Google+ Facebook Twitter XING LinkedIn GoogleCurrents YouTube

IT-Sicherheit jenseits des Spam-Filters

Die E-Mail ist nicht das einzige Einfallstor für Viren, Trojaner und Malware

| Autor / Redakteur: Attila Misota / Carmen Kural

Feng Yu / stock.adobe.com
Feng Yu / stock.adobe.com (Spam und Phishing-Mails sind von jeher ein Katz-und-Maus-Spiel.)

Dass wir keiner E-Mail trauen sollten, die uns einen unerwarteten Lotto-Gewinn verspricht, oder es den afrikanischen Prinzen gar nicht gibt, der mit unserer Hilfe ein großes Vermögen ins Ausland transferieren möchte, das ist den meisten von uns mittlerweile klar. Die Tatsache, dass solche E-Mails jedoch immer noch im Umlauf sind, spricht jedoch für die anhaltende Wirksamkeit der betrügerischen Maschen.

Spam und Phishing-Mails sind von jeher ein Katz-und-Maus-Spiel. Während Betrüger versuchen, mit immer elaborierten Methoden Malware zu platzieren oder Daten abzugreifen, rüsten die IT-Sicherheitslösungen immer weiter auf. Lücken finden sich dennoch immer wieder – im E-Mail-System ebenso wie durch menschliche Schwächen. Es gilt daher im Rahmen der digitalen Zuverlässigkeit von Wirtschaftsunternehmen nicht nur Lücken in der IT zu schließen, sondern auch Mitarbeiterinnen und Mitarbeiter auf eine immer ausgefeiltere und größer werdende Bedrohung in Zeiten von Datendiebstählen und Industriespionage aufzuschlauen!

Wenn es was zu gewinnen gibt, setzt der Verstand aus

Die spanische Weihnachtslotterie „El Gordo“ ist die höchstdotierte Lotterie der Welt. Und auch wenn die Gewinnchancen mit 1:100.000 im Vergleich zu unserem LOTTO 6aus49 sogar relativ hoch sind, so wird sicher kaum einer der abertausenden Empfänger von E-Mail-Gewinnbenachrichtigungen diese Lotterie tatsächlich gewonnen haben (mal abgesehen davon, dass dies nicht per E-Mail bekanntgegeben wird). Und trotzdem funktioniert das System. Der Verstand setzt aus und wir klicken auf den Link in der E-Mail. Es könnte ja doch vielleicht sein… Nein, kann es nicht.

Unternehmens-Inboxen erreichen solche E-Mails heute kaum noch, dafür sorgt der professionelle Spam-Filter. Was aber, wenn es dennoch eine E-Mail in das Postfach schafft? Unsere Kunden wenden sich immer häufiger mit der Bitte an uns, zu testen, wie Angestellte auf Phishing-Mails reagieren. Dafür schicken wir im Auftrag des Kunden Test-E-Mails von einem zentralen Server an ausgewählte Empfängergruppen. Kommt eine E-Mail generisch, unpersönlich und ohne Kontext daher, wird sie schnell als „gefährlich“ eingestuft. Wird der Mitarbeiter aber persönlich angesprochen, ein individueller Kontext hergestellt und zum Abrufen eines Mitarbeiter-Benefits auf vermeintlich internen Seiten aufgefordert, so schwindet die Skepsis schnell und die eigenen Anmeldedaten werden eingegeben. Wenn jetzt noch die Absenderadresse auf den ersten Blick stimmt, etwa INF0@Betrieb.de statt INFO@Betrieb.de, dann gibt es kein Halten mehr. Je detaillierter die Angaben in der vermeintlichen Phishing-Mail, desto höher sind die Klickzahlen. Nach unseren Erfahrungen können mit solchen Versuchsaufbauten in fast jedem Unternehmen Rückläuferzahlen von 80-90 Prozent erreicht werden. Und was im Testaufbau funktioniert, ist bereits gelebte, betrügerische Realität im tagtäglichen Wirtschaftsgefüge.

Dabei geht es hier nicht um simples Phishing sondern vielmehr um dedizierte Angriffe auf geistiges Eigentum oder gezielte Sabotage und Erpressung. Das Einfallstor wird gezielt ausgewählt. Der Aufwand ist hoch, doch bei Erfolg die Mühen wert.

Wie raffiniert Betrüger mittlerweile vorgehen, erlebte kürzlich der IT-Verlag Heise am eigenen Leib (und arbeitete das Erlebte hier auf). Am 13. Mai öffnete ein Mitarbeiter eine E-Mail, die sich auf einen zitierten, echten Geschäftsvorgang bezog. Die E-Mail stammte scheinbar von einem Geschäftspartner und forderte dazu auf, die Daten im angehängten Word-Dokument zu kontrollieren und bei Bedarf zu ändern. Beim Öffnen des Dokuments erschien eine (gefälschte) Fehlermeldung, die dazu aufforderte, „Enable Editing“ anzuklicken. Dieser Aufforderung kam der Mitarbeiter nach – und im Hintergrund infizierte die Schadsoftware Emotetsein System und begann sofort, sein Unwesen im Heise-Netz zu treiben.

Neugier schützt vor Schaden nicht

Das Dokument im Anhang oder der Link in der E-Mail sind jedoch bei weitem nicht mehr die einzigen – wenngleich mittlerweile am weitesten entwickelten – Einfallstore. Die Neugier des Menschen und ein gewisses Urvertrauen bieten weitere Sicherheitslücken. Lücken, die das IT-Management meist gar nicht auf dem Zettel hat.

Was würden Sie machen, wenn Sie in der Tiefgarage Ihres Unternehmens einen USB-Stick finden, der wie zufällig verloren zwischen den Autos liegt? Geben Sie ihn am Empfang ab? Übergeben Sie ihn sogar der IT-Abteilung? In den meisten Fällen, in denen so ein Vorfall simuliert wird, siegt die Neugier des Menschen. Bei unseren Tests wird von 20 „verlorenen“ USB-Sticks mindestens die Hälfte „aktiviert“. Der USB-Stick wird am Rechner angeschlossen – meist der firmeneigene auf Grund der räumlichen Nähe – um zu sehen, was drauf ist oder wer der rechtmäßige Eigentümer ist. Was simpel klingt, ist eine reale Bedrohung. Kaum ist der Stick angeschlossen, können Schadprogramme den Rechner und das Netzwerk infizieren.

Ein weiterer standardmäßiger Testaufbau lotet aus, wie weit eine Person physisch ins Unternehmen vordringen kann. Natürlich braucht es hier ein wenig Raffinesse, denn oftmals wird schon am Einlass ein Ausweis benötigt. Aber allzu häufig kommt ein vermeintlicher Techniker oder Lieferant an dieser Hürde schnell vorbei. Nicht aufgrund einer technischen, sondern einer menschlichen Fehleinschätzung. Eine gute Story und vielleicht der Name eines realen Kollegen, der den Techniker angefordert haben soll, und schon wird die Person durchgewunken. Wir glauben an das Gute im Menschen, müssen aber leider mehr und mehr erkennen, dass eben dieses Urvertrauen auch Kriminellen die Tür öffnen kann.

Es beginnt am Anfang

Mitarbeiterinnen und Mitarbeiter müssen sensibilisiert werden, wie sie mit Spam und verdächtigen E-Mails umgehen. Ebenso muss das Bewusstsein vermittelt werden, wem die Tür geöffnet wird und das unbekannte Personen, ohne sichtbaren Firmenausweis direkt angesprochen werden müssen. Wenn es um das Thema digitale Sicherheit geht, sehen IT-Abteilungen oft nur die E-Mail als primäres Einfallstor. Schon beim ersten Termin vor Ort, dem Parken des Autos oder dem Betreten des Geländes fallen jedoch oftmals schon weitere potenzielle Schwachstellen auf. Diese sind nicht so offensichtlich, aber nicht minder risikobehaftet.

Von Schulungen und Trainings, über Feldversuche und deren Auswertung bis hin zu Verhaltensregeln mit ungesicherten WLAN-Verbindungen, Druckern oder der Entsorgung sensibler Daten: Die Belegschaft muss umfassend in das Thema IT-Sicherheit eingebunden werden. Gamification hat sich hier als nachhaltiges Mittel zum Wissenstransfer bewährt, vor allem um Aspekte der IT-Sicherheit in den privaten Alltag zu integrieren. Denn nur so nehmen Mitarbeiterinnen und Mitarbeiter die Informationen aus der Sensibilisierung auch mit in den Arbeitsalltag. Was passiert, wenn ich eine Spam-E-Mail bekomme, eine komische Direktnachricht oder einen seltsamen Anruf erhalte? An wen kann und muss ich mich wenden? Wie muss ich mein Passwort zusammensetzen? Wie gehe ich mit einem gefundenen USB-Stick um? Und wie sollte ich mein privates Smartphone verwenden? Das Thema IT-Sicherheit muss über den Spamfilter hinaus in das Bewusstsein der Führungsetage gebracht werden – angefangen beim ganz Grundsätzlichen. Was wir privat nicht machen würden, das sollte auch im Unternehmen tabu sein, egal ob es darum geht, fremde Menschen ins eigene Haus zu lassen oder den Post-it mit dem Geheimzahl auf die EC-Karte zu kleben.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Themen-Newsletter Management & IT abonnieren.
* Ich bin mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung einverstanden.
Spamschutz:
Bitte geben Sie das Ergebnis der Rechenaufgabe (Addition) ein.

Industrial Usability 2019

Das Anwendererlebnis im Mittelpunkt

Wie sieht eine erfolgreiche UX-Strategie aus? Ein Glück in Sachen Alleinstellungsmerkmal: Eine für alle, die gibt es nicht. Dieses Dossier bietet verschiedene aktuelle Ansätze und Trends in der Industrial Usability. lesen

Effizienzsteigerung

Mit Künstlicher Intelligenz erfolgreich durchstarten

Wie Sie Ihr erstes KI-Projekt starten, wie sich die Branche verändern wird und welche Best Practices es heute schon gibt – hier finden Sie die Fakten und das nötige Grundlagenwissen! lesen