Webinar

Wie Cyber-Kriminelle den "Faktor Mensch" ausnutzen

22.09.2017
Anzeige  Mit höchst personalisierten Mails gelingt es Cyber-Kriminellen, sowohl Top-Entscheider als auch Sachbearbeiter zu täuschen. Ein Computerwoche-Webinar klärt über die Masche auf.
Ein falscher Klick und der Sachbearbeiter greift seine eigene Firma an - Cyber-Kriminelle nutzen gezielt menschliche Schwächen aus.
Ein falscher Klick und der Sachbearbeiter greift seine eigene Firma an - Cyber-Kriminelle nutzen gezielt menschliche Schwächen aus.
Foto: R.Iegosyn - shutterstock.com

Sie geben sich als CEO oder Vorstand aus, personalisieren Mails mit genauen Namen und Unternehmensnamen: Cyber-Kriminelle setzen auf den "Faktor Mensch". Ein Computerwoche-Webinar informiert über Schutzmaßnahmen.

Werner Thalmeier, Director Systems Engineering EMEA Proofpoint, weiß, dass diese sogenannten BEC-Angriffe (Business Email Compromise) neben Top-Entscheidern zunehmend auch Buchhalter oder Personaler ins Visier nehmen. Die arglosen Opfer werden zum Klick auf den gut getarnten Anhang verleitet und greifen ihr Unternehmen damit selbst an. Mit dem Fachjournalisten Detlef Korus spricht Thalmeier über die häufigsten Angriffsmuster.

"Die Angreifer wissen heute sehr genau, auf wen sie abzielen", beobachtet Thalmeier. "Die wissen, wer die Mitarbeiter des Managers sind und wann er auf Geschäftsreise ist." Was sich in der Fachsprache Social Engineering nennt, ist im Alltag von Cyberkriminellen ganz einfach. "Ich brauche nur einen LinkedIn-Account oder Twitter und kann mir über mein zukünftiges Opfer ein genaues Bild erstellen", erklärt Thalmeier. Banking-Trojaner waren gestern. Heute heißt das "Enkeltrick 2.0".

Laut einer Studie von Verizon starten 91 Prozent dieser Angriffe mit einer E-Mail. So gibt sich ein Angreifer beispielsweise als Entscheider aus und kontaktiert in dessen korrekt geschriebenen Namen einen Finance-Mitarbeiter, von dem er weiß, bis zu welcher Höhe dieser Geldanweisungen selbst abzeichnen darf. "Der Mitarbeiter weiß ja, dass der Chef in Asien ist, da braucht er gar nicht nachzufragen", erklärt Thalmeier. Und schon ist das Geld unterwegs.

90 Prozent der Angriffe starten per Email

Der Proofpoint-Director schüttelt den Kopf: "Dabei habe ich früher gerne Witze gemacht, die Email sei tot…" Auch Korus muss schmunzeln: "Ja, tatsächlich ist sie in der Business-Welt immer noch Kommunikationsmittel Nummer Eins; noch vor dem Telefon!" Das allerdings scheint vielen Unternehmen nicht bewusst zu sein: trotz der 90 Prozent Angriffe, die per Mail starten, fließen im Schnitt nur acht Prozent des IT-Sicherheitsbudgets in die Email, wie Thalmeier ausführt. Er rät, Authentifizierungs-Mechanismen für Email einführen. "Man muss auch hinter das Netzwerk schauen und sich fragen: wer verwendet in meinem Namen Emails?", ergänzt er.

Damit ist der Experte auch schon bei den Schutzmaßnahmen. Die müssen zunächst einmal beim Endnutzer ansetzen. Sein Tipp: "Fragen sie mal im Bekanntenkreis, wer in der Lage ist, in den Header einer Email zu gucken!" Antwort von Korus: "Den muss ich erstmal finden…" Von der technologischen Seite her rät Thalmeier zu einer Systematik, die die gesamte Software erfasst. Konkret: "Sie haben Applikationen on premise, sie haben Applikationen in der Cloud und sie nutzen Anwendungen von Drittanbietern. Hinzu kommt Infrastruktur in der Cloud", führt er aus.

Ein weiteres Thema ist Mobile. Mehr als die Hälfte der Klicks auf gefährliche Links läuft über Geräte außerhalb vom Enterprise Desktop-Management, beobachtet Proofpoint. In Sachen BYOD (kurz für Bring your own device) kennt Thalmeier denn auch einige Unternehmen, die wieder zurückrudern.

Und wie groß ist die Gefahr von CEO-Betrugsversuchen? Wie eine Ad-hoc-Umfrage unter den Webinar-Zuschauern zeigt, hat knapp jeder Zweite bereits Erfahrung damit. Thalmeier kommentiert: "Betroffen ist jeder. Jede Firmengröße, jede Branche." Laut offiziellen Statistiken verzeichnete etwa allein Nordrhein-Westfalen im vergangenen Jahr rund 1.200 Fälle. Die Dunkelziffer dürfte höher liegen, mutmaßt Thalmeier.

Wenn die Unterschrift des Chefs aus dem Handelsregister geklaut wird

Dabei spricht er nicht mehr nur von den altbekannten plumpen "Nigeria-Briefen". Cyberkriminelle schicken beispielsweise Word-Dokumente, die Makros enthalten. Manche Betrüger gehen erstaunlich weit: "Sie suchen im Handelsregister nach der Unterschrift des Geschäftsführers und kopieren diese", weiß Thalmeier. Als sogenannter "Frenemy" tarnen sie ihre feindlichen Absichten, indem sie sich als Freund ausgeben.

Moderator Korus wendet sich nochmals an die Webinar-Nutzer, die bereits Erfahrung mit solchen Vorfällen haben. "Wer im Unternehmen war denn da betroffen?", will er wissen. Ergebnis der Kurz-Umfrage: Meist gingen die Angreifer auf die Abteilung Finance. Aber auch die Geschäftsleitung selbst und Human Ressources (HR) wurden angegriffen. "Das deckt sich mit unseren Erfahrungen", murmelt Thalmeier.

Fazit: Cyberkriminelle versuchen immer geschickter, den Menschen in seinen Arbeitsweisen und Gewohnheiten auszutricksen. Stichwort Gewohnheit: Angriffsspitzen gibt es oft um die Mittagszeit, da wollen die Leute das vor dem Essen "schnell noch erledigen". Kommentar von Korus: "Bevor sie jetzt in die Leberkässemmel beißen…" (Anmerkung der Redaktion: In München steigt gerade das Oktoberfest). Weniger launig ist jedoch Thalmeiers Fazit: "Man muss immer vom schlimmsten Fall ausgehen!"

Hier das Webinar ansehen