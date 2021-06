Die globale Cyberkriminalität hat sich zu einem der größten Wirtschaftszweige entwickelt. Die Marktforscher von Cybersecurity Ventures erwarten für das Jahr 2021 Schäden in Höhe von fünf Billionen Euro. Die Schäden sind verheerend: Opfern drohen Lösegeldzahlungen von Zigmillionen Euro, wenn sie wieder Zugriff auf ihre durch Malware blockierten Daten erhalten wollen. Der Datenraub kann weitere Kosten in Millionenhöhe verursachen, zum Beispiel durch den Verlust geistigen Eigentums, Strafen von Datenschutzbehörden, zerstörtes Kundenvertrauen, beschädigte Markenreputation bis hin zu fallenden Aktienkursen - ganz zu schweigen von den Eindämmungs- und Wiederherstellungskosten.

Die Gefahr fataler Konsequenzen steigt rapide. Ransomware-Angriffe haben sich weltweit zur häufigsten und zerstörerischsten Malware-Bedrohung entwickelt: SonicWall spricht von einer Zunahme der weltweiten Ransomware-Angriffe um 62 Prozent, wobei die bevorzugte Verteilungsmethode auch eine der einfachsten ist. Trotz der Raffinesse vieler moderner Cyber-Angriffe funktioniert eine Taktik aus den Anfangszeiten der Cyberkriminellen immer noch erschreckend gut: Phishing-E-Mails, die hinter den Verteidigungslinien eines Ziels Malware platzieren. Laut CSO Online werden 94 Prozent aller Malware per E-Mail verteilt. Um sorgfältig implementierte Sicherheitstechnologien und -prozesse auszuhebeln, muss nur ein einziger unachtsamer Mitarbeiter dazu verleitet werden, einen böswilligen Link oder Anhang in der E-Mail eines scheinbar vertrauenswürdigen Absenders zu öffnen.

Interner Test-Hit: Fingierte Phishing-E-Mails

Die meisten Unternehmen haben deshalb erkannt, wie enorm wichtig es ist, die Mitarbeiter für Cybersicherheit zu sensibilisieren und entsprechend zu schulen. So wurde das Versenden fingierter Phishing-E-Mails an die eigenen Mitarbeiter zu einer weitverbreiteten Komponente von Security Awareness-Programmen. Klicken diese auf einen Link oder Anhang in einer solchen Nachricht, erhalten sie eine E-Mail, in der ihre Vertrauensseligkeit kritisiert wird. Gleichzeitig wird den leichtgläubigen Mitarbeitern ein obligatorischer Auffrischungskurs zur Steigerung ihres Sicherheitsbewusstseins zugewiesen. Schließlich ist es besser, sie lernen durch einen fingierten Vorfall als durch harten Kontakt mit der Realität, nicht wahr? Was soll schon schiefgehen, wenn die Belegschaft im wachsamen Umgang mit E-Mails geschult wird?

Unmut über Fake-Boni

Doch die Methode ist umstritten. Erst kürzlich sorgte die fragwürdige Anwendung dieser Technik für Zündstoff: Im April 2021 erhielten 2.500 Mitarbeiter von West Midlands Trains, einem britischen Bahnunternehmen, eine fingierte Phishing-E-Mail, in der sich das Unternehmen für ihren Einsatz in schwierigen Zeiten bedankte. Darüber hinaus enthielt die E-Mail einen Link, über den sich die Mitarbeiter vermeintlich für eine Geldprämie registrieren konnten. Statt der versprochenen finanziellen Belohnung erhielten die getäuschten Angestellten aber nur den "freundlichen" Hinweis vom Sicherheitsteam, dass sie doch bitte "bei allen Links und Anhängen vorsichtig sein" und "niemals auf einen verdächtig aussehenden Link klicken" sollten. Der Ärger der Mitarbeiter über den "Phishing-Stunt" war umso größer, weil viele von ihnen als systemrelevantes Personal in der Pandemie dem Coronavirus ausgesetzt waren - manche erkrankten, einer verstarb gar an Covid-19. Erst als die peinlich berührte Geschäftsleitung beschloss, die Boni doch zu zahlen, sagte die Gewerkschaft einen angedrohten Proteststreik ab.

Öffentlicher Druck durch eine mit den Arbeitern sympathisierende Online-Cybersicherheits-Community trug dazu bei, die Unternehmensführung von West Midlands zu diesem Schritt zu bewegen. Iain Collins, Direktor bei Glitch Digital, einem britischen Service Provider für technische Inhalte, sprach mit seinem Twitter-Kommentar vielen aus der Seele: "Die Vergütung für einige Jobs bei West Midlands Trains liegt gerade mal bei der Hälfte des nationalen Durchschnitts und einem Bruchteil der Bezahlung eines leitenden Direktors. Es ist schäbig und unethisch, gering entlohnte Mitarbeiter, die ihr Leben in einer Pandemie riskieren, mit falschen Prämienversprechen zu düpieren, nur um zu prüfen, ob die IT-Abteilung auf Draht ist." Viele andere Experten schlossen sich Collins' Meinung an: Sicherheitsbewusstsein sei notwendig, aber dies ging eindeutig zu weit.

Die schwierige Frage nach der Moral

Aber ging es wirklich zu weit? Auf einer virtuellen Acronis Konferenz zur Cyber Security für Microsoft 365-Umgebungen wurde die Expertenrunde kürzlich gefragt, was sie von dieser Taktik hielt: fair und hilfreich oder herzlos und kontraproduktiv? Die Meinungen waren geteilt. Keatron Evans, leitender Sicherheitsanalytiker und Dozent für das InfoSec Institute, verwies auf die Risiken eines solchen Vorgehens: "Diese spezielle Täuschung schürt den Hass und das Misstrauen der Mitarbeiter gegenüber dem Sicherheitsteam. Ein Unternehmen braucht seine Mitarbeiter bei ernsten Vorfällen, und das war keine gute Idee, sich ihrer Loyalität zu versichern."

Troy Hunt, unabhängiger Sicherheitsanalytiker und Gründer der Website haveibeenpwned.com für die Meldung von Sicherheitsverstößen, widersprach: "Glauben wir wirklich, dass Cyberkriminelle aus moralischen Gründen auf diese Taktiken verzichten? Wenn wir unsere Kollegen auf das Schlimmste vorbereiten wollen, müssen wir sie entsprechenden Simulationen aussetzen."

Beide Sicherheitsexperten äußern berechtigte Argumente. Im Kampf gegen die Cyberkriminalität sind Sicherheitsteams auf die Kooperation jedes einzelnen Mitarbeiters angewiesen. Die jüngsten Angriffe staatlicher Akteure auf Unternehmen und Behörden, wie bei der Supply-Chain-Attacke auf SolarWinds, zeigen, dass die Angriffe ein neues Level erreicht haben. Bei diesem Angriff wurden Daten von hunderten Zielen gestohlen, indem zunächst das beliebte Netzwerk-Verwaltungswerkzeug des Technologieanbieters kompromittiert wurde.

Cyberkriminelle kennen keine Skrupel

In der Regel zeigen Cyberkriminelle wenig Skrupel bei ihrem Streben nach illegaler Bereicherung. Interpol stellte in seinem Bericht "Cybercrime: Covid-19 Impact" (Auswirkungen von Covid-19 auf die Cyberkriminalität) fest, dass Kriminelle ihre Ransomware-Angriffe auf Krankenhäuser, Behörden und Betreiber kritischer Infrastrukturen während der globalen Pandemie sogar verstärkt haben: Die Zahl der registrierten böswilligen Vorfälle stieg um 569 Prozent. Es scheint naiv, zu glauben, dass mögliche Taktiken aus legitimen Programmen zur Steigerung des Sicherheitsbewusstseins für die Verbrecher nicht infrage kommen.

Vielleicht lautet die Lektion für die Cybersicherheitsteams, dass sie gelegentlich wie Cyberkriminelle denken müssen, um deren Taktiken zu verstehen und zu antizipieren und damit bessere Abwehr- und Korrekturstrategien entwickeln zu können. Aber: Darüber dürfen offensichtliche Maßnahmen wie die Mehrfaktor-Authentifizierung, besonders für den Zugang zu den sensibelsten Systemen, nicht vernachlässigt werden. Zu weiteren Praktiken, die immer wichtiger werden, gehören die Implementierung eines Disaster-Recovery-Systems und regelmäßige Schulungen zur Reaktion bei Vorfällen. Diese Programme gehen davon aus, dass kein Unternehmen erwarten kann, von Kompromittierungen verschont zu bleiben, insbesondere jetzt, da staatliche Akteure - mit ihrer unendlichen Geduld, Finanzkraft und Cybersicherheits-Manpower - im erbitterten Wettstreit mit Cyberkriminellen stehen, um kritische Unternehmensdaten zu stehlen oder zu blockieren.

Gratwanderung jenseits der Unterwelt

Deshalb sollte es möglich bleiben, zu legitimen Testzwecken - zum Beispiel mit fingierten Phishing-E-Mails - eine kriminelle Mentalität an den Tag zu legen und gleichzeitig Verständnis und Mitgefühl für die pandemiegeplagten Mitarbeiter zu zeigen. Cybersicherheitsexperten befinden sich auf einer Gratwanderung. Sie müssen wirksame Wege finden, ihre Kollegen daran zu erinnern, wachsam zu bleiben, ohne dabei selbst auf die krassen und abstoßenden Methoden der cyberkriminellen Unterwelt zurückzugreifen.

James R. Slaby ist Direktor der Cyber Protection bei Acronis und entwickelt dort Cybersicherheits- und Datensicherungslösungen für Unternehmen. Zuvor arbeitete er als Branchenanalyst für Cybersicherheit, Cloud Computing und Netzwerke bei Forrester Research, HFS Research, Yankee Group und The Info Pro sowie im Lösungs-, Produkt-, Kampagnen- und vertikalen Marketing bei Technologieanbietern wie Sonus, Acme Packet, Bay Networks und Motorola. Slaby hat mehr als 300 technische Forschungsberichte veröffentlicht und wird regelmäßig in den US-Medien zitiert, so im Economist, in der Financial Times, der New York Times, dem Wall Street Journal sowie in zahlreichen technischen Publikationen.