Trickbetrug im Online-Zeitalter

So gelangen Hacker an sensible Unternehmensdaten

Reiner Dresbach ist Sales Director DACH bei FireEye. Aufgrund seiner 20-jährigen Erfahrung in der IT-Branche kennt sich Reiner Dresbach mit den Trends und Themen, die diese beschäftigen aus. Seine besonderen Schwerpunkte liegen dabei auf IT-Sicherheit, Threat Intelligence und Incident Response.
Nahezu täglich hören wir von gefährlichen Hackerangriffen auf Privatpersonen, Organisationen oder die öffentliche Infrastruktur. Das hat einen Grund: Die Betrugsmethoden von Cyberkriminellen werden immer ausgefeilter.

Organisationen und Unternehmen investieren jährlich Milliardensummen in die Absicherung ihrer IT-Sicherheitsinfrastruktur. Doch es gibt ein Sicherheitsrisiko, auf das Unternehmen nur wenig Einfluss haben: ihre Mitarbeiter. Der Mensch ein entscheidender Risikofaktor in der Sicherheitskette? Täglich ist die Unternehmens-IT unter seiner Kontrolle – und steht oder fällt mit dem Wissen und Können beziehungsweise den Schwächen des Menschen. Das wissen auch kriminelle Hacker, die mit Vorliebe versuchen, sich grundlegende menschliche Eigenschaften wie Neugier, Hilfsbereitschaft, Vertrauen oder Unachtsamkeit zu Nutze zu machen. Social Engineering heißt dieses Vorgehen, bei dem Angreifer die Mitarbeiter eines Unternehmens dazu "überreden", die normalen Sicherheitsvorkehrungen zu umgehen und so sensible Informationen und Daten preiszugeben.

Social Engineering: So manipulieren Hacker ihre Opfer

Experten bezeichnen Social Engineering als eine der gefährlichsten Formen des Informationsdiebstahls. Denn Hacker bemühen sich um das Vertrauen eines autorisierten Nutzers und bringen ihn dazu, vertrauliche Informationen - beispielsweise über die Sicherheit der Unternehmensinfrastruktur - preiszugeben. Hierfür nutzen sie bewährte Social Engineering-Methoden: Sie kontaktieren beispielsweise einen legitimen Nutzer per Telefon und präsentieren ein angeblich dringendes Problem, das nur durch den sofortigen Zugriff auf das Netzwerk behoben werden kann. Das Telefon spielt bei den Cyberkriminellen eine besonders wichtige Rolle: Es ermöglicht ihnen, Distanz zu wahren und ihre wahre Identität zu verschleiern, gleichzeitig jedoch flexibel auf Reaktionen ihres Opfers eingehen zu können.

Eine weitere sehr erfolgreiche Methode der Betrüger stellt der Phishing-Betrug dar: Glaubwürdig wirkende E-Mails werden an ausgewählte Mitarbeiter eines Unternehmens verschickt. Anschließend muss lediglich einer der Adressaten auf einen Link, ein Bild oder eine Datei in der E-Mail klicken und Malware wird auf den Computer geladen. Dadurch kann sich der Angreifer freien Zugriff zum Unternehmensnetzwerk verschaffen.

Das Erschreckende daran: Bei den meisten Social Engineering-Angriffen bemerken die Betroffenen nicht, dass sie einer vollkommen fremden und unbefugten Person wichtige Informationen weitergegeben haben, die im Nachhinein großen Schaden anrichten können.

So schützen sich Unternehmen vor Cyber-Betrug

Jeder Anwender mit Zugang zu sensiblen Informationen ist potenziell eine Gefahr für die Sicherheit (s)eines Unternehmens. Software- und hardwareseitige Abwehrvorkehrungen sind eine wichtige Grundvoraussetzung, reichen aber nicht aus, um Informationsdiebstahl vollständig zu verhindern. Vielmehr müssen einige Aspekte beachtet werden, um die „menschlichen Sicherheitslücken“ zu schließen:

E-Mails mit kryptischen Betreffzeilen sollten generell nicht geöffnet werden. Insbesondere dann nicht, wenn diese von einem unbekannten Absender stammen. Denn immer häufiger geben sich Hacker und Cyberkriminelle mit Hilfe gefakter Telefonnummern oder E-Mail-Adressen fälschlicherweise als neuer Mitarbeiter oder Dienstleister aus, um Informationen über Unternehmen zu erhalten und/oder sich Zugangsmöglichkeiten zu verschaffen. Vor allem die Situation in Großunternehmen, wo nicht jeder Mitarbeiter jeden Kollegen persönlich kennt, nutzen die Hacker gezielt aus. Landet eine E-Mail mit unbekanntem Absender im Postfach, sollte zunächst die Identität der Person geklärt werden, bevor vertrauliche Informationen an diese herausgegeben werden.

Nicht selten schleusen Cyberkriminelle Schadsoftware mit Hilfe harmlos wirkender E-Mails ins Unternehmensnetzwerk. Dazu kreieren sie E-Mails mit und ohne Dateianhängen, die denen allgemein bekannter Absender - etwa von einem Versanddienstleister - zum Verwechseln ähnlich sehen und verschleiern so ihren Hack. Solche E-Mails lassen sich nur mit einem geschulten Auge ausfindig machen – gerade deshalb sollten Unternehmen sicherstellen, dass jeder Mitarbeiter derartige Phishing-Mails sofort erkennen kann.

In sozialen Netzwerken geben viele Nutzer Informationen über ihren Arbeitsplatz und ihr Privatleben preis, ohne dabei zu bedenken, dass nicht nur Bekannte und Freunde auf diese Neuigkeiten zugreifen können. Professionelle Hacker spähen ihre Opfer häufig über Plattformen wie Facebook, LinkedIn & Co. akribisch aus, bevor sie diese kontaktieren. Dabei ist es einfach, sich gegen die Attacken der Betrüger zu schützen: Informationen, die den Arbeitgeber betreffen, sollten Mitarbeiter nur in Absprache mit der Geschäftsleitung im Internet veröffentlichen. Bei der Veröffentlichung von privaten Informationen sollten die Nutzer die Privatsphäre-Einstellungen der Social-Media-Portale nutzen und nur ihnen tatsächlich bekannten Personen den Zugriff auf persönliche Informationen erlauben.

Fazit: Security-Awareness stärken, Online-Betrug vorbeugen

Social Engineering ist derzeit eine besonders erfolgreiche Methode der Hacker, die IT-Sicherheitsstandards eines Unternehmens zu umgehen. Unternehmen können es sich nicht leisten, allein auf herkömmliche Verteidigung in Form von Anti-Virus-Programmen zu setzen, um Cyber-Betrug zu stoppen. Vielmehr sollten sie ihre Mitarbeiter über die zahlreichen Social-Engineering-Methoden der Betrüger informieren und sensibilisieren. Mithilfe einer Bedrohungseinschätzung können Unternehmen zudem rückblickend feststellen, ob Cyberkriminelle in ihrem Netzwerk aktiv sind oder waren. Oft entdecken Unternehmen erst Monate – oder sogar Jahre - später Sicherheitsvorfälle in deren Folge geistiges Eigentum, personenbezogene Daten, Zahlungsdaten oder andere wertvolle Informationen gestohlen wurden. (fm)