Phishing

Die Folgen von Phishing-Attacken für Unternehmen

/in , /von

Phishing-Attacken auf Unternehmen nehmen zu. Man sollte daher meinen, dass dieser Begriff allen geläufig ist. Tatsächlich hat ein aktueller Report von Proofpoint gezeigt, dass sich viele Mitarbeiter nicht darüber bewusst sind, was Phishing eigentlich ist. Und sie daher auch nicht abschätzen können, wie sie davon betroffen sein könnten. Und in letzter Konsequenz: Wie sie sich vor solchen Angriffen schützen können.

Daher möchten wir zunächst den Begriff definieren, bevor wir darauf eingehen, welche Folgen dies für Unternehmen hat – und welche einfachen Tools bei der Prävention helfen.

Wo begegnet uns Phishing?

Phishing beschreibt den Vorgang, bei dem Betrüger mittels gefälschter E-Mails, Instant-Messages oder Websites versuchen, persönliche Daten abzugreifen. Eine Sonderform ist das sog. Vishing, bei dem dieser Betrugsvorgang über das Telefon durchgeführt wird.

Bei Privatpersonen geht es meist darum, direkt an Zahlungs- und Identitätsdaten oder Passwörter zu gelangen. Eine Variation ist der (hintergründige) Download von Malware – sei es in Form von Ransomware zur Erpressung von Lösegeld nach Datenverschlüsselung oder zur Bildung eines sog. Botnetzes. Dieses sorgt dafür, dass der PC ferngesteuert werden kann, wodurch er z. B. zum Ausgangspunkt einer weiteren Infektionswelle werden kann.

Im geschäftlichen Umfeld zielen Phishing-Attacken nicht unbedingt primär auf die betroffene Einzelperson. Häufig steht das Gesamtunternehmen im Zentrum solcher Angriffe. Auch wenn Unternehmen noch immer Schwächen in der technischen Absicherung haben, so zeigt sich am Phänomen Phishing, dass der Mensch das zerbrechlichste Glied in der Sicherheitskette ist. Denn dieser wird mittels Mailings oder Telefonkampagnen gezielt angesprochen, um ihm relevante Informationen zu entlocken. Mitarbeiter Awareness-Trainings zeigen dabei immer wieder, wie leichtfertig Mitarbeiter bei guten Social Engineering-Kampagnen Informationen weitergeben oder (dubiosen) Links folgen.

Für eine großangelegte Social Engineering-Kampagne gegen ein bestimmtes Unternehmen kann das Abgreifen von Nutzer- und Zugangsdaten durchaus ein erster Schritt sein. Oft gehen der eigentlichen Attacke jedoch Spionageversuche voraus: Täter ermitteln so mittels fingierter Mails und/oder Anrufe gezielt Verantwortliche für etwa die Finanz- oder IT-Abteilungen. Um somit den eigentlichen Angriff auf das Unternehmen am richtigen Punkt starten zu können. Diese gezielten Angriffe auf die obere Führungsebene ist oft erfolgreicher als eine ungezielte Attacke auf einzelne Mitarbeiter, da hier eine breite Informationsbasis vorhanden ist – aufgebaut über externe wie internen Quellen.

Mögliche Kampagnen auf Unternehmen

Unternehmen geraten schon aufgrund der lockenden Gewinne in den Fokus von Phishing-Angriffen. Besonders kleine und mittelständische Unternehmen sowie große Hidden Champions sind besonders oft im Visier von Betrügern. Denn aufgrund der geringeren Bekanntheit wiegen sie sich oft in falscher Sicherheit und vernachlässigen den Schutz ihrer Netzwerke und Systeme. Ein fataler Fehler – denn schwache Sicherheitssysteme und Zugangsbeschränkungen sowie fehlende Investition in Mitarbeiteraufklärung und -schulungen können sehr teuer werden.

Eine mittlerweile vermehrt anzutreffende Form an Social Engineering-Kampagnen ist der sog. CEO-Fraud oder auch Business Email Compromise genannt. Hierbei werden im Namen von Vorgesetzten bis hin zur obersten Führungsebene E-Mails an Mitarbeiter versendet, um so deren Daten abzugreifen. Gleichzeitig geraten aber auch insbesondere die Führungskräfte ins Ziel von Cyberkriminellen.

Neben derart zielgerichteten Kampagnen setzen Angreifer aber auch weiterhin auf klassische Methoden, wie gefälschte Links oder Anhänge zum vermeintlichen Download von business-relevanten Dokumenten. Besonders im Business-Umfeld, in dem ein Zwang zum Öffnen von Dateien oder Weiterverfolgen von Informationen herrscht, haben Angreifer ein leichtes Spiel, wenn sie auf relevante Themen setzen.

Die Folgen für Unternehmen

Ein erfolgreicher Phishing-Angriff kann für Unternehmen verschiedene große Problem mit sich führen. Wir haben Ihnen in der Grafik die häufigsten Folgen und Ursachen zusammengefasst.

Infografik-Phishing

Gut geschützt dank MFA und IAM

Im Umgang mit Phishing ist es unerlässlich, den Faktor Mensch besonders abzusichern. Denn die beste Firewall nützt ihnen nichts, wenn ein Mitarbeiter – am Telefon oder in einem gefälschten E-Mail-Link – Firmenintern oder Zugangsdaten preis gibt. Zumindest gegen letzteres können Sie sich und Ihr Unternehmen mittels sinnvollem Identity und Access Management sowie MFA (Multifaktor-Authentifizierung) absichern.

Ein Beispiel für eine solche Software ist etwa DoubleClue, die beides miteinander verbindet. Informieren Sie sich hier über alle Vorteile, den Sie durch den Einsatz von DoubleClue haben.

Digitalisierung Remote

Digitale Kollaboration – IT-Sicherheit im Homeoffice

/in /von

Das vergangene Jahr war ein Katalysator für die Digitalisierung deutscher Unternehmen. Dies betrifft insbesondere die Art und Weise, wie und besonders wo wir arbeiteten. Viele Firmen sind plötzlich und meist abrupt ins Homeoffice umgezogen.

Laut Bitkom war im Frühjahr fast jeder 2. Arbeitnehmer von dieser Entwicklung betroffen. Dieser Beschleuniger vieler Digitalisierungsprojekte hat jedoch auch Schattenseiten, denn die Angriffsfläche für Cyberattacken ist in Folge der dezentralen IT-Infrastruktur gestiegen. Daher sollten wir einen Blick darauf werfen, wie gut die IT-Sicherheit im Homeoffice gewährleistet werden kann. Und uns besonders die Frage stellen: Was können wir daraus für die aktuelle Homeofficesituation lernen?

IT-Sicherheit oder reibungsloser Betriebsablauf im Homeoffice?

Gefahr durch Cyberangriffe im Homeoffice

Das sollte keine Entscheidungsfrage sein! Auch wenn die Realität gezeigt hat, dass dies durchaus so war. Und es leider auch aktuell wieder so ist. Denn viele Firmen haben auf die Krise reagiert: Durch die dezentrale Arbeitsweise mussten neue Cloud- und Collaboration-Tools eingeführt werden, wie etwa MS Teams oder Zoom. Oft ist dabei jedoch die Frage nach der Sicherheit dieser Anwendungen, die fast ausschließlich über private Internetleitungen betrieben wurden, ins Hintertreffen geraten.

Quasi über Nacht sind die Mitarbeiter – und damit auch die von ihnen genutzte IT – ins Homeoffice gegangen. Da viele Firmen auf eine solche Situation nicht vorbereitet waren, bedeutete dies auch, dass deren IT-Strukturen gar nicht auf remote Arbeit ausgelegt sind. Daher war die Priorität hier Strukturen zu schaffen, die das Daily Business trotz Homeoffice am Leben hielten – die Fragen nach Sicherheit gerieten dadurch oftmals ins Hintertreffen.

Fehlende Sicherheitsstandards im Homeoffice

Fehlende Sicherheit

Dabei mussten sowohl Firmen als auch Mitarbeiter so viele Dinge bedenken: Wie gehe ich damit um, dass mein Firmenlaptop im gleichen Netzwerk betrieben wird wie mein hauseigener Netzwerkdrucker, der private Laptop sowie die Smartphones meiner Kinder? Wie kann ich sicherstellen, dass der private Netzwerkdrucker kein Eindringen in das Firmennetzwerk ermöglicht?

Die Verantwortung für die Sicherheit der hausinternen Netzwerke und der eingesetzten Geräte wird oft an die Mitarbeiter abgegeben. Oftmals fehlen jedoch schon die Grundlagen für die IT-Sicherheit, wie Schulungen zu IT-sicherheitsrelevantem Handeln u. a. bei Phishing Mails oder in Bezug auf betrügerische Webseiten oder die nötige Infrastruktur für die Arbeit von zu Hause.

Eine Umfrage der Computerbild macht deutlich, dass grundsätzliche Sicherheitsmaßnahmen nicht genutzt wurden: Nur knapp zwei Drittel der Befragten gaben an, einen Passwortschutz der Rechner und installierte Virenschutzprogramme zu haben. Und eine (notwendige!) Trennung von privat und beruflich genutzten Geräten nannten sogar nur noch knapp die Hälfte. VPN-Verbindungen sowie Multifaktor-Authentifizierungen (MFA) wurde letztlich nur von etwa einem Drittel der Befragten bejaht. Das zeigt deutlich, dass wohl nur dieses knappe Drittel aller Homeoffice-Arbeitsplätze diesen IT-Sicherheitsstandards entsprechen.

Wen betrifft IT-Sicherheit im Homeoffice?

Homeoffice betrifft alle

Kurz gesagt: Alle.

Jedoch wiegen sich insbesondere kleine und mittelständige Unternehmen in einer falschen Sicherheit; denn tatsächlich ist die Größe kein Garant dafür, nicht von Ransomware-Angriffen oder ähnlichen Attacken betroffen zu sein. Laut einer aktuellen Bitkom-Studie sind es gerade die kleinen und mittelständigen Unternehmen, die für Erpresser besonders lukrativ sind; im Gegensatz zu großen Unternehmen haben sie oftmals keine Möglichkeit, wirtschaftliche Ausfallzeiten und die damit verbunden Kosten zu überbrücken. Ein „geringes“ Lösegeld von einigen 100.000 bis hin zu einer einstelligen Millionenzahl scheinen hier oftmals schneller bezahlt, als auf langwierige Entschlüsselungsprozesse mit ungewissem Ausgang zu warten. Hier haben multinationale Player gänzlich andere (finanzielle) Möglichkeiten.

Der Faktor Mensch als größte Angriffsfläche

Risiko durch den Faktor Mensch

Dabei ist es fast immer der Faktor Mensch, der das größte Risiko für die Sicherheit Ihres Unternehmens darstellt. Unsere Algorithmen und die KI, die Virenscannern und Threat Protection heute zugrunde liegen, sind so gut und ausgereift, dass sie Schadsoftware gut erkennen können. Menschen leider jedoch oft nicht: Am Morgen möchten wir kurz die Mails bei einem Kaffee überfliegen. Man ist noch müde, vielleicht auch unter Zeitdruck; besonders in solchen Situationen sind wir geneigt, ohne genauere Prüfung einen Anhang zu öffnen oder einem Link zu folgen. Ganz besonders in der Homeoffice-Umgebung ist eine solche Nachlässigkeit fatal: Die Infrastruktur ist weniger geschützt, die Virenprogramme möglicherweise nicht aktuell. Ein einzelner infizierter PC kann dann Ihre komplette IT-Infrastruktur lahmlegen.

Neben Nachlässigkeit setzen Angreifer aber auch auf Emotionen. Daten und persönliche (Identifikations-)Informationen werden so oft bereitwillig preisgegeben. Zwar setzt Malware-Spam von Haus aus mit Social Engineering-Methoden auf die Ängste und Sorgen von Menschen. Zentrale Themen waren in den vergangenen Monaten die neuen Unsicherheiten im Zusammenhang mit der Corona-Krise. Vermeintliche Anweisungen von Vorgesetzten, Behörden oder Kollegen – gut gefälschter Malware-Spam ist heute kaum noch von echten Anfragen zu unterscheiden und wird ebenfalls nicht von der Mail Protection abgefangen. Dies zeigt sich auch deutlich, wenn man bedenkt, wie gut es Hackern gelungen ist, persönliche Daten über gefälschte Corona-Hilfsseiten abzugreifen. Aktuell warnt etwa das LKA in NRW vor solchen Angeboten.

Die Folgen eines Ransomware-Angriffs

Folgen Ransomware

Bei Ransomware handelt es sich um Schadsoftware, die den Zugriff auf lokale Daten oder ein Netzwerk durch Verschlüsselung oder/und Datendiebstahl verhindert. Ziel ist dabei meist die Erpressung von Lösegeld („ransom money“), um die Daten wieder freizuschalten. Eine weitere Erpressungsmethode ist zudem die Drohung der sukzessiven Veröffentlichung oder den Verkauf von sensiblen Daten im Internet, sollte die Zahlung nicht erfolgen.

Die Verbreitung von Ransomware erfolgt meist über Links oder Anhänge in E-Mails, wobei die Verbreiter auf fortschrittliche Social Engineering-Methoden setzen und auch insbesondere berufliche Zwänge oder Notlagen ausnutzen. Denn ohne menschliche Beihilfe ist eine Infektion des PC beinahe ausgeschlossen oder zumindest unrealistisch. Der Faktor Mensch ist die größte Schwachstelle in Ihrem System. Denn trotz Bugs und Lücken in Programmen ist ein Angriff über den Menschen selbst weniger zeit- und ressourcenintensiv.

Die Schäden solcher Angriffe – sowohl finanziell als auch hinsichtlich der Reputation – sind enorm. Nur die wenigsten Unternehmen sind ausreichend gegen Ransomware-Angriffe gesichert, obgleich etwa dreiviertel der deutschen Unternehmen von Daten-Angriffen betroffen sind. Die Schäden liegen dabei oft in Millionenhöhe, da Ransomware Systeme und Daten verschlüsselt und ein Weiterarbeiten so unmöglich macht. Sind dann noch Back-ups verschlüsselt, die aufgrund ihrer Lage auf den Servern oftmals ebenso angreifbar sind wie die Originaldaten, müssen Firmen mit endgültigen Datenverlusten rechnen. Da die meisten Ransomware-Angriffe neben Verschlüsselung auch auf Datenabzug setzen, ist selbst nach erfolgreicher Entschlüsselung mit weiteren Datenschutzklagen Betroffener zu rechnen.

Diese Maßnahmen sichern Ihre IT

IT-Sicherheit im Homeoffice

Sie sehen also: Neben der technischen Komponente muss vor allem der Faktor Mensch bei der Sicherung Ihrer IT-Systeme mit einbezogen werden. Denn er ist DIE Schwachstelle in Ihrem IT-System.

Kurzfristige Maßnahmen wie die strikte Trennung von privaten und beruflichen Geräten sind hierbei schon mal ein guter Anfang für die aktuelle Lage. Langfristig benötigen Sie jedoch eine ganzheitliche Strategie, die bei der Wahl der eingesetzten technischen Lösungen anfängt. Dies betrifft VPN-Clients, Cloud Applikationen sowie Firewall und Anti-Virenprogramme. Im Idealfall gehen diese Bausteine Hand in Hand, sodass der Pflegeaufwand Ihrer IT-Infrastruktur zurückgeht.

Essenziell ist daneben, dass Sie sich der Bedeutung des Sicherheitsrisikos Mensch noch mehr bewusst werden – und aktiv Maßnahmen ergreifen. Dies beginnt mit Schulungen zum Thema Social Engineering und Manipulation, die nicht nur die Grundproblematik ins Auge nehmen, sondern auch technische Aspekte erklären. Erst dadurch kann ein Grundverständnis für die Gefahren solcher Attacken entstehen.

Werden Sie sich der Bedeutung von Identitätsschutz bewusst! Dies kann heute mit einfachen Mitteln wie einer Multifaktor-Authentifizierung abgesichert werden. Hierbei schlagen Sie zudem zwei Fliegen mit einer Klappe: moderne Multifaktor-Authentifizierung setzt auf passwortlose Anmeldemethoden sowie Single-Sign-On. Hierdurch schützen Sie nicht nur Ihre IT, sondern bieten Ihren Mitarbeitern ein einfacheres und effektiveres Arbeitserlebnis.

DoubleClue – Ihre Absicherung für den Faktor Mensch

DoubleClue App
Daher raten wir Ihnen dazu, eine verbesserte Identifikationsrichtlinie in Ihrem Unternehmen einzuführen. Mittels Multifaktor-Authentifizierung müssen sich Nutzer beim Anmelden an verschiedenen Applikationen oder Geräten durch eine zweite Komponente ausweisen. Dies gewährleistet die Sicherheit vor unbefugter Nutzung durch Dritte. Besonders wichtig ist eine Multifaktor-Authentifizierung bei all denjenigen Mitarbeitern, die Administrationsrechte oder Remote-Zugriffsrechte auf Server und Geräte Dritter besitzen. Denn egal, wie gut Sie Ihre Mitarbeiter schulen: Eine technische Barriere, die unbefugte Zugriffe ausnahmslos verhindert, ist Pflicht, da ein einziger menschlicher Fehler eines einzelnen Users schon ausreicht, um maximalen Schaden anzurichten.

Ihre Vorteile bei der Implementierung von DoubleClue

  • Geringer zeitlicher Aufwand beim Roll-Out: Insgesamt benötigen Sie in etwa einen Tag, um Ihr Firmennetzwerk durch Multifaktor-Authentifizierung durch Angriffe von außen abzusichern
  • Wir begleiten Sie komplett bei Implementierung und Roll-out und bieten Ihnen anschließend vollumfänglichen Support

Fordern Sie hier Ihre 30-tägige kostenfreie Testversion an.