Der Feind in meinen Konten
(Peter Hötzl, Bee IT Security Consulting GmbH)
Cyber-Crime und der Kampf dagegen ist nicht nur eine Herausforderung für IT-Verantwortliche, die vor allem auf der technischen Seite gefordert sind. In erster Linie geht es um Betrug, Erpressung und Diebstahl und somit immer um Geld. Mitarbeiter in allen Ebenen von Finanz-, Rechnungswesen und Controlling sind beliebte „Targets“, denn Sie haben in der Regel Zugang zu diesem Geld. Ihnen als „Zielgruppe“ kommt somit eine wichtige, wenn nicht manchmal sogar eine entscheidende Rolle im Spiel zwischen Gut und Böse zu. Nicht zuletzt deswegen, weil „Hacker“ bei Ihrer Tätigkeit des „Einkommenserwerbs“ eine äußerst bequeme Spezies darstellen und wir, ihre „Opfer“, nun einmal soziale Wesen mit all unseren Stärken und Schwächen sind. Grund genug diese beiden Charaktere einmal genauer zu beleuchten.
Seit der Dokumentation des ersten Computer-Virus im Jahr 1986, ist aus dem Bereich Internetkriminalität ein milliardenschweres Business geworden – auf beiden Seiten – mit unglaublichen Wachstumsraten. Der aktuellen Studie für Österreich des globalen Prüfungs- und Beratungsunternehmens KPMG zufolge, wurden in den letzten 12 Monaten 57% der Unternehmen Opfer einer Cyberattacke, wovon bei 74% „Phishing“-Mails das Einfallstor waren.
Um zu verstehen, warum diese Methode so beliebt und auch die Erfolgsquote immer noch relativ hoch ist, ist es notwendig, die typische Vorgangsweise eines Angreifers darzustellen. Ein Modell dazu nennt sich „Cyber Kill Chain“ und soll verdeutlichen, warum gerade uns als Usern - Mitarbeitern und Entscheidungsträgern auf allen Ebenen - eine so große Verantwortung zukommt. Auch das Bild, das wir typischerweise von Hackern im Kopf haben (dunkle Räume, Programmcode, der über die Monitore flimmert und maskierte Bösewichte mit gefühlten 1.000 Anschlägen pro Minute auf der Tastatur), möchte ich kurz zurechtrücken.
Ein typischer Vertreter dieser Spezies sieht sein Handeln als „normal“ an. Als eine unkomplizierte Einkommensquelle mit geringer Gefahr der Strafverfolgung. Manche gehen dieser Tätigkeit wie einem regulären Job nach, betreiben eine klassische IT-Infrastruktur, mieten Server bei Cloud-Anbietern und verwenden Software, die für jeden frei zugänglich im Internet erhältlich ist. Nach „Dienstschluss“ führen sie ein normales Leben mit allen Facetten, wie wir auch. Zugegeben die Finanzströme sind etwas ungewöhnlich: „Ausgaben“ über gestohlene Kreditkartenkonten und „Einnahmen“ via Bitcoin – und somit praktisch anonym.
Cyber Kill Chain
Die Vorgangsweise ist sowohl bei automatisierten als auch bei gezielten, individuellen Attacken meist die selbe. Im ersten Schritt werden Informationen über die zukünftigen Opfer gesammelt. Das Internet mit seinen Suchmaschinen und sozialen Netzwerken ist hier das „Hacker-Tool“ erster Wahl und binnen weniger Minuten kennt man Namen, E-Mail-Adressen, Verantwortlichkeiten und Inhalte, wie zB. Stellenangebote, Videos u.ä., die für den Aufbau einer schwer zu enttarnenden Phishing-Attacke hilfreich sind. Da das böswillige Sammeln von Informationen im Netz nicht erkennbar ist, schützt hier nur der bewusste Umgang mit jenen Daten, die man öffentlich preisgibt.
Sind die Opfer ausgewählt, versucht der Angreifer Zugang zu einem Computer in ihrem Netzwerk zu erhalten. Listen mit gestohlenen Passwörtern, die frei im Netz verfügbar sind, sowie eMails mit Schadsoftware im Anhang oder Links zum Download von Schadsoftware (Phishing-Mails) sind hier die „Waffen“ der Wahl.
Gelingt es einem Angreifer trotz aller technischen Basis-Sicherungen, wie Virenscanner und Firewall, die Kontrolle über ein Endgerät zu erhalten, so versucht er im nächsten Schritt seine Benutzerrechte zum Administrator auszubauen. Das Perfide daran ist, dass er ab diesem Zeitpunkt kaum mehr zu erkennen ist, da er getarnt als jener User, dessen Computer er kontrolliert, agiert. Der Verlust über die Hoheit der eigenen IT-Infrastruktur ist dann meist nur eine Frage der Zeit und das bedeutet im Umkehrschluss: Zugriff auf alle Endgeräte und Server, Zugriff auf alle Daten und jegliche Kommunikation. Die Folgen sind neben den erheblichen finanziellen Schäden meist auch unangenehme Situationen in der Reputation gegenüber Geschäftspartnern und DSGVO-relevante Themen.
In einem Satz zusammengefasst: 1(!) falscher Klick kann dazuführen, dass Sie Ihre gesamte IT verlieren.
Die täglichen Gefahren
Grundsätzlich werden drei unterschiedliche Kommunikationskanäle verwendet. E-Mail an erster Stelle, gefolgt, allerdings mit etwas Abstand, das Telefon und dann kennen wir aus der Praxis auch noch „analoge“ Drucke, die per Post verschickt werden. Aber beginnen wir mit dem Medium „E-Mail“.
Bösartige E-Mails verfolgen meist drei der folgenden Ziele. Zum einen sollen Sie durch einen falschen Klick Schadsoftware ,wie zB. einen „Cryptolocker“, auf ihrem Rechner installieren. Das bedeutet, dass sämtliche Daten auf Ihrem Computer und bei ausgereifteren Varianten möglicherweise das gesamte Netzwerk verschlüsselt wird. Sie haben nun keinen Zugriff mehr auf Ihre Daten. Gegen „Lösegeld“ bekommen Sie diese allerdings angeblich wieder zurück. Aus vielfältiger Sicht eine unangenehme Situation. Erstens handelt es sich um eine Straftat – Erpressung – und eine Meldung an die zuständigen Behörden wäre notwendig. Sie wissen nicht, ob Sie Ihre Daten nach Zahlung der geforderten Summe auch tatsächlich wieder bekommen. Sie wissen nicht, ob die Daten „nur“ verschlüsselt wurden, oder vielleicht auch gestohlen. Wenn personenbezogenen Daten dabei waren, und davon ist auszugehen, dann haben wir auch noch das Thema mit der DSGVO, vom daraus resultierenden Reputationsschaden ganz zu schweigen.
In einer anderen Variante, wird Ihnen eventuell suggeriert, dass Sie Ihre Benutzerdaten für irgendeine wichtige Aktion eingeben müssen. Das Ziel dahinter ist, entweder Benutzername und Passwort zu stehlen oder zumindest einen Hinweis auf das Schema, also die Art und Weise, wie sie ihre Passwörter „anlegen“, zu erkennen. Viele Benutzer vereinfachen sich die Änderung komplexer Passwörter durch den Wechsel von nur einem Parameter, zB. eine Jahreszahl am Anfang oder Schluss.
Eine spezielle Variante des Betrugs ist der sogenannte „CEO-Fraud“. In diesen Mails schlüpfen die Bösewichte in die Rolle eines Vorgesetzten (meist der CEO, daher der Name), der eine unglaubliche Chance im Geschäftsumfeld erkannt hat und um diese Chance zu ergreifen nun aber auch Geld benötigt. Natürlich alles streng geheim und sie sind vielleicht die Vertrauensperson seiner Wahl. Diesen Trick kennen wir übrigens nicht nur per E-Mail sondern auch per Telefon, mit der (gefälschten) Nummer und Stimme des Vorgesetzten. In Österreich ist der „CEO-Fraud“ bereits 2016 durch den Flugzeugkomponentenhersteller FACC, der rd. 50 Millionen EUR dadurch verloren hat, berühmt geworden. Viele andere namhafte Unternehmen sind leider in den Jahren danach gefolgt.
Als letzte Variante treffen wir bei unseren Kunden, selten aber doch, auf einfach gefälschte Rechnungen, die per Post oder auch per eMail zugestellt werden - ident mit dem scheinbaren Original – bis auf die Kontonummer.
Vielleicht wenden Sie als Leser an dieser Stelle ein: „Na geh, das ist doch offensichtlich, wie soll das ernsthaft funktionieren?“.
Darum funktioniert es so häufig
Dazu ist ein Blick auf die Art und Weise, wie wir Entscheidungen treffen nötig. Daniel Kahneman, Träger des Alfred-Nobel-Gedächtnispreises für Wirtschaftswissenschaften, unterscheidet, vereinfacht dargestellt, in „System 1“ und „System 2“ Denken. System 1 ist das emotionale Denken, kein Nachdenken, einfach reagieren. Besonders hilfreich, wenn ein Raubtier in der Nähe ist und Flucht der einzige Ausweg. Würden wir hier beginnen zu analysieren, werden wir gefressen. Aber nicht nur in archaischen Situationen ist System 1 hilfreich, auch im Strassenverkehr – wenn notwendig, reagieren wir einfach, ohne viel zu Denken.
System 2 wird als das analytische, erforschende und beobachtende Denken beschrieben. Einen Pilz würden wir nicht einfach, trotz grossem Hunger, essen. Wir überlegen: kennen wir diesen Pilz, entsprechen seine Merkmale, wenn nicht, ziehen wir eventuell andere zu Rate oder fragen einen Spezialisten, denn wir haben gelernt, der Pilz könnte auch giftig sein.
Dieses Wissen haben auch unsere Gegner und sie versuchen uns daher mit allen Mitteln im System 1 zu halten. Die Hilfsmittel dafür sind Druck, Angst, Gier (etwas zu verpassen), Neugierde (Gehaltszettel der Kollegen), Lob, Hilfsbereitschaft, Vertrauen oder auch Autorität (der CEO benötigt Geld für eine
unglaubliche wirtschaftliche Chance und ich muss ihm dabei helfen). All diese Eigenschaften zeichnen uns als soziale Wesen aus und werden beinhart ausgenutzt. Übrigens nicht nur im Cybercrime – denken Sie einfach an Kundenbindungsprogramme, die Werbung allgemein, Like-Buttons, Teleshopping bis hin zur Politik.
Und so können Sie Sie sich davor schützen
Hacker und Phisher, also Cyberkriminelle sind, wie bereits erwähnt, nicht übermenschliche Magier, gegen die wir keine Chance hätten. Wir müssen schlicht und ergreifend eine weitere Tugend des sozialen Wesens „Mensch“ ins Spiel bringen: Gesundes Misstrauen. Denken Sie daran es geht entweder um Ihre Passwörter, um etwas, dass Sie einschränkt, vielleicht um ein Schnäppchen oder um Geld. Ist dies das Thema, egal in welchem Kommunikationskanal, dann stehen Sie auf, holen Sie sich einen Kaffee oder ein Getränk Ihrer Wahl, erzählen Sie einem Kollegen davon oder denken Sie einfach an den Pilz und analysieren Sie, was nun von Ihnen eigentlich verlangt wird. In keinem Fall sollten Sie einfach reagieren, nur damit die Anfrage noch schnell „vor der Mittagspause“ erledigt ist.
Das ist einfach hingeschrieben, aber nicht so einfach umgesetzt, „Awareness“ ist hier das Buzz-Word. Periodische Schulungen alle 1-2 Jahre sind grundsätzlich gut, aber kritisch zu sehen, da sie meist die gewünschte Verhaltensänderung nicht erreichen. Sogenannte „Friendly Phishing“ Aktionen - simulierte Attacken, die keinen Schaden verursachen - die wir für unsere Kunden durchführen, zeigen, dass auch bei geschulten Belegschaften oft 10% und mehr der Mitarbeiter bereits in den ersten Stunden den falschen Klick setzen.
Um wirklich einen nachhaltigen Effekt für mehr Sicherheit zu erzielen, ist eine Änderung der Unternehmenskultur notwendig. An erster Stelle stehen sogenannte „Policies“, also Regelwerke, die bei verschiedenen Risiken anzuwenden sind. Ein Beispiel wäre, dass finanzielle Transaktionen, auch wenn Sie von der Geschäftsführung angeordnet werden, nur im 4-Augenprinzip abgewickelt werden dürfen. Eine andere Variante wäre, dass der CFO oder eine ähnliche Funktion, Änderungen bei Stammdaten von Kunden, Lieferanten usw. und insbesondere geänderte Bankverbindungen absegnen muss. Die Eingabe von Logindaten über Links in einem E-Mail sind nicht erlaubt und last but not least die unbequeme Forderung, dass Passwörter eine gewisse Komplexität (Groß/Kleinbuchstaben, Zahlen und Sonderzeichen) aufweisen und in periodischen Abständen geändert werden müssen. Den Rest sollten Sie getrost ihrer hoffentlich geschulten IT überlassen.
Fazit
Informationssicherheit und Cyberkriminalität sind komplexe Themen. Aber die Vorgangsweise der Bösewichte basiert meist auf einem Level der „Trickbetrügerei“ und ist ungefähr so alt wie die Geschichte der menschlichen Gesellschaft an sich. Schon die Griechen haben den scheinbar unbesiegbaren Trojanern ein Pferd aus Holz „geschenkt“ – wir jedoch befinden uns nun im digitalen Zeitalter.
Bewusstmachung, gepaart mit Motivation und Steigerung der Fähigkeiten der Mitarbeiter, aber auch Kontrolle und Konsequenzen, sind hier Faktoren für eine erfolgreiche Umsetzung. Auch eine offene Kommunikation von Vorfällen muss gefördert werden. Unsere Gegner, die Hacker, sind keine Übermenschen, sondern nur Profis, die wissen, wie man E-Mails nett gestaltet und welche „social buttons“ sie bei uns drücken müssen, um erfolgreich zu sein.
Viele andere, vor allem technische Komponenten, sind in den meisten Fällen auch mit sogenannten „Bordmitteln“ zu bewerkstelligen und der Bedarf nach teilweise teuren „Security-Lösungen“ ist oft nicht zwingend notwendig.
Über den Autor
Peter Hötzl ist Gesellschafter der „Bee IT Security Consulting GmbH“ (bee-itsecurity.at), einem Unternehmen der Berndorf Gruppe (berndorf.at). Schwerpunkte, neben seiner Tätigkeit in Berndorf als Security-Consultant für rd. 60 Tochtergesellschaften in 20 Ländern weltweit, sind die Entwicklung praxistauglicher Strategien für eine ganzheitliche Informationssicherheit in Unternehmen jeder Größe.
Kastentext: (Erklärungen, wenn gewünscht).
- Informationssicherheit
Informationssicherheit ist ein umfassendes System zu Sicherstellung der Vertraulichkeit, Verfügbarkeit und Integrität von Daten und dient der Minimierung von Risiken und Vermeidung von wirtschaftlichen Schäden. Ein Teilbereich davon ist die sogenannte „IT-Security“.
- Phishing
Ein Kunstwort aus den Begriffen „Passwort“ und „Fischen“ und bezeichnet jene Form der Internetkriminalität, bei der versucht wird, den betroffenen Benutzern Login-Daten zu entlocken oder sie zum Download von Schadsoftware zu bewegen. Die Versuche können neben E-Mail auch über gefälschte Websites oder SMS stattfinden.
- Cryptolocker
Cryptolocker, auch als Ramsomware oder Erpressungstrojaner bezeichnet, sind Schadprogramme, die Daten auf den betroffen Computern verschlüsseln. Für die Entschlüsselung fordern die Erpresser oft stattliche Summen, meist in Form von BitCoins.
-CEO Fraud
Eine spezielle Betrugsmasche, bei der über gefälschte E-Mails, die scheinbar von einem Mitglied der Geschäftsführung stammen, Mitarbeiter meist aus den Bereichen Buchhaltung und Controlling, zur Überweisung hoher Geldbeträge manipuliert werden. Besonders dreiste Versuche werden oft auch mit Anrufen unter der Verwendung einer gefälschten Telefonnummer kombiniert, um den Druck beim betroffenen Mitarbeiter zu erhöhen.