Schwachstelle Mensch

0 Bewertungen
1
5
0
 
 
 
Bewerten
 
 
 
 
 
 
0 Kommentare  
219 Aufrufe  

Cyberkriminelle setzen zunehmend auf Angriffe, bei denen nicht Schwachstellen in der Software ausgenutzt werden, sondern die Leichtgläubigkeit von Personen. Via Social Engineering können sich Bedrohungen wie die so genannte Ransomware rasant verbreiten.

 

Firewall und Antiviren-Software – jeder Computernutzer weiß, dass er seinen Rechner schützen muss. Auch die meisten Unternehmen investieren in die Sicherheitsinfrastruktur – und vergessen dabei das größte Risiko: die eigenen Mitarbeiter. Die Mehrzahl böswilliger E-Mail-Angriffe arbeitet nicht mehr mit Schadcode, sondern zielt auf die Gutgläubigkeit von Menschen. Die Zahlen sind alarmierend: Der Anteil von kompromittierenden Geschäftsmails lag 2015 bei nur einem Prozent aller Finanzbetrug-Mails – weit hinter Banking-Trojanern. Ein Jahr später waren es schon 42 Prozent. Auch die betrügerischen Mails haben sich in dieser Zeit gewandelt. Versuchten die Angreifer früher mit den Mails automatisierte Schadsoftware zu platzieren, waren im Dezember 2016 nahezu alle Mails mit infizierten Anhängen so konstruiert, dass sie auf unbedachte Aktionen der Empfänger spekulieren.

Ransomware und Phishing-Seiten

Mit ihren großangelegten Aktionen verfolgen Angreifer unterschiedliche Ziele. Fällt ein Empfänger auf die vermeintlich seriöse Mail herein, kann sich ein Schadprogramm installieren, das alle Daten auf dem Computer blockiert und ein Lösegeld fordert. Die Verbreitung dieser Ransomware hat explosionsartig zugenommen. Oft werden die Opfer auch mit fadenscheinigen Gründen dazu aufgefordert, Anmeldedaten oder vertrauliche Informationen preis zu geben. Über 90 Prozent aller Schadmails führen auf Phishing-Seiten, wo die Betroffenen Anmeldedaten eingeben sollen. Hin und wieder gelingt es den Cyberkriminellen sogar, dass ihre Opfer stattliche Summen überweisen.

Phishing-Mails zu erkennen, ist nicht so schwer, auch wenn sie gut gemacht sind. Wenn die Mail dazu auffordert, auf einen Link zu klicken, etwa um einen Millionengewinn zu ergattern, oder persönliche Daten zu überprüfen oder einzugeben, sollte die Mail sofort auf den Datenmüll. Schwieriger fällt die Entscheidung beim Spear Phishing. Hier spionieren die Angreifer ihre Opfer gezielt aus, recherchieren zum Beispiel Hobbys, Tätigkeiten und Freunde in sozialen Netzwerken. Die Mails werden dann so maßgeschneidert, dass der Empfänger davon ausgehen kann, dass die Nachricht von einem Bekannten, etwa einem Arbeitskollegen kommt. Auch hier ist eine gute Portion Misstrauen gefragt: Am besten ist es, über einen anderen Kommunikationskanal Kontakt mit dem vermeintlichen Absender aufzunehmen.

Manchmal steckt ein anderer Absender hinter einer Mail, als man glaubt. (Quelle: Proofpoint)

Spiel mit psychologischen Tricks

Der Erfolg von Phishing-Mails beruht auf der Neugier und Leichtgläubigkeit der Empfänger. Die Angreifer spielen geschickt mit den Wünschen und Ängsten ihrer Opfer. Dazu gehört zum Beispiel der Wunsch, sich vor Führungskräften oder Kollegen auszuzeichnen und sich stets hilfsbereit zu zeigen. Oder die Angst, Kunden schlecht zu behandeln oder Arbeitsabläufe zu behindern. Hinzu kommen Automatismen, etwa das Vertrauen in bekannte Personen, das Vertrauen in Autoritäten. Tief verwurzelt sind Angst, Respekt, Scham und mitunter Gier sowie Eitelkeit. Hacker spielen geschickt mit diesen psychologischen Schwächen und verstärken diese noch, indem sie Verschwiegenheit oder Dringlichkeit vortäuschen. In ihre Falle tappen häufig Personen, die unsicher sind oder oft mit unternehmensfremden Personen zu tun haben – etwa im Vertrieb oder Service, aber auch AssistenInnen von Top-Managern sind gefährdet.

Die Betrüger wissen mittlerweile sogar genau, wann sie ihre Mails losschicken, damit der Erfolg am größten ist. So klicken ahnungslose Empfänger gerne dienstags bis donnerstags und nach der Mittagspause auf solche Mails, vielleicht weil dann die Konzentration geringer ist. Der erste Klick erfolgt in der Hälfte der Fälle innerhalb einer Stunde nach Eintreffen der Mail. Damit die Überrumpelungstaktik funktioniert, schmücken sich die Mails mit bekannten Marken und irreführenden Namen. Beliebt ist das so genannte Angler-Phishing, bei dem der Angreifer ein Doppelgängerkonto für ein soziales Netzwerk einer bekannten Marke anlegt und sein Opfer auf echt wirkende Seiten lockt. Mit Phishing-Mails haben die Sender erstaunlich oft Erfolg: Etwa jede zwanzigste dieser Mails wird angeklickt.


Der wohl bekannteste Hacker der Welt, Kevin Mitnick, der jahrelang hinter Gittern schmorte und heute gefragter Sicherheitsberater ist, hat das in seinem Buch „Die Kunst der Täuschung – Risikofaktor Mensch“ beschrieben. Social Engineering – die soziale Manipulation von Menschen – sei die bei weitem effektivste Methode, um an ein Passwort zu gelangen, und schlage rein technische Ansätze in Sachen Geschwindigkeit um Längen.

Klassiker: der herrenlose USB-Stick

Auch wenn die Angriffe mit manipulierten Mails massiv zunehmen, sollten dabei die klassischen Methoden des Social Engineering nicht vernachlässigt werden. Das heißt: Niemals einen USB-Stick testen, den man auf dem Parkplatz gefunden hat, und niemals Zugangsdaten am Telefon verraten. Und wenn eine unbekannte Person den Papierkorb durchwühlt, sollte man den Sicherheitsdienst rufen.

Hier hilft nur Aufklärung und hartnäckige Sensibilisierung für das Thema. Nicht zu unterschätzen ist dabei die Unternehmenskultur. In einem Betrieb, wo Druck und Angst herrschen, sind Mitarbeiter anfälliger für blinden Gehorsam und Schmeicheleien. Schnell ist dann ein Link in einer Mail angeklickt, die vermeintlich vom gefürchteten Chef kommt. Verbote etwa der Nutzung von Sozialen Medien am Arbeitsplatz sind nicht sinnvoll, zumal diese Kanäle heute ein wichtiger Teil der Außendarstellung eines Unternehmens sind. Stattdessen sind Verhaltensrichtlinien notwendig, die Aufklärung betreiben und die Eigenverantwortung jedes Mitarbeiters stärken. Zu bedenken ist dabei: Nicht nur Software braucht Updates, auch Mitarbeiter müssen stets auf dem Stand des Wissens sein.

 

7 Tipps für den Umgang mit verdächtigen E-Mails

Tipp 1: Vertrauen Sie nicht dem angezeigten Namen

Tipp 2: Vertrauen Sie nicht dem Header in der E-Mail-Adresse

Tipp 3: Achten Sie auf Rächtschreibfeeler

Tipp 4: Seien Sie vorsichtig, wenn Sie Vorgesetzte um ungewöhnliche Informationen bitten

Tipp 5: Denken Sie über dringende Anfragen zweimal nach

Tipp 6: Überprüfen Sie die Signatur

Tipp 7: Glauben Sie nicht alles, was Sie sehen

LOGIN für heise Business Services

Sie haben noch keinen Account?
Hier registrieren und informieren.