Moderne Hacker operieren längst nicht mehr im Hoodie in einem abgedunkelten Kämmerchen. Der Markt hat sich professionalisiert. Einige cyberkriminelle Organisationen erreichen mittlerweile Gewinne in Milliardenhöhe. Und dies geschieht eher selten durch das Ausnutzen technologischer Lücken in Hard- und Software. Heute ist die effektivste Waffe eine profane Phishing-E-Mail, wenngleich fast perfekt getarnt. Der Mitarbeiter ist, falls eine solche Phishing-Mail bis in seinen digitalen Posteingang durchkommt, die letzte Verteidigungslinie der Unternehmen. Entsprechend sind die Betrüger auf die – unwissentliche – Allianz mit dem Mitarbeiter angewiesen, um mit ihrem Betrugsversuch erfolgreich zu sein.
Cyberkriminelle Organisationen gehen dorthin, wo das Geld ist. Oftmals sind ihre Wachstumsstrategien und ihre Strukturen denjenigen legitimer Unternehmen gar nicht unähnlich. Internet-Betrug weist extrem schnelle Innovationszyklen auf und entwickelt sich immer weiter. Cyberkriminelle nutzen aktuelle Trends und Trendthemen wie z.B. die Angst vor dem Corona-Virus für sich. Sie fokussieren sich darauf, wie ihr Targeting – die Auswahl ihrer Kunden (oder vielmehr Opfer) – noch besser werden kann, um deren Schwächen auszunutzen und ihren finanziellen Gewinn weiter zu steigern.
Social Engineering
Während Cyberkriminelle zunehmend den Menschen im Unternehmen aufgrund seiner menschlichen Schwächen als Einfallstor nutzen und ihre Social-Engineering-Taktiken immer professioneller werden, wird das Ungleichgewicht zwischen der Realität heutiger Angriffe und den in Unternehmen noch genutzten Verteidigungsmechanismen noch gravierender.
Da IT-Infrastrukturen zunehmend in die Cloud verlagert werden, funktioniert der alte, auf Peripherie-Schutz ausgelegte Ansatz nicht mehr. Hinzu kommt, dass die Technologie selbst heute so gut abgesichert ist, dass es erheblicher Anstrengungen auf Seiten der Cyberkriminellen bedarf, um Lücken ausfindig zu machen und diese durch einen technischen Exploit auszunutzen. So ist es wenig verwunderlich, dass Cyberangreifer ihre Anstrengungen weg von der Infrastruktur, hin auf die Anwender verlagern. Denn ganz gleich wie gut die Infrastruktur, für Angriffe gegen Menschen gibt es noch keinen Patch. Die nun bevorzugt ausgenutzte Schwachstelle ist das menschliche Verhalten.
Wissen wer im Visier der Cyberkriminellen steht: Very Attacked People (VAP)
Nur wenn Sicherheitsteams wissen, welche Anwender besonders durch Angriffe gefährdet sind, wer am häufigsten angegriffen wird und auf welche Daten und Systeme diese Endnutzer zugreifen können, lassen sich diese Very Attacked People (VAPs) auch effektiv schützen. Sich von der weit verbreiteten Annahme leiten zu lassen, dass die VIPs im Unternehmen auch als VAPs im Visier der Cyberkriminellen stehen wäre dabei ein gefährlicher Trugschluss. Denn jeder einzelne Mitarbeiter kann eine besonders häufig und/oder besonders perfide angegriffene Person sein. VAPs sind nicht immer nur die Personen, die Sie als typische Angriffsopfer vermuten würden.
Mitarbeiter werden heute auf vielfältige Weise, über neue digitale Kanäle und aus Gründen angegriffen, die nicht immer offensichtlich sind. Die VAPs können sich nicht nur je nach Branche und Unternehmen unterscheiden, sondern ändern sich auch im Zeitverlauf teils erheblich. Unternehmen erleben regelmäßig Fluktuationen bei ihren VAPs. Die Art der angegriffenen Rollen schwankt von Monat zu Monat und von Jahr zu Jahr und zeigt, wie bereitwillig sich die Angreifer innerhalb der Unternehmenshierarchien auf- und abwärts orientieren, um Einfallstore zu den für sie interessanten Daten und Systemen zu finden.
Angriff ist nicht gleich Angriff
Für die Bewertung verschiedener Cyberattacken hat der Cybersecurity-Spezialist Proofpoint einen Angriffsindex entwickelt, der auf drei wesentlichen Komponenten basiert:
- Die Raffinesse des Angreifers – ein staatlich unterstützter Angreifer erhält zum Beispiel einen deutlich höheren Wert als ein Kleinkrimineller.
- Das Ausmaß des mit der Bedrohung verbundenen Angriffs – war der Angriff auf einen Nutzer zugeschnitten oder wurde er auf breiter Front ausgerollt? War der Angriff auf einen bestimmten Anwender bzw. eine bestimmte Firma, Branche oder Region gerichtet? Oder handelte es sich um eine volle Breitseite, die um die halbe Welt ging? Je gezielter der Angriff erfolgt, desto höher ist der Wert.
- Art der Malware, die am Angriff beteiligt war – in den meisten Fällen deutet die bei einem Angriff eingesetzte Malware darauf hin, wie gefährlich eine Bedrohung ist und wie viel Aufwand in die Entwicklung dieser Bedrohung gesteckt wurde. So erhalten zum Beispiel ein Remote-Zugriffs-Trojaner (RAT) oder ein Information Stealer eine höhere Punktzahl als ein Phishing-Versuch, der ganz allgemein auf Anmeldedaten von Verbrauchern aus ist.
Gezielte Angriffe erfordern ebenso gezielte Schutzmaßnahmen
Die Kenntnisse ihrer VAPs sowie der Angriffstrends können Unternehmen in mehrerlei Hinsicht unterstützen, ihre Sicherheitslage positiv zu beeinflussen bzw. das Risiko erfolgreicher Angriffe (immerhin 46 Prozent der Unternehmen in Deutschland berichten im aktuellen State of the Phish Report von Proofpoint über erfolgreiche Phishing-Angriffe im Jahr 2019!) zu verringern.
Nicht zuletzt ist aber der Bereich der Sicherheitsschulungen zu nennen. Noch zu häufig werden diese nur sporadisch angeboten. Mehr als ein Viertel der deutschen Unternehmen führt Schulungen nur 1 bis 2 Mal jährlich durch. Mit sich stetig wandelnden Angriffszielen und -methoden konfrontiert ist dies nicht ausreichend, um die Kenntnisse und vor allem das Verhalten der Mitarbeiter nachhaltig zu beeinflussen und sie damit zur letzten Verteidigungslinie zu machen.
Der Aufbau einer Sicherheitskultur ist unverzichtbar. Alle Mitarbeiter in einem Unternehmen sollten wissen, wie sie die Cybersicherheit verbessern können. An einem umfassenden und unternehmensweiten Programm zur Steigerung des Sicherheitsbewusstseins führt kein Weg vorbei, will man sich nicht auf den Faktor Glück verlassen.
Im aktuellen State-of-the Phish-Bericht von Proofpoint erfahren Sie, warum Unternehmen im Kampf gegen die Auswirkungen von Cyberkriminalität mehr Fokus auf ihre internen – menschlichen – Schwachstellen legen sollten und warum Sie ihre Anwender als letzte Verteidigungslinie gegen Bedrohungen stärken müssen. https://www.proofpoint.com/de/resources/threat-reports/state-of-phish
Mehr über Proofpoint erfahren Sie auf www.proofpoint.com/de