namen des Haustiers, den Namen oder Geburtstag der Kinder oder die besuchte Universität auskundschaften.

Das Problem ist nicht das Bewusstsein - es ist das menschliche Verhalten. Sichere Passwortpraktiken - z.B. die Verwendung langer Passwörter mit unsinnigen Zeichen und Zahlen - erfordern zusätzlichen Aufwand bei der Implementierung. Und Mitarbeiter zeigen immer wieder, dass, aus welchen Gründen auch immer, der zusätzliche Aufwand ihre Zeit und Energie nicht wert ist.

Wie kann ein erfolgreiches IT-Sicherheitskonzept umgesetzt werden?

Der erste Schritt besteht darin, den Mitarbeitern das Gefühl zu vermitteln, Teil des Sicherheitsteams zu sein. Ein guter Ansatzpunkt ist es, ihnen zu helfen, die Auswirkungen eines Sicherheitsereignisses zu verstehen und zu zeigen, wie es sich persönlich auswirken kann. Das Erkennen solcher Zusammenhänge - zwischen sicheren Cyber-Sicherheitspraktiken und der positiven Wirkung, die diese Praktiken haben, wenn sich jeder engagiert und verantwortungsbewusst verhält - sollten zu direkten Verbesserungen im Verhalten der Mitarbeiter führen.

Auch sollten den Mitarbeitern die Werkzeuge an die Hand gegeben werden, die sie für ihren Erfolg benötigen. In den meisten Organisationen gibt es zum Beispiel in der Regel keine einfache Möglichkeit für Mitarbeiter, eine Vielzahl komplexer Passwörter zu verwalten. Wenn sie sich für ein Passwortverwaltungsprogramm entscheiden, so geschieht dies meist nur aus eigener Initiative.

Schlussendlich sollten Unternehmen den Prozess ändern, indem sie so viel Risiko wie möglich aus den Händen Ihrer Mitarbeiter nehmen. Organisationen müssen E-Mail-Sicherheits-Gateways mit Sandboxing und Content Disarm and Reconstruction (CDR)-Tools implementieren, um bösartige Anhänge und Links zu eliminieren. Sie müssen Web Application-Firewalls einsetzen, um den Zugriff auf Websites zu sichern und um bösartige Links oder eingebetteten Schadcode zu identifizieren und zu deaktivieren, oder sie müssen Cloud-basierte Lösungen und EDR-Tools (Endpoint Detection and Response) einsetzen, damit Benutzer sowohl innerhalb als auch außerhalb des Unternehmens geschützt sind. Außerdem müssen sie proaktive Zugriffskontrollen implementieren, um sicherzustellen, dass Verbindungen, die von kompromittierten Heimnetzwerken und persönlichen Geräten ausgehen, nicht als Kanal für einen Angriff verwendet werden können.

Unabhängig davon liegt der wichtigste Schritt zur Verbesserung des Risikoprofils einer Organisation immer noch darin, die Mitarbeiter auf die eine oder andere Weise in die Übernahme und Erfüllung ihrer Sicherheitsaufgaben einzubeziehen. Mit Schulungen, den richtigen Werkzeugen und effektiven Prozessen können die IT-Sicherheitsteams eines Unternehmens jedem dabei helfen, Cybersicherheit so ernst zu nehmen, wie Zeiten wie diese es verlangt.

Übersetzt aus dem Englischen mit DeepL

Original von Aamir Lakhani, Fortinet

Korrektur und Bearbeitung von Victor Rossner

Bitte geben Sie die Zeichenfolge in das nachfolgende Textfeld ein.

Die mit einem * markierten Felder sind Pflichtfelder.