Gastbeitrag von Michael Kretschmer, Clearswift
Phishing: Unternehmen sollten die Gefahr ernst nehmen
Phishing wird unterschätzt
Die Gefahr durch Phishing-Angriff wird betriebsintern sowie auch von Privatpersonen weiterhin unterschätzt. Schließlich sind viele Nutzer und Unternehmen bereits mit dem Begriff vertraut und trauen sich zu, den Unterschied zwischen einer gefälschten und einer authentischen Nachricht zu unterscheiden. Dies ist angesichts des hohen Professionalisierungsgrads der Cyber-Kriminellen allerdings sehr gefährlich und kann zu massiven Datenverlusten führen.
Ein Beispiel, wie ausgefeilt moderne Phishing-Mails heutzutage sein können, zeigte ein Vorfall im Mai letzten Jahres. Angreifer versuchten mit einer Flut speziell präparierter E-Mails, die Daten der Nutzer von Google-Profilen zu entwenden. In den Mails enthalten war ein Link zu einem vermeintlichen Dokument auf der Plattform Google Docs. Auf den ersten Blick wurde der Empfänger zwar auf die Plattform geleitet, allerdings verbarg sich hinter dem Namen „Google Docs“ tatsächlich eine sehr authentisch aussehende Web-App. Sie war im Google-Design gestaltet, hatte aber tatsächlich nichts mit dem Konzern zu tun. Auf der Seite wurde der Nutzer dazu aufgefordert, seine E-Mail-Kontodaten einzugeben. Viele Empfänger der Nachricht konnten Original von Fälschung nicht unterscheiden und leisteten der Aufforderung Folge – woraufhin die App wiederum den Link an die Kontakte aus dem Adressbuch schickte. Da die Mail nun aufgrund des bereits bekannten Absenders vertrauenswürdig wirkte, hinterließen erneut zahlreiche Nutzer ihre Daten auf der gefälschten Seite.
Die Tatsache, dass die Angreifer auf solch authentische Art und Weise den Internetgiganten Google imitieren konnten, zeigt, wie professionell Angreifer heute vorgehen. Dies erhöht die Wahrscheinlichkeit, Opfer eines Angriffes zu werden deutlich und Vorfälle wie diese sollten vor allem für Firmen ein Warnhinweis sein. Abgesehen von der zuvor beschriebenen Methode gibt es unzählige andere Möglichkeiten für Angreifer, sich persönliche Daten und Unternehmensdaten anzueignen. Zu den beliebtesten Dokumenttypen für Phishing-Angriffe zählen Stellenbeschreibungen, Stellenangebote sowie Lebensläufe. Gerade vor dem Hintergrund, dass es für Entscheider nicht ungewöhnlich ist, solche Dokumente im Anhang zugesandt zu bekommen, wirken diese nicht selten vertrauenswürdig. Werden diese Anhänge schließlich geöffnet, können die Folgen verheerend sein.
Generell beim Phishing gilt: Der Empfängerkreis ist oftmals wesentlich kleiner als beispielsweise bei großangelegten Spam-Wellen, die teilweise an Millionen von Empfängern gesendet werden. Zwar gibt es wie oben beschrieben auch größer angelegte Angriffe, aber gerade gezielte Angriffe sind häufig noch personalisierter und erscheinen dadurch noch glaubwürdiger. Beim sogenannten Spear-Phishing werden sogar nur ein bis zwei Personen direkt ins Visier genommen. Im Zuge dieser Unterart des klassischen Vorgehens handelt es, um die Analogie des „Fischens“ aufzugreifen, um einen Angriff mit einem Speer, bei dem ein einzelner Fisch erbeutet werden soll anstatt ein ganzes Netz mehrerer Fische. Um ihre Erfolgschancen zu erhöhen, gehen also Phishing-Angreifer vermehrt persönlicher vor. Sie verwenden den Namen des Adressaten und integrieren unter Umständen auch dessen Interessen, den geografischen Standort oder in der Vergangenheit besuchte Geschäfte.
Hierbei stellt sich die Frage, woher die Angreifer diese Informationen beziehen. In Zeiten von Facebook, Twitter & Co. können Betrüger viele persönliche Daten ihrer potenziellen Opfer direkt in den sozialen Netzwerken einsehen. Weiterhin ist es nicht unüblich, dass Cyber-Kriminelle Informationen Firmen-Dokumenten auf der Unternehmenswebsite entnehmen und sogar befreundete Nutzer innerhalb der sozialen Netzwerke anschreiben. Dabei tun Angreifer alles, um das Vertrauen ihrer Opfer zu gewinnen – auch wenn dies beinhaltet, das E-Mail-Konto eines befreundeten Nutzers zu hacken, um von dort aus Nachrichten zu verschicken. Wird diese gefälschte Nachricht eines vermeintlich vertrauenswürdigen Empfängers geöffnet, so kann der Angreifer sich schließlich Zugriff auf wichtige Daten verschaffen, seien diese persönlicher Natur oder aber auch kritische Geschäftsdaten.
Generell empfiehlt es sich, E-Mails und deren Empfängern gegenüber höchst kritisch zu sein – sogar, wenn diese von bekannten Absendern stammen. Aus unternehmerischer Perspektive sollten Betriebe unbedingt sicherstellen, dass eine Richtlinie zur Nutzung sozialer Medien vorhanden ist und ihre Mitarbeiter anweisen, nicht zu viele Informationen preiszugeben. Mit Hilfe dieser Richtlinien können Unternehmen genauestens festlegen, auf welche Webseiten und Inhalte Mitarbeiter während der Arbeitszeit Zugriff haben. Im Behördenumfeld ist es beispielsweise Mitarbeitern untersagt, in sozialen Netzwerken anzugeben, wer ihr Arbeitgeber ist, oder Fotos von Gebäuden oder Kollegen öffentlich zu machen. Auch wenn dies anderen Betrieben extrem erscheinen mag, gibt es doch zahlreiche Firmen, die dies für eine sinnvolle Maßnahme halten, um das Risiko möglichst gering zu halten. Insgesamt ist es schließlich das Ziel, das Risiko für Unternehmen, aber auch für die einzelnen Mitarbeiter zu minimieren.
Auch sollten Betriebe über die Investition in eine moderne und ganzheitliche Security-Lösung nachdenken, die dabei hilft, den Internetverkehr des Unternehmens effektiv zu schützen . Idealerweise bietet die Lösung mehr, als das Netzwerk lediglich vor Viren und Schadsoftware zu sichern. Eine umfassende Sicherheitssoftware prüft jeglichen HTML-, Web 2.0-, und HTTPS-Verkehr und analysiert diesen genauestens. Dadurch haben Firmen eine individuell anpassbare Kontrolle über die Informationen, auf die online zugegriffen wird oder die mit anderen geteilt werden – ungeachtet der Frage, ob es sich um das Surfen im Internet handelt oder um den unerwünschten Abfluss sensibler Unternehmensdaten.
Gastbeitrag von Michael Kretschmer, VP EMEA von Clearswift RUAG Cyber Security