Machtlos gegen Ransomware und Co.?

bei

 / 13. October. 2017

Die Deutsche Bahn, die Schiffsreederei Maersk, oder das MDAX-Mitglied Leoni – die Liste an teils prominenten Opfern von Erpressersoftware, der Chefmasche oder anderen Cyberangriffen per E-Mail steigt gefühlt seit einigen Monaten stetig an. Nicht selten erreichen die Schäden bei solchen Angriffen siebenstellige Zahlen. Dadurch stellt sich zwangsläufig die Frage: Wenn selbst globale Unternehmen es nicht schaffen, sich vor solchen Angriffen wirksam zu schützen, wie sollen sich dann kleinere und mittelständische Firmen davor wappnen? Oder sollten sie kapitulieren und fatalistisch darauf warten, dass ein Angreifer die Unternehmensdaten und -netzwerke kapert und lahmlegt?

Sicherlich sind solche Überlegungen wenig hilfreich, dennoch ist eines augenscheinlich: Die Zeiten, in denen ein klassischer Spamfilter ausreichte, um sich vor gefährlichen E-Mails zu schützen, sind vorbei. Lag die Zahl an „normalen“ Spammails auf den gesamten E-Mail-Verkehr betrachtet vor acht Jahren bei nahezu 100 Prozent und waren Virenmails nahezu nicht existent, hat sich diese Zahl nun deutlich verändert. Der Anteil an Spamnachrichten ist auf etwa 60 Prozent gesunken, während sich im gleichen Zeitraum der Anteil an E-Mails mit Schadsoftware etwa verzehnfachte. Das Geschäftsfeld mit betrügerischen E-Mails hat sich also in Richtung von Dateianhängen mit bösartigen Absichten verschoben. Doch was bedeutet das für die Sicherheit von Unternehmen und Konzerne?

Eindringlinge auf dem Rücken der E-Mail

Generell ist die E-Mail nach wie vor der Angriffsvektor Nummer eins für Cyberkriminelle. Der Unterschied ist jedoch, dass hochentwickelte, dynamische und oftmals individualisierte Attacken mittlerweile die breit angelegten, einfach zu erstellenden Massenmailings abgelöst haben. Der Grund hierfür liegt in den Abwehrmaßnahmen, die die Security-Anbieter entwickelt haben. So reichten bisher standardisierte, signatur-basierte Filtersysteme aus, um sich gegen die Spam-Mails zur Wehr zu setzen und diese unwirksam werden zu lassen. Die Cyberkriminellen mussten daher neue Verfahren entwickeln, um ihr Ziel zu erreichen. Die Folge: Ein Katz-und-Maus-Spiel zwischen Malware-Entwicklern und Anbietern von Sicherheits-Lösungen, in dem auch heute noch die Angreifer stets die Nase vorne zu haben scheinen. Denn bei der Evolution von Attacken per E-Mail müssen die Security-Anbieter ihre Filtermethoden auf immer neue Varianten, Versionen und Einfälle anpassen.

Dabei sind die Angriffe der Cyberganoven längst nicht mehr nur auf digitaler Ebene angesiedelt, sie bedienen sich vielmehr auch anderer Mittel. So ist zunehmend zu beobachten, dass insbesondere Führungskräfte zu den von Cyberattacken betroffenen Personengruppen von Unternehmen zählen. Dabei bedienen sich die Angreifer unter anderem einer altbewährten Angriffsform – dem Social Engineering, bei der gezielt nach personenbezogenen Informationen von Mitarbeitern gesucht wird. Eine Möglichkeit: Die klassische Recherche.

Die Angreifer unterziehen unter anderem Profile in sozialen Medien einer aufwendigen Untersuchung, um nähere Details über Unternehmensangehörige in Erfahrung zu bringen mit dem Ziel, Gepflogenheiten der Person im Fokus herauszufinden. Die Auskundschaftung dient primär der Vorbereitung einer digitalen Attacke, bei der die Kontaktaufnahme mit der Zielperson im Vordergrund steht.

Chefmasche: Präzision statt Schrotflinte

So geht das Social Engineering regelmäßig mit der Chefmasche, auch CEO-Fraud genannt, als Angriff einher. Dabei nutzen die Angreifer das vorhandene Wissen über eine Person, die berechtigt ist, zum Beispiel Geldsummen zu transferieren, zielgerichtet aus.

Diese Form der Cyberkriminalität bedient sich vorwiegend eines bereits angesprochenen Angriffsvektors – der E-Mail. E-Mail-Nachrichten werden derart professionell verfasst, dass sie schwer von einer tatsächlichen E-Mail eines Vorgesetzten unterschieden werden können. Zudem greifen keine der üblichen Abwehrmechanismen, da die E-Mails weder Dateianhänge noch Links auf Schadseiten im Internet beinhalten. Den Tätern ist keine Anstrengung zu groß, um den Betroffenen zu einer unbeabsichtigten Handlung zu bewegen. Sie nutzen vielmehr die gewonnenen persönlichen Informationen, um an ihr Ziel zu gelangen.

Wer aufmerksam Medienberichte zum Thema IT-Sicherheit verfolgt, wird bestimmt schon einmal mitbekommen haben, dass ein hochrangiger Mitarbeiter auf Anweisung eines Fremden einen Geldbetrag auf ein Auslandskonto angewiesen hat. Und genau hierum geht es bei einem CEO-Fraud. So betrug die globale Schadenssumme laut Angaben des Landeskriminalamtes Sachsen-Anhalt, in den vergangenen drei Jahren rund 3,1 Milliarden Euro. Eine enorme Höhe, die dafür spricht, dass CEO-Fraud weiterhin auf dem Vormarsch ist.

Ransomware ist ebenfalls eine populäre Angriffsform. Hierbei handelt es sich um polymorphe, also in verschiedenen ähnlichen Erscheinungsformen daherkommende Viren, mit denen Cyberganoven ganze Unternehmen zum Stillstand bringen können. Dabei verschlüsselt der Schadcode innerhalb weniger Sekunden sämtliche lokale Daten eines Computers, aber auch komplette Netzwerkdaten. Für Unternehmen, aber auch für öffentliche Einrichtungen, wie etwa Krankenhäuser, ein absolutes Horrorszenario. Denn entweder gelangen die Geschädigten erst durch die Zahlung eines Lösegeldes an den Entschlüsselungscode oder sie haben ein funktionierendes Backup-System. Auf eine Garantie – seitens der Erpresser – sollten die Betroffenen jedoch nicht setzen.

Eine weitere Brisanz geht von sogenannten Zero-Day-Angriffen aus. Diese nutzen gezielt frische, den Unternehmen und insbesondere den Herstellern unbekannte Sicherheitslücken aus – und das genau am Tag des Auftretens solcher Sicherheitslücken. Dieser Informationsvorsprung sorgt letztlich dafür, dass Unternehmen gar keine Möglichkeit besitzen, präventive Maßnahmen zu ergreifen, um entsprechende Angriffe abwehren zu können.

Wie Unternehmen mit der Situation umgehen sollten

Wichtig für Unternehmen ist, sich – falls noch nicht vorhanden – ein umfassendes Konzept im Bereich der IT-Sicherheit zu erarbeiten. Das bedeutet, dass Daten vor unautorisierten Zugriffen geschützt werden müssen, die Verfügbarkeit der Daten jederzeit zu gewährleisten ist und die Unveränderbarkeit der Informationen gegeben sein muss. Dies sind drei Grundpfeiler, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) als essenziell erachtet.

Die Aufdeckung potentieller Angriffspunkte steht dabei im Mittelpunkt. Neben der technischen Komponente gilt der Mensch weiterhin als einer der zentralen Einfallsvektoren. Awareness-Trainings für Mitarbeiter sind hierbei eine gute Basis, um sich mit den Angriffsmustern der Täter vertraut zu machen und somit unachtsamen Handlungen vorzubeugen.

Auf technischer Ebene wird es zukünftig nicht mehr ausreichen, lediglich auf eine Firewall oder ein Antivirenprogramm zu vertrauen. Die Angriffe von Cyberkriminellen zeichnen sich immer stärker durch eine stetige Dynamik sowie durch eine Vielzahl an Verschleierungsmechanismen aus. Für die Erkennung und Abwehr solch raffinierter Angriffe sind spezielle Analyse-Engines sowie Real-Time-Alert-Systeme notwendig.

Empfehlenswert ist daher, herkömmliche Tools – wie den Spam- oder Virenfilter – durch professionelle Forensic-Engines zu ergänzen. So werden beispielsweise verdächtige E-Mail-Anhänge auf Malware geprüft und ihr Verhalten über eine Sandbox Engine einer detaillierten Analyse unterzogen. Gleiches gilt für die Überprüfung von Links in E-Mails sowie beiliegenden Dateianhängen.

Finden Angriffe in personalisierter Form statt, können diese anhand von bestimmten Inhaltsmustern entsprechend klassifiziert werden. Dies gilt etwa für gefälschte Absenderadressen und fingierter Benachrichtigungen.

Oberste Priorität hat zudem immer der Schutz von sensiblen Unternehmensdaten. Daher empfiehlt sich die Ausweitung des IT-Schutzes nicht nur auf die Daten selbst, sondern ebenfalls auf die Transportwege. Neben der Integration von Backup-Lösungen, sollte insbesondere die E-Mail-Kommunikation durch Verschlüsselung vor Spionageangriffen oder Manipulation geschützt werden.

Ebenfalls ist die Implementierung eines IT-Notfallplans von Relevanz. Denn hat ein Angriff erst einmal ein Unternehmen infiltriert, müssen innerhalb kürzester Zeit entsprechende Gegenmaßnahmen zur Eingrenzung der Schäden getroffen werden. Gleiches gilt bei einem möglicherweise eintretenden Datenverlust. Auch hier gilt es, Lösungen implementiert zu haben, die die Aufrechterhaltung täglicher Geschäftsprozesse sicherstellen.

Beachten Unternehmen diese Schutzmaßnahmen, sind sie zwar immer noch nicht zu einhundert Prozent geschützt, aber alles andere als machtlos gegen die heutigen Cyberattacken und gut aufgestellt.

Christoph Maier, Autor des Artikels, wie Unternehmen per E-Mail betrogen werden.

Der Autor: Christoph Maier, PR & Marketing Manager bei Hornetsecurity. Ist seit elf Jahren im IT-Sektor tätig und leitet seit sieben Jahren den Bereich Marketing und PR bei den IT-Security-Spezialisten aus Hannover.

Vorheriger ArtikelSichere Häppchen
Nächster ArtikelDer Aufstieg der smarten Authentifizierung