Phishing- und Ransomware-Attacken

Vertrauliche Nachricht vom Chef – wirklich?



Marcel Mock ist CTO und Mitbegründer des Schweizer Sicherheitsexperten totemo. In dieser Funktion verantwortet er das gesamte technologische Portfolio und berät vorwiegend Großkunden. Davor war er als Head of Software Development bei WebSemantix AG tätig sowie als Consultant bei IBM Deutschland. Er ist Inhaber mehrerer Patente zum Thema E-Mail-Verschlüsselung.
Phishing- sowie Ransomware-Kampagnen haben sich zum Geschäftsmodell für Cyber-Kriminelle entwickelt. Die Sensibilisierung der Mitarbeiter und zusätzliche Schutzmaßnahmen beim E-Mail-Versand helfen, die Gefahr einzudämmen.

In der Lohnbuchhaltung meldet sich in diesem Februar der Snapchat-CEO höchstpersönlich. Evan Spiegel forderte mehrere Mitarbeiter per E-Mail auf, ihm Informationen über Angestellte zusammenzustellen und zu schicken. Er brauche Angaben über Sozialversicherungsnummern, Gehälter, Gewinne aus Aktienoptionen und Vergünstigungen, hieß es in der vermeintlichen Nachricht vom Chef. Ein Lohnbuchhalter erkannte die Fälschung nicht – und rückte die Interna raus. Der Instant-Messaging-App-Anbieter wurde so zum Opfer von Phishing. Er reiht sich in die lange Reihe der Unternehmen ein, die eine Datenschutzverletzung einräumen mussten.

Phishing- sowie Ransomware-Kampagnen haben sich zum Geschäftsmodell für Cyber-Kriminelle entwickelt.
Phishing- sowie Ransomware-Kampagnen haben sich zum Geschäftsmodell für Cyber-Kriminelle entwickelt.
Foto: GlebStock - shutterstock.com

Phishing ist fast so alt ist wie die E-Mail selbst. Es bildet seit jeher einen Grundpfeiler der Cyber-Kriminalität. Das Prinzip: Ein Täter täuscht einen vertrauten oder vertrauenswürdigen Kontakt vor, damit der Empfänger sensible Unternehmensdaten preisgibt oder Malware (Schadsoftware) installiert. Überprüfen Mitarbeiter nicht, ob E-Mails wirklich vom angeblichen Sender stammen, kann es wie im Snapchat-Fall dazu kommen, dass Sicherheitsvorkehrungen und Compliance-Vorgaben nicht mehr greifen.

Phishing ist ein lohnendes Geschäft

Das Vorgehen beim Phishing hat sich in den vergangenen Jahren weiterentwickelt. Die Gefahr steigt weiter an, wenn Hacker Phishing mit anderen Angriffsvektoren kombinieren. Kriminelle legen heute mehr Wert auf gezielte „Spear-Phishing“-Angriffe. Außerdem verfolgen sie größere und lohnendere Ziele – was als „Whaling“ (vom englischen Begriff für Wal) bezeichnet wird. In E-Mails geben sich die Täter als Firmenchef oder unmittelbare Vorgesetzte aus. Oder sie gaukeln vor, ein Mitarbeiter zu sein, der besondere Befugnisse hat. So musste der Nürnberger Kabelhersteller Leoni Mitte August einen solchen Betrugsfall einräumen. Mitarbeiter des Autozulieferers fielen auf den Schwindel herein – und überwiesen den Cyber-Kriminellen rund 40 Millionen Euro aufs Konto. Dieselbe Summe verlor im Frühjahr der österreichische Flugzeugkomponentenhersteller FACC an einen Betrüger.

Kriminelle spähen oft in sozialen Netzwerken mögliche Zielpersonen aus, informieren sich über Firmenstrukturen, stehlen Identitäten und melden sich mit gefälschten E-Mails. Sie verlangen in einer angeblich streng vertraulichen E-Mail von den angeschriebenen Firmenmitarbeitern, riesige Summen für ein Großprojekt auf ein Konto zu transferieren. Der Geschäftsführer-Schwindel ist auch als „CEO Fraud“, „digitaler Enkeltrick“, „Business Email Compromise“ oder „Fake President Incident“ bekannt – und verursacht immensen Schaden. Das Bundeskriminalamt geht von rund 60 Betrugsfällen in Deutschland seit 2013 aus, bei denen Firmen 106 Millionen Euro verloren.

Erpresser-Software treibt kriminelle Aktivitäten an

Eine große Bedrohung stellen insbesondere E-Mail-Angriffe dar, die mit Ransomware verbunden sind. Die Lösegeldprogramme stecken bekanntlich als Malware im Anhang, befallen Bootsektoren und setzen Rechner außer Betrieb. Vor allem verschlüsseln sie wichtige Daten, die damit unbrauchbar werden. Viele Firmen glauben dann, keine andere Wahl zu haben, als auf die Lösegeldforderung der Kriminellen einzugehen. Sie überweisen das Geld, um wieder auf ihre geschäftskritischen Dateien zugreifen zu können.

Wie sehr sich die Bedrohungslage verschärft hat, macht das Sicherheitsunternehmen Phishme in seinem Q1 2016 Malware Review deutlich. Demnach stiegen die Zahl der Phishing-Kampagnen, die Phishme erfasst und verfolgt hat, im Jahresvergleich um 789 Prozent an. Die Ursache dafür ist die rasante Verbreitung von Ransomware. Die Sicherheitsexperten schätzen, dass heute etwa 93 Prozent aller Phishing-Mails Erpresser-Software enthalten. In ihrem Q2 2016 Malware Review stellen die Spezialisten fest, dass die Hälfte der sich im Umlauf befindenden Malware Ransomware ist. Sie ziehen ein ernüchterndes Fazit: Erpresser-Software ist ein voll entwickeltes Geschäftsmodell, das verlässliche Gewinne für Cyber-Kriminelle abwirft.

Das aktuelle Gefährdungspotenzial nimmt Phishme-Vorstandsmitglied und -Mitgründer Rohyt Belani zum Anlass, an die Unternehmenswelt zu appellieren: „Da solche Phishing-Angriffe häufiger werden und gleichzeitig ein höheres Ausmaß einnehmen, wird es zunehmend wichtiger, Nutzern die Möglichkeit zu geben, sie zu verhindern und zu melden. Es war noch nie so dringlich, Incident Response Teams die Möglichkeit zu geben, schnell auf solche Meldungen zu reagieren.“

Den Blick für den Betrug schulen

Ransomware kann Unternehmen gravierend schaden. Das lässt sich verhindern, wenn Empfänger aufmerksam sind. Firmen müssen ihre Mitarbeiter für E-Mail-Phishing sensibilisieren und dagegen wappnen – eine geeignete Maßnahme dafür sind Anwenderschulungen. In der Praxis zeigt sich zudem, dass Nutzer Unterstützung brauchen, um authentische E-Mails zu erkennen. So spielen E-Mail-Signaturen für das Ermitteln authentischer E-Mails eine große Rolle. Anhand einer gültigen Signatur erkennt der Empfänger, ob eine Nachricht wirklich von der Person kommt, die vorgibt, der Absender zu sein. Es lässt sich im Unternehmen zentral festlegen, dass alle E-Mails interner Nutzer per Default signiert werden. Der einzelne Nutzer muss beim Versenden gar nicht mehr daran denken. Beim Empfang hat ein Anwender allerdings die Pflicht zu prüfen, ob diese E-Mail eine gültige Signatur besitzt. Ein Blick genügt für den einfachen Check, denn nur Technik und Mitarbeiter zusammen führen zum Erfolg.

Bisher galt es gemeinhin als guter Schutz, die vertrauliche Kommunikation zu verschlüsseln. Denn Phishing-Mails sind üblicherweise nicht verschlüsselt, da die Angriffe maximalen Output durch breite Streuung erreichen wollen und die ressourcenintensive Verschlüsselung bislang gescheut haben. Immer mehr Anwender werten das Schloss-Symbol als sicheres Zeichen von Vertrauenswürdigkeit. An der Stelle setzen Angreifer an und entwickeln ihre Techniken stetig weiter. Es ist daher zu erwarten, dass in Zukunft vermehrt verschlüsselte Phishing-Mails auftauchen. Diese wollen Anwendern dann weismachen, es handle sich um sichere, authentische Nachrichten. Allein auf die Verschlüsselung dürfen Firmen also nicht vertrauen.

Checkpoint Gateway und Lerneffekt

Die gute Nachricht lautet: Unternehmen können sich gegen Phishing-E-Mails schützen, selbst wenn diese verschlüsselt sind. Verfügen Firmen über ein E-Mail-Verschlüsselungs-Gateway, lassen sich E-Mails am Gateway entschlüsseln. Dort findet eine Prüfung auf Spam, Malware und Phishing statt. Danach werden die Nachrichten für den restlichen Weg vom Gateway bis ins Postfach des Empfängers wieder verschlüsselt.

Dieses Vorgehen stellt allerdings bei echter Ende-zu-Ende-Verschlüsselung keine Option dar. In diesem Fall obliegt es alleine dem Empfänger, festzustellen, ob eine E-Mail legitim und kein Phishing-Versuch ist. Hier machen sich gute Nutzerschulungen bezahlt. Eine echte Ende-zu-Ende-Verschlüsselung kommt selten und normalerweise nur bei sehr hohen Sicherheitsanforderungen zum Einsatz. Deshalb haben betroffene Empfänger in der Regel ein ausreichend hohes Sicherheitsbewusstsein, um ihre Ver- und Entschlüsselung sicher einzusetzen.

Gelingt es trotzt Aufklärung und Trainings nicht, eine Phishing- oder Ransomware-Attacke abzuwenden, muss die betroffene Firma aus den Fehlern lernen. So kündigte Snapchat nach der erlittenen Datenpanne an, sein Schulungsprogramm zu Datenschutz und Sicherheit verdoppeln zu wollen. Sicher ein guter Weg, um die Abwehrreihe zu schließen. (haf)

Zur Startseite