Schwachstelle Mensch

Behördenmitarbeiter im Visier von Cyberkriminellen

| Autor / Redakteur: Carsten Maßloff* / Susanne Ehneß

Häufig sind Mitarbeiter, die im Rahmen ihrer alltäglichen Arbeit mit einer Vielzahl an Mails von fremden Absendern zu tun haben, beliebte Opfer für Spear-Phishing und CEO-Betrug
Häufig sind Mitarbeiter, die im Rahmen ihrer alltäglichen Arbeit mit einer Vielzahl an Mails von fremden Absendern zu tun haben, beliebte Opfer für Spear-Phishing und CEO-Betrug (© bernardbodo - stock.adobe.com)

Cyberkriminelle haben es immer auf das schwächste Glied in der IT-Sicherheitskette ­abgesehen – und das ist entgegen der landläufigen Meinung nicht zwangsläufig die Technik. Ganz im Gegenteil: Wo moderne Firewalls und turnusmäßig gepatchte Systeme wenige Angriffsmöglichkeiten bieten, rücken die Mitarbeiter von Behörden ins Visier der Angreifer. Wie der aktuelle Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) für 2017 zeigt, setzen die Angreifer immer öfter auf raffinierte Methoden, um ihre Opfer zu täuschen. Mit ganzheitlichen Konzepten können Behörden dem jedoch entgegenwirken.

Cyberkriminalität ist ein boomendes Geschäft. Und das schon seit Jahren. Doch die Bedrohung wächst nicht nur rein quantitativ. Viele Institute und Meldestellen verzeichnen übergreifend eine zweite, nicht minder bedenkliche Entwicklung: Die Vorgehensweise der Angreifer wird immer raffinierter und setzt auf die vielleicht größte Schwachstelle im System: den Faktor Mensch.

Diese Strategie ist offenkundig von Erfolg gekrönt. Laut der aktuellen „Cost-of-Cybercrime“-Studie des Outsourcing-Dienstleisters Accenture, bei der 2.000 Sicherheits- und IT-Verantwortliche aus sieben Ländern befragt wurden, betrug der durch Cyberattacken verursachte Schaden für ein deutsches Unternehmen im vergangenen Jahr durchschnittlich jeweils 11,7 Millionen Euro. Das ist im Vergleich zu 2016 ein Anstieg von 23 Prozent.

Spear-Phishing: mit ­chirurgischer Präzision

Die Basis des Erfolgs der Cyberkriminellen: Sie haben ihre Methoden weiterentwickelt. Noch vor wenigen Jahren waren sogenannte Phishing-Mails sofort als Betrugsmasche zu erkennen. Die häufig plump gefälschten Mails sollten den Leser dazu bringen, Links zu kompromittierten Seiten oder Anhänge mit schädlichen Anwendungen zu öffnen. Manches Mal wurden in solchen eMails auch gleich Zugangsdaten abgefragt. Das Gute­ war damals die offensichtlich fragwürdige Herkunft der elektronischen Schreiben, die ihre betrügerischen Absichten nicht verbergen konnten.

Die neue Generation solcher Trick-Mails wird als Spear-Phishing bezeichnet. Dabei betreiben die Kriminellen enormen Aufwand, um täuschend echte Texte zu formulieren, die zu nachvollziehbaren und dadurch vermeintlich harmlosen Handlungen auffordern. Dieses perfide Konzept – bildlich an einen Speer angelehnt – bildet die Grundlage für eine zielgerichtete Attacke auf ausgewählte Opfer.

Durch das kalkulierte Vorgehen sind die Empfänger leichter geneigt, Anhänge zu öffnen oder auf gefährliche Links zu klicken. Als mögliche Folge steht etwaiger Schadsoftware das Tor zur Unternehmens-IT und damit auch zu wertvollen Daten weit offen. Besonders betroffen: Behörden und öffentliche Einrichtungen.

Neben dem Spear-Phishing nehmen auch die Fälle des sogenannten CEO-Betrugs zu. Hierbei geben sich die Angreifer als Vorgesetzte eines Opfers aus und fordern diese beispielsweise auf, Geldbeträge zu überweisen.

Die Masche mit dem ­falschen Vorgesetzten

Die Voraussetzung dafür ist eine genaue Recherche der Angreifer, bei der sie sich allgemein über die ausgewählte Behörde und speziell über das anvisierte Opfer informieren. Doch kann dieses Vorgehen tatsächlich Schäden verursachen? Müssten die Mitarbeiter das falsche Spiel nicht eigentlich leicht durchschauen?

Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) schildert einen Fall, an dem das drohende Schadenspotenzial mehr als deutlich wird: Die Mitarbeiterin einer Landesbehörde erhielt vom vermeintlichen Präsidenten des Amtes per Mail die personalisierte Anweisung, eine „vertrauliche Finanztransaktion“ in Höhe von 961.000 Euro vorzunehmen. Um der falschen Anweisung zusätzlichen Nachdruck zu verleihen, fingierten die Betrüger den Anruf einer angeblichen Anwältin.

Ob der Betrug noch rechtzeitig bemerkt wurde, lässt das BSI offen. Die Zahlen des Lageberichts sind dennoch besorgniserregend: Alleine für das erste Halbjahr 2016 liegen dem Bundesamt Meldungen über 50 Fälle von CEO-Betrug vor. Der potenzielle Schaden betrug dabei rund 20 Millionen Euro.

Wie können sich Behörden schützen?

Doch warum sind besonders Behörden und deren Mitarbeiter beliebte Opfer der neuesten Generation von Cyberangriffen? Häufig sind Mitarbeiter, die im Rahmen ihrer alltäglichen Arbeit mit einer Vielzahl an Mails von fremden ­Absendern zu tun haben, beliebte Opfer für Spear-Phishing und CEO-Betrug.

Ein Verwaltungsmitarbeiter dürfte keinesfalls überrascht oder gar argwöhnisch sein, wenn er in seinem eMail-Account vermeintlich harmlose Anfragen zu seinem Fachbereich vorfindet. Ebenso lässt sich eine Vielzahl von Informationen über Behörden und deren Mitarbeiter ohne großen Aufwand im Netz recherchieren. Das freut nicht nur den unbescholtenen Bürger, sondern auch die Cyberkriminellen. Bereits nach kurzer Recherche haben sie alle benötigten Informationen abgerufen. Damit sind die Rahmenbedingungen im Fall der Öffentlichen Verwaltung für die Betrüger ideal.

Wie können sich Behörden also effektiv schützen, wenn die Angriffe auf den Faktor Mensch zielen? Wirkungsvolle Maßnahmen müssen einen ganzheitlichen Ansatz verfolgen, der sowohl auf der technischen Komponente als auch auf der Awareness der Mitarbeiter ­aufbaut. Um das Bewusstsein der Mitarbeiter für die gestiegene ­Gefahrenlage zu sensibilisieren, ­empfiehlt sich beispielsweise die Etablierung eines konkreten ­Katalogs an Verhaltensregeln. In diesem Sinne kann bereits die Implementierung eines sogenannten Informationssicherheits-Managementsystems (kurz: ISMS) dabei helfen, das Gefahrenpotenzial nachhaltig zu senken. Denn: Für ein ISMS müssen Unternehmen nicht nur die eigenen IT-Systeme einer kritischen Analyse unterziehen und anschließend entsprechend der Ergebnisse optimieren. Vielmehr spielen Schulungen und Audits beim ISMS eine genauso entscheidende Rolle.

Das Schadenspotenzial senken

Allerdings ist es Behörden auch auf technischer Ebene möglich, Schutzmechanismen zu implementieren, um zumindest den Schaden einer erfolgreichen Cyberattacke einzudämmen. So können die Verantwortlichen die Auswirkungen eines Angriffs beispielsweise mindern, wenn das digitale Benutzerverzeichnis nach dem Prinzip der minimalen Rechtevergabe arbeitet. Sollte ein Mitarbeiter Opfer ­einer Phishing-Attacke werden und die Angreifer erbeuten sein Konto, verhindern die strikt begrenzten Benutzerrechte, dass die Kriminellen das infiltrierte Konto ­nutzen, um weitere Bereiche der IT-Infrastruktur zu übernehmen.

Der Autor: Carsten Maßloff
Der Autor: Carsten Maßloff (Bild: Ceyoniq)

Zudem sollten Behörden die potenziellen Assets, auf die es die Angreifer abgesehen haben könnten, im Blick haben. Dazu zählen beispielsweise sensible und damit wertvolle Daten.

Um einen Überblick der bedrohten Assets zu erhalten, empfiehlt sich ein sogenannter Penetrationstest. Dabei simuliert ein ethischer Hacker eine Attacke auf die IT-­Systeme und legt damit nicht nur potenzielle Schwachstellen in den Schutzsystemen offen, sondern ­ermittelt auch, welche Daten und Zugriffsrechte die Angreifer erbeuten könnten.

Dennoch gibt es keine absolute ­Sicherheit, denn die Risiken des neuartigen Spear-Phishings und CEO-Betrugs lassen sich nicht vollkommen eliminieren. Ausgiebige Schulungen von Mitarbeitern und Management verringern die Gefahr jedoch signifikant. Zudem begrenzen geeignete technische Maßnahmen das Ausmaß des potenziellen Schadens.

* Der Autor: Carsten Maßloff, Geschäftsführer der auf Enterprise-Content-Management-Systeme und Informationssicherheit spezialisierten Ceyoniq Technology GmbH

Kommentar zu diesem Artikel abgeben
Um von gewissen Behörden-Mitarbeitern Daten zu erfahren, bedarf es keine Cyberkriminellen....  lesen
posted am 27.03.2018 um 10:41 von Unregistriert


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45205791 / Kommunikation)