„Hacker sind uns immer einen Schritt voraus“
Seit der Einführung des digitalen „Postverkehrs“ – also der E-Mails – haben Arbeitnehmende mit der einen oder anderen Art von Internetbetrug zu kämpfen. Und Hacker nutzen natürlich immer raffiniertere Methoden, um an sensitive Daten zu kommen, was die Menge und Arten der Bedrohungen für Organisationen massiv wachsen lässt. Massimo Scola von getAbstract erklärt, wie sich die Angriffe weiterentwickeln und was Unternehmen und Mitarbeitende tun können, um ihre Sicherheit zu gewährleisten.
Massimo, was sind Phishing-Betrügereien, und sind sie wirklich die häufigsten Cyberbedrohungen für Mitarbeitende?
Massimo Scola: Die häufigste Bedrohung, der wir heute per E-Mail ausgesetzt sind, nennt sich „Credential Phishing“. Dabei haben es Angreifer auf deine Anmeldedaten abgesehen. Eine kürzlich durchgeführte Analyse von Spam-E-Mails weltweit ergab, dass es sich bei über 50 Prozent davon um solche Anmeldedaten-Phishings handelt. Der Grund für die Popularität ist, dass die Hacker so in den Besitz deines Benutzernamens und deines Kennwortes kommen. Sie können sich dann bei deinem Laptop, in dein Computersystem oder auf anderen Unternehmenssystemen, zum Beispiel der Unternehmenswebsite, anmelden oder Malware darauf installieren. Oder sie können deinen Computer benutzen, um weitere Phishing-E-Mails in deinem Namen an deine Mitarbeitenden zu versenden, deren Computer dann als Nächstes dran sind, wenn sie nicht achtsam sind.
Die wichtigsten Sicherheitsregeln für Unternehmens-ITs:
- Implementieren Sie eine Multifaktor-Authentifizierung für Anmeldungen in Ihren Systemen.
- Machen Sie Mitarbeitende regelmäßig auf die Gefahren und Risiken aufmerksam, indem Sie entsprechende Schulungen zum Sicherheitsbewusstsein durchführen.
- Prüfen Sie potenzielle Mitarbeitende, wenn sie Zugang zu sensiblen Informationen haben.
- Stellen Sie verwaltete Geräte zur Verfügung, auf denen die Mitarbeitenden keine bedrohliche externe Software installieren können.
- Erhöhen Sie die Sicherheit durch den Einsatz biometrischer Identifikation.
- Größere Unternehmen können Netzwerke in „vertrauenswürdige Zonen“ unterteilen, wo der „Sprung“ von einer zur anderen erschwert oder verunmöglicht wird.
- Sichern Sie Geräte, mit denen auf hochsensible Daten zugegriffen werden kann, biometrisch ab. Nur autorisierte Benutzer sollten sie aktivieren können.
- Ändern Sie immer wieder die Standard-Benutzernamen und -Passwörter, mit denen die Geräte ausgestattet sind.
- Halten Sie Ihre Server auf dem neuesten Stand und installieren Sie umgehend die von den Server- und Softwareprovidern zur Verfügung gestellten Sicherheits-Patches.
- Investieren Sie in ausgereifte Sicherheitsprodukte, lassen Sie sich hier von entsprechenden Experten beraten.
- Entwickeln Sie Richtlinien zur Einhaltung der Sicherheitsvorschriften und machen Sie diese allen Mitarbeitenden bekannt.
- Bleiben Sie selbst wachsam und melden Sie, wenn Ihnen etwas unsicher vorkommt.
Immer mehr Unternehmen erledigen ihre Arbeit online, was bedeutet, dass die Daten sich in einer Cloud befinden. Vervielfacht das die Bedrohung, weil es ein Reiz ist, ganze Systeme lahmlegen zu können?
Ja, und in der Regel funktioniert das so: Die Hacker loggen sich ein und tun dann erst mal überhaupt nichts mehr. Sie beobachten nur oder versuchen zu verstehen, wie das System aufgebaut ist. Dazu zwei Beispiele aus Luzern: Hier wurden kürzlich zwei Sicherheitslücken ausgenutzt, und viele Menschen waren davon betroffen. Eine betraf das öffentliche Verkehrssystem. Die Hacker konnten sich in den Server einloggen, beobachten und verstehen, wie das IT-System aufgebaut ist. Dann haben sie den Computer verschlüsselt und alle öffentlichen Anzeigen abgeschaltet, sodass man nicht sehen konnte, wann der nächste Bus kommt. Auch der Fahrkartenkauf war nicht mehr möglich. Das hat ein paar Tage gedauert.
Zusammenfassung (Buch)
Underground Economy
Buchverlag Neue Zürcher Zeitung (NZZ Libro)Solche Ransomware ist eine echte Bedrohung, insbesondere für Unternehmen, die ihre Server vor Ort haben. Das andere Beispiel war ein Unternehmen, das Papier herstellt. Die Angreifer legten hier die gesamte Produktion lahm. Das Unternehmen verlor viel Geld, bis es dafür bezahlte, dass die Ransomware für sie entschlüsselt wurde. Das ist normalerweise eher eine Bedrohung für Unternehmen, die über Geräte wie Maschinen verfügen, die an das Computersystem angeschlossen sind. Diese können ebenfalls gehackt werden. Und genau das ist dem Papierhersteller passiert, er musste daraufhin den Betrieb einstellen und die Angreifer auszahlen.
Und das hat mit einer Phishing-E-Mail angefangen?
Das weiß ich in diesem Fall nicht. Es gibt verschiedene Möglichkeiten, wie Hacker eindringen können – und sehr oft beginnt es mit einer Phishing-E-Mail. Dabei gibt es verschiedene Arten: Es gibt die typischen Phishing-E-Mails, die manchmal so offensichtlich sind, dass man sie einfach löscht.
Du meinst die von einem mysteriösen Prinzen in Nigeria, der von den Empfängern Geld haben will?
Ganz genau. Man weiß, dass es sich um Spam handelt, weil weder Satzbau noch Grammatik oder Rechtschreibung stimmen. Diese Mails löschen die meisten Menschen schnell.
Zum Problem wird Phishing eher, wenn Cyberkriminelle eine Technik namens Social Engineering anwenden: Dazu sammeln sie Informationen über dich, aus vertrauenswürdigen Quellen, und nehmen deine persönlichen Schwachstellen ins Visier.
Viele der nötigen Infos finden sie im Internet. Oder sie rufen einfach bei dir an, um sich über dich zu erkundigen. Das bedeutet: Letztendlich wissen diese Betrüger, an wen sie die E-Mail senden werden.
Zusammenfassung (Artikel)
Geld her – oder Ihre Daten sind weg!
Harvard Business ManagerSie haben eine bestimmte Person im Sinn.
Genau. Das nennt man Spear-Phishing-Angriff. Beim normalen Phishing wirft man ein Netz ins Wasser und fängt so viele Fische wie möglich. Spear-Phishing ist zielgerichtet.
Woran kann man erkennen, ob etwas „phishy“ ist?
Schau dir die Adressen von Links in der E-Mail an, ohne darauf zu klicken. Einfach mit dem Cursor drüberfahren – und dann öffnet sich ein kleines Fenster. So kannst du normalerweise schnell erkennen, dass etwas nicht stimmt. Es könnte zum Beispiel ein Tippfehler in der Adresse stehen. Es sieht so aus, als käme die Mail von Microsoft, aber der Link enthält einen kleinen Tippfehler, das heißt, jemand hat eine Domain mit einem Namen registriert, der einer vertrauenswürdigen Domain sehr ähnlich ist. Generell kann man sagen: Die Leute schauen sich Links nicht genau genug an. Wenn Sie dann auf die Website gehen, sieht sie vielleicht wie die echte Website aus, ist es aber nicht – und dann ist es bis zu einer fatalen Passworteingabe nicht mehr weit. Es kann auch durchaus sein, dass du dann etwas herunterlädst, ohne zu wissen, dass etwas im Hintergrund ausgeführt wird.
Wow – klingt unheimlich, zumindest ein bisschen!
Normalerweise ist das nicht der Fall. In der Regel landest du auf einer Website und wirst aufgefordert, dich anzumelden – um etwas zu „bezahlen“ oder um ein „Log-in für eine neue Software deiner Firma“ zu erhalten. In Europa gehört zum Beispiel die Meldung „Ihr DHL Paket kommt bald“ zu den gängigsten Methoden. Dann wirst du nach deiner E-Mail-Adresse und deinem Passwort gefragt und anschließend nach deinen Kreditkartendaten, um „die Einfuhrsteuer zu bezahlen“.
Wird künstliche Intelligenz (KI) die Bedrohung durch Phishing erhöhen?
Wir haben gerade über Social Engineering gesprochen, und natürlich kann ich, wenn ich Phishing betreibe, damit sehr überzeugende und personalisierte Phishing-E-Mails oder -Nachrichten oder sogar Telefonanrufe erstellen. Dies geschieht durch die Analyse der Muster in der Kommunikation einer Person. Man kann sich zum Beispiel auf den CEO eines Unternehmens konzentrieren: Über soziale Medien und YouTube-Videos kann man viel über einen CEO herausfinden. Der nächste Schritt ist es, eine E-Mail zu verfassen, die tut, als käme sie aus der IT-Abteilung, und die so überzeugend ist, dass der CEO glaubt, sie sei für ihn bestimmt, und er folgt dann ganz brav den Phishing-Anweisungen. Bisher konnten das viele Hacker nicht, mit KI ist es ganz einfach.
Oder ich bekomme eine E-Mail, die aussieht, als käme sie von meinem CEO, in der ich gebeten werde, auf einen Link zu klicken?
Ja.
Und bei Deepfakes ist es nicht nur eine E-Mail, die so aussieht, als käme sie vom CEO, weil sie von seiner E-Mail-Adresse stammt. Es könnte auch ein Video sein?
Ja, es sieht aus wie dein CEO und fühlt sich an wie dein CEO. Das Gleiche gilt für das Klonen von Stimmen. Wenn Sie jemand anruft, wird es umso einfacher herauszufinden, dass etwas nicht stimmt, je länger Sie sprechen. Für neue Mitarbeitende könnte das jedoch ein Problem werden. Denn sie kennen den CEO vielleicht nicht sehr gut. Wer die Person kennt, also weiß, wie sie sich normalerweise verhält, wie sie intoniert und wie sie sich ausdrückt, hat hier einen klaren Vorteil, denn das sind einige der Anzeichen, die bisher noch untrüglich sind. Aber: Die Systeme werden immer besser. Und: Bisher wurden sie manuell erstellt. Durch KI sind diese Angriffsoptionen nun skalierbar, das heißt, sie werden wohl sehr bald auch zahlreicher.
Du rechnest also mit deutlich mehr Angriffen, die KI-gestützt sind?
Ja. Aber: Wie immer, wenn etwas Neues auf den Markt kommt, wird es sowohl im guten wie auch im schlechten Sinn genutzt. Dazu kommt: Wenn KI in Cyberangriffe über E-Mails involviert ist, durchforstet sie in der Regel die sozialen Medien selbstständig und versucht, Freunde, Interessen, Hobbys und den Beruf von Personen herauszufinden. Die Dinger sind wie Spinnen und tasten sich in alle Richtungen vor, was natürlich die „Menükarte“ der Hacker enorm erweitert.
Künstliche Intelligenzen „kartieren“ im Grunde die Beziehungen und Interaktionen einer Person.
Ja, in den sozialen Medien finden sie eine Menge an Informationen über einen Nutzer und seine Freunde. Im nächsten Schritt werden Menschen mit Gemeinsamkeiten gruppiert. Zum Beispiel Menschen, die ein bestimmtes Hobby haben oder in einer bestimmten Branche arbeiten. Dann – und das ist sehr besorgniserregend – versucht die KI, die am meisten gefährdeten Personen in einer Gruppe zusammenzufassen und ihnen einen Spear-Phishing-Angriff zu schicken. Sie sucht nach Personen, die sehr vertrauenswürdig aussehen oder wirken, oder nach Personen, die Zugang zu wertvollen Informationen haben oder über Administratorrechte verfügen. Da sie bereits viel über diese Personen wissen, sind diese Nachrichten auf die Interessen des Opfers und seine Beziehungen zu anderen Personen zugeschnitten, sodass die Erfolgsaussichten höher sind. Dies ist ein weiterer Grund, warum man sich Links in E-Mails immer genau ansehen sollte.
Okay, ich erhalte also eine gefälschte E-Mail, fahre mit dem Mauszeiger über etwaige Links, auf die ich klicken soll, und analysiere sie: Gibt es Tippfehler? Scheint der Domainname korrekt zu sein? Aber was, wenn ich mir letztlich doch nicht sicher bin?
Alle E-Mails haben eine Kopfzeile, aus der hervorgeht, woher die E-Mail gesendet wurde und wohin sie ging. Unternehmen, die E-Mails hosten, wie zum Beispiel Microsoft, erhalten jeden Tag Millionen von E-Mails. Sie sind sehr gut in der Lage, Spam zu erkennen und zu kategorisieren. Microsoft hat ein Tool namens Message Header Analyzer, ein kostenloses Plug-in für Outlook, und eine Website, auf der man seine Kopfzeilen kopieren und einfügen kann, um eine Analyse durchzuführen. Dieses Tool zeigt dir auf einer Skala von 1 bis 15 an, wie wahrscheinlich es ist, dass eine E-Mail tatsächlich Spam ist. Alles, was über 4 oder 5 liegt, wird als Spam angesehen und wurde bereits an anderer Stelle auf der Welt als Spam definiert.
Okay, das ist gut zu wissen.
Wichtig ist: E-Mail-Adressen können gefälscht werden. Du kannst eine E-Mail von DocuSign erhalten, die dann aber nicht wirklich von DocuSign stammt. Wenn du dir den Header ansiehst, kannst du sehen, dass sie von einem komischen oder für deine Zwecke „unwahrscheinlichen“ Ort gesendet wurde. Jedes Mal, wenn du in Outlook eine Spam-E-Mail siehst und auf „Phishing melden“ klickst, geht dies an Microsoft und trainiert das System, wodurch die Erkennung für alle verbessert wird. Microsoft und andere E-Mail-Hosts blockieren bereits jeden Tag viele E-Mails, von denen sie wissen, dass es sich um Spam handelt. Einige kommen aber dennoch durch, insbesondere besser gestaltete Spammails.
Im Jahr 2022 waren 48 Prozent der versendeten E-Mails Spam.
Und es gibt noch andere Arten von Angriffen, vor denen man sich in Acht nehmen muss, wie zum Beispiel Brute-Force-Angriffe. Hier versuchen Angreifer sich durch einfaches Erraten von Passwörtern bei einem Unternehmensserver anzumelden. Die KI wird hier ebenfalls ein wenig raffinierter sein, da sie bereits auf Passwörter trainiert wurde. Hackerteams werden also mithilfe von KI künftig versuchen, Passwörter vorherzusagen, die zur Sicherung der Website verwendet wurden.
Was kann ich in diesem Fall tun?
Mein Tipp: mehrstufige Authentifizierung. Verlassen Sie sich nicht nur auf ein Passwort, sondern auf zusätzliche Sicherheit wie eine Authentifizierungs-App oder den Empfang einer SMS-Verifizierungs-Textnachricht. Immer mehr Websites verwenden die Multifaktor-Authentifizierung; einige, wie Banken, verlangen sie sogar.
Und gibt es andere Bedrohungen, die wir vielleicht noch gar nicht als solche in unserem Leben wahrnehmen?
Das Internet der Dinge (IoT) ist ein potenzieller Albtraum für die IT-Sicherheit. Wir werden bald überall IoT-Geräte haben – deine Kaffeemaschine, den Drucker oder den Projektor. Das sind zwar keine besonders leistungsfähigen Geräte, aber wenn man sie zusammen mit Tausenden von anderen Druckern oder Projektoren gebündelt angreift, können sie durchaus die Sicherheit gefährden.
Wie können sich Unternehmen gegen diese Bedrohungen wappnen?
Noch einmal: Multifaktor-Authentifizierung ist die Nummer eins. Zudem können sie regelmäßige Schulungen zum Thema Sicherheit durchführen. Wir vergessen schnell, welche Gefahren es da draußen gibt, daher sollten wir uns konstant über neue Bedrohungen informieren. Große Unternehmen haben vielleicht sehr ausgefeilte Sicherheitsrichtlinien, die Missbrauch erkennen. Kleinere Unternehmen denken aber immer noch zu oft, dass das Thema für sie nicht so wichtig ist.
Welche Verfahren sollten kleinere Unternehmen einführen?
Beginnen sollten sie damit, die Menschen zu überprüfen, die sie einstellen wollen, insbesondere wenn diese Personen Zugang zu sensiblen Daten haben sollen. Eine weitere Sicherheitsmaßnahme besteht darin, die Geräte, die Unternehmen ihren Mitarbeitenden zur Verfügung stellen, zu sichern und zu verwalten. So können die Mitarbeitenden nicht alles mit dem Laptop machen; sie können zum Beispiel keine Software darauf installieren –nicht, weil sie nicht vertrauenswürdig sind, sondern weil es die Ransomware-Installation unterbindet, selbst wenn man sich „verklickt“ hat.
Wenn also ein Unternehmen Laptops an seine Mitarbeitenden ausgibt, dann sollte darauf nur die mitgelieferte Software vorinstalliert sein. Es ist nicht erlaubt, andere Programme zu installieren.
Ja. Der Begriff lautet „verwaltetes Gerät“. Administrator ist dann nur die IT-Abteilung Ihres Unternehmens. Erhöhen sollten Firmen außerdem die physische Sicherheit: Ich kann für ein Gerät eine Sicherheitsrichtlinie einrichten, die besagt, dass man es nur mit einer biometrischen Identifizierung, zum Beispiel mit dem Fingerabdruck, benutzen kann. Das ist viel sicherer als ein PIN-Code oder ein Passwort. Größere Unternehmen unterteilen auch einen Teil ihrer digitalen Systeme in kleine Abschnitte oder „vertrauenswürdige Zonen“. Diese sind durch Firewalls voneinander getrennt und mit dem Unternehmens-Backbone verbunden. Das erleichtert die Überwachung und Erkennung von Insider-Bedrohungen, was ebenfalls ein Problem darstellt.
Gibt es etwas, das Unternehmen neben der Erstüberprüfung tun können, um Insider-Bedrohungen zu minimieren?
Klare Richtlinien zur Einhaltung der Vorschriften, die von allen befolgt werden müssen, sind das A und O. In größeren Unternehmen gibt es manchmal zwei Abteilungen, die zum Beispiel aus Sicherheitsgründen nicht miteinander kommunizieren sollten. Wenn sie es aber doch tun, kann die IT das System so einrichten, dass eine Warnung ausgegeben wird, wenn sie E-Mails austauschen. Erinnere dich an den Angriff auf die Papierfirma, bei der die Fabrik stillgelegt wurde: Unternehmen, die sensible Daten auf ihren Geräten haben, können ihre Maschinen physisch sichern, damit nur befugte Personen sie aktivieren oder deaktivieren können. Manchmal sind Geräte innerhalb eines Unternehmens anfällig, weil einige von ihnen mit einem Standard-Benutzernamen und -Passwort für die Anmeldung ausgestattet sind und die Unternehmen diese nicht ändern, was ein Sicherheitsrisiko darstellt.
Es ist wichtig, dass die Server immer auf dem neuesten Stand sind, insbesondere wenn Firmen sie vor Ort betreiben. Wenn Microsoft oder wer auch immer ein dringendes Sicherheitsupdate herausgibt, sollte es von der IT sofort installiert werden, denn Hacker sind immer einen Schritt voraus. Das war schon immer so.
Schnelligkeit ist also ein IT-Schlüssel zum Schutz des Netzwerks und der Geräte eines Unternehmens – auf Mitarbeiterseite ist es aber die Achtsamkeit?
Ja. Wir sitzen alle im selben Boot. Wir sind alle denselben Risiken ausgesetzt. Und letztendlich sind wir diejenigen, die Informationen freigeben, indem wir den Zugang über die Multifaktor-Authentifizierung ermöglichen. Oder wir sind diejenigen, die auf die Phishing-E-Mail klicken und unseren Benutzernamen und unser Kennwort eingeben.
Zusammenfassung (Video)
Die neue Angriffsfläche ist Ihr Leben
Andreessen HorowitzLetztendlich ist der Mensch das schwächste Glied. Und: Bei der Arbeit sind wir alle abgelenkt. Manchmal sind wir nicht so vorsichtig oder stehen unter Stress – und genau dann finden Sicherheitsangriffe statt. Unternehmen sollten deshalb in ausgereifte Sicherheitsprodukte investieren. Microsoft Defender und andere erstklassige Sicherheitsprodukte beschäftigen eine riesige Masse von Menschen, die nur eines tun: Sicherheitsrisiken erkennen. Und ja, irgendwann wird es KI sein, die gegen KI kämpft. Oder: Sie tut es schon.
Über den Interviewpartner:
Massimo Scola ist Software Engineer bei getAbstract.
Wie das Journal Ihnen Zeit spart
Lesezeit
14
Min.
Die Lesezeit für diesen Artikel beträgt etwa 14 Minuten.
Gesparte Zeit
12
Std.
Mit der Lektüre sparen Sie bis zu 12 Stunden Recherche- und Lesezeit.
Recherchierte Abstracts
6
Für diesen Beitrag haben wir die praktischsten Einsichten aus 6 Zusammenfassungen zum Thema herausgesucht.
1
1 Video
2
2 Artikel
3
Wir haben 3 Bücher mit 569 Seiten für diesen Artikel gelesen und zusammengefasst.
