Minecraft oder Mathematikunterricht: Was könnte die Ursache für den nächsten Social-Engineering-Angriff sein?

bei

 / 20. December. 2020

Das Homeoffice ist mittlerweile für viele Arbeitnehmer zur Normalität geworden: Wie eine Befragung vom Fraunhofer Institut für Arbeitswirtschaft und Organisation (IAO) [1] gemeinsam mit der Deutschen Gesellschaft für Personalführung (DGFP) im Mai dieses Jahres herausfand, gaben damals fast 70 Prozent der befragten Unternehmen an, dass Mitarbeiter komplett oder größtenteils von Zuhause aus arbeiteten. Weitere 21 Prozent gaben an, ihre Belegschaft aufgeteilt zu haben: Die einen fahren ins Büro, der andere Teil bleibt Zuhause. Bei allen Vorteilen bezüglich größerer Flexibilität stellt Remote Work gerade für Eltern auch eine Doppelbelastung dar, wenn zusätzlich der Unterricht via Zoom unterstützt werden muss. Auch in Sachen IT-Security ist es problematisch, wenn auf einmal die ganze Familie Zuhause ist. Denn: Der Mathematikunterricht von Zuhause aus stellt eine klare und gegenwärtige Bedrohung für Unternehmensdaten dar – und auch wenn viele Entscheider und Mitarbeiter dies nicht glauben wollen –  Online-Spiele wie etwa Minecraft könnte sehr wohl die Ursache für den nächsten Social-Engineering-Angriff auf Unternehmensebene sein.

Remote Work und Homeschooling: Doppelbelastung für die IT-Sicherheit

Auch wenn die Schulen in Deutschland im Verlauf der letzten Wochen wieder öffneten, wird es wohl noch einige Zeit dauern, bis der normale Regelbetrieb wieder ermöglicht werden kann. Was vielen nicht bewusst ist: Mit dem vermehrten Aufkommen von Online-Lernen von Zuhause aus ist gleichzeitig – und vielleicht unbewusst – die Angriffsfläche von Betrieben für Cyberangriffe exponentiell gewachsen. Dies ist nicht verwunderlich, denn in der Praxis sieht es so aus: Kinder leihen sich die alten, ungepatchten Laptops ihrer Eltern aus, laden ein halbes Dutzend neuer Lernanwendungen herunter oder melden sich bei einem halben Dutzend neuer Lernanwendungen an. Nachdem der Zoom-Unterricht für den Tag beendet ist, machen sich einige für einen Abend mit Spielen oder Videostreaming bereit. In der Zwischenzeit loggen sich erschöpfte Eltern von ihren Firmen-Laptops aus in dieselben Lernanwendungen ein oder checken ihre Arbeits-E-Mails von einem persönlichen Gerät aus.

Die Leichtigkeit, mit der ein Hacker von einem persönlichen Konto zu einem Firmenkonto wechseln kann, wird immer offensichtlicher, und die Kombination aus vermehrter Nutzung des Homeoffices und Fernunterricht ist für Unternehmen nicht unbedingt hilfreich. Für alle, die ihre Firma vor Malware und Cybersicherheitsvorfällen schützen müssen, gibt es folgende Punkte, die in der „Back-to-School“-Saison 2020 berücksichtigt werden sollten.

Die Familien der Mitarbeiter sind auch gleichzeitig User von Firmenhardware

Verantwortliche können zu keinem Zeitpunkt sicher sein, dass die Person, die sich auf dem vom Unternehmen ausgegebenen Laptop einloggt, tatsächlich der VP of Sales ist, oder dessen 10-jähriges Kind, das bei seinen Hausaufgaben eine strenge Abgabepflicht hat. Genauso wenig können sie sicher sein, dass ein normalerweise vorsichtiger Mitarbeiter in der Buchhaltung nicht über dasselbe Gerät auf das Finanzsystem zugreift, das jemand anderes in seinem Haushalt am Abend zuvor für ein zweistündiges Videospiel verwendet hat.

Ganz gleich, wie Entscheider es drehen und wenden – es ist möglich, dass die Familienmitglieder der Mitarbeiter ihre Firmen-PCs für schulische Zwecke nutzen und dass sich die Mitarbeiter von persönlichen Geräten aus in Arbeitsanwendungen einloggen.

Die Benutzer sind anfälliger für einen Phishing-Angriff

Fernunterricht ist derzeit noch ein Flickenteppich aus hastig zusammengestellten Anwendungen und Online-Diensten, die jeweils separate Anmeldungen erfordern. Dies ist verwirrend, und Hacker operieren bekanntermaßen in einem Umfeld von Verwirrung besonders effektiv. Für einen Angreifer ist es einfach, einen dieser Dienste zu kompromittieren und eine gefälschte Aufforderung zur Passwortrücksetzung zu versenden, worauf gestresste Eltern und Kinder hereinfallen werden. Im Allgemeinen gilt außerdem: Wir Menschen sind in Zeiten der Angst und Unsicherheit viel anfälliger für Social-Engineering-Angriffe – Hacker blühen in diesem Klima dagegen auf.

Die Grenze zwischen der Übernahme persönlicher Konten und Sicherheitsverletzungen in Unternehmen verschwindet

Da sich die Bildschirminhalte zu Hause und am Arbeitsplatz häufig verwischen, ist es für einen Hacker mit Zugriff auf das persönliche Konto eines Benutzers – zum Beispiel eine Lernanwendung, ein Gaming-Konto oder Google Mail – viel einfacher, durch einfache Spoofing-Techniken Zugangsdaten für ein Firmenkonto zu erlangen. Wie Sicherheitsprofis wissen, ist dies natürlich nicht neu – viele größere Sicherheitspannen im Unternehmen haben mit einem kompromittierten persönlichen Konto begonnen. Doch in diesen Zeiten ist es für einen Hacker mit Zugriff auf einen Arbeitscomputer um ein Vielfaches einfacher und schneller, sich mit gefälschten Zugangsdaten bei einem Firmen-VPN anzumelden oder die Arbeits-E-Mail eines Benutzers zu lesen, wenn dieser zu Zuhause ist.

Bedenkt man diese Punkte, wird klar, dass sich die Art und Weise, wie Entscheider an das Thema Unternehmenssicherheit herangehen, dringend ändern muss. Vorbei sind die Zeiten, in denen sie ihre privilegiertesten Benutzer schützen mussten. Es spielt keine Rolle, wie Kriminelle in das betriebliche Netzwerk gelangen – der Punkt ist, sobald sie einmal drin sind, können sie auf fast alle Daten und Anwendungen zugreifen, die sie wollen – und Hacker werden immer den Weg des geringsten Widerstands gehen.

Um inmitten der Arbeit von entfernten Standorten aus und darüber hinaus sicher zu bleiben, sollten sich Unternehmen deshalb eine Zero-Trust-Mentalität aneignen und jeden Benutzer, zu jeder Zeit und bei jedem Dienst authentifizieren. Hierzu sollten Verantwortliche dringend auf eine starke und hochsichere Form der Authentifizierung setzen, etwa mithilfe von Hardware-Authentifizierungstoken. Diese können nicht durch E-Mail-Phishing-Attacken oder Man-in-the-Middle-Angriffe gefälscht werden, und ermöglichen eine nahtloses User-Experience, ohne den Arbeitsfluss zu behindern.

Also, Minecraft oder Matheunterricht? Beides könnte der Ursprung des Social Engineering-Angriffs sein, der Kriminellen den Zugang zu sensiblen Unternehmensdaten gewährt. Eines ist sicher: Solange Betriebe keine starke Authentifizierung für alle Remote-Mitarbeiter aktiviert haben, werden Hacker die aktuelle Situation ausnutzen und einen Weg in das Netzwerk finden. Passen Entscheider aber ihr Sicherheitsniveau der aktuellen Bedrohungslage an und setzen auf konsequente und sichere Authentifizierung, sind sie gut gewappnet für die „Neue Normalität“.

Quellen und Referenzen

[1] https://www.iao.fraunhofer.de

 

Über den Autor / die Autorin:


Alexander Koch ist VP Sales DACH & CEE bei Yubico.