Cyberangriffe – Worauf Mittelständler sich einstellen müssen

Die häufigste Ursache für Cyberangriffe in Unternehmen sind nach wie vor Phishing-Angriffe – und diese werden zunehmend raffinierter. Mit der wachsenden Verfügbarkeit Künstlicher Intelligenz (KI) werden Phishing-Mails immer schwieriger zu erkennen. So hilft KI Betrüger:innen nicht nur dabei, Phishing-Angriffe zu automatisieren, sondern lässt diese auch deutlich authentischer erscheinen. Dies beginnt mit flüssigen, fehlerfreien Formulierungen und geht bis zur glaubhaften Imitation von Schreibstilen, Stimmen und Gesichtern von Vertrauten oder Vorgesetzten, die teilweise selbst für Cybersicherheitsexpert:innen nur schwer als Fake zu erkennen sind.

Die immer stärker verschwimmende Grenze zwischen privater und beruflicher Internetnutzung macht es Cyberkriminellen zusätzlich leichter, Unternehmen zu attackieren. Die Schwachstelle liegt dabei nicht zwingend in der Nutzung von Privatgeräten für die Arbeit, sondern darin, dass sich die durchschnittliche Nutzer:in, laut eines bekannten Analyse-Hauses, bei rund 40 Services und Apps mit nur einer einzigen E-Mail-Adresse registriert. Und das mit durchschnittlich nur fünf spezifischen Passwörtern, die häufig ebenfalls sowohl privat als auch beruflich genutzt werden. Hacker können durch einen gezielten Phishing-Angriff auf eine Privatperson somit schlimmstenfalls gleichzeitig Zugriff zum Netzwerk des Arbeitgebers erlangen.

Mittelstand besonders im Fokus

Insbesondere der Mittelstand liegt verstärkt im Fokus von Cyberangriffen. Im Rahmen einer Befragung im Auftrag der HDI-Versicherung gaben 39 Prozent der kleinen Unternehmen (10 bis 49 Mitarbeiter:innen) und 36 Prozent der mittelständischen Unternehmen (50 bis 249 Mitarbeiter:innen) an, im vergangenen Jahr Ziel einer Cyberattacke gewesen zu sein. Grund für den Anstieg der Angriffe auf kleine und mittlere Unternehmen (KMU) ist einerseits, dass sie ein vergleichsweise leichtes Ziel sind: Einem Großkonzern stehen schlichtweg mehr Ressourcen zur Verfügung, die in die eigene IT-Sicherheit investiert werden können. Darüber hinaus verfügen kleine und mittlere Unternehmen häufig über IT-Schnittstellen zu Großunternehmen, was sie zu einem beliebten Einfallstor für Angriffe macht, die auf größere Konzerne entlang der Lieferkette abzielen.

Die finanziellen und Image-Schäden, die ein erfolgreicher Cyberangriff verursachen kann, treffen  KMU meist besonders hart. Laut einer Bitkom-Umfrage fühlen sich mehr als die Hälfte der befragten Unternehmen (52 Prozent) durch Cyberattacken in ihrer Existenz bedroht. Präventivmaßnahmen und eine entsprechende Absicherung für den Ernstfall sind daher unverzichtbar.

MFA als wirksamer Schutz?

Multifaktor-Authentifizierung (MFA) ist ein sinnvoller Schritt hin zu mehr Cybersicherheit, reicht jedoch in der Regel nicht aus, um Unternehmen vor Cyberattacken zu schützen. Die Abfrage einer zusätzlichen Authentifizierung, wie E-Mail- und SMS-Verifizierungscodes, Push-Benachrichtigungen, einem biometrischen Login oder einer PIN, bietet zwar einen zusätzlichen Schutz; Cyberkriminelle haben jedoch verschiedene, mehrstufige Phishing-Methoden entwickelt, um diesen zu umgehen.

Ein Beispiel ist das sogenannte Prompt Bombing. Dabei „überschwemmen“ Angreifende das Opfer, nachdem sie sich Zugriff auf dessen E-Mail-Adresse oder Passwort verschafft haben, mit permanenten Login-Versuchen – häufig getarnt als Anfrage des IT-Supports. Wird eine solche Authentifizierungsaufforderung aus Unachtsamkeit oder blindem Vertrauen bestätigt, gewährt sie den Hackern Zugriff auf den Account des Opfers und somit Zugang zu wertvollen Daten. In vielen Fällen geschieht dies, ohne dass das Opfer überhaupt etwas davon merkt. Ein anderes Beispiel, das für Nutzer:innen häufig noch schwieriger zu durchschauen ist, sind Adversary-in-the-Middle-Angriffe (AiTM). In diesem Fall fangen Kriminelle aktiv den Datenverkehr zwischen der Benutzer:in und dem legitimen Service ab und manipulieren ihn.

Die Folge: Auch Authentifizierungs-Verfahren, die mehrere Faktoren nutzen, sind nicht per se sicher. Worauf sollten Unternehmen also achten, um ihre MFA-Lösung sicherer zu machen?

Phishing-sicher – aber wie?

Ein guter Ansatz für eine erhöhte IT-Sicherheit ist das Zero-Trust-Prinzip. Eine MFA, die nach dem Zero-Trust-Prinzip agiert, misstraut grundsätzlich zunächst allen Anmeldeversuchen und Anwendungen und bietet so eine zusätzliche Sicherheitsebene. Sie stellt sicher, dass jeder Zugriff auf das Netz, die Daten und die Anwendung ausdrücklich authentifiziert und überprüft wird. Transitives Vertrauen ergänzt die Zero-Trust-Prinzipien. Transitives Vertrauen stellt sicher, dass eine Transaktion nur über einen vertrauenswürdigen Dienst von einem vertrauenswürdigen Gerät ausgeführt werden kann, das mit einem vertrauenswürdigen Nutzer gekoppelt und unter der vollständigen Kontrolle des Nutzers autorisiert ist. Es entfernt das blinde Vertrauen zwischen dem Nutzer und dem rechtmäßigen Dienstanbieter.

Noch weiter geht die sogenannte „Same Device MFA“, die die Authentifizierungsschnittstelle des Endgeräts für den Login verwendet. Beispiele sind die Verwendung biometrischer Daten und PIN-Systeme. Die Eingabe und Kombination der Daten ist dabei fest an das registrierte Gerät der Endnutzer:in gebunden – eine zusätzliche Hürde für Angreifer:innen von außen. Sensible Anmeldedaten wie kryptografische Verschlüsselungsschlüssel sollten zudem bestenfalls dezentral auf dem Gerät gespeichert werden. So bietet die Ablage im Sicherheitschip der Geräte einen zusätzlichen Schutz im Vergleich zu der Ablage in einer zentralisierten Cloud-Lösung. Ferner bieten bedingte Zugriffsrichtlinien einen weiteren Schutz, indem sie den Zugang ausschließlich auf autorisierte Geräte beschränken.

Nicht zuletzt helfen Standards wie WebAuthn und hardwaregestützte kryptografische Techniken, den Authentifizierungsprozess vor Phishing-Angriffen zu schützen. Die Authentifizierung nach dem W3C WebAuthn-Standard kommt ohne Passwörter aus. Stattdessen nutzt sie kryptografische Methoden, um die Identitäten von Nutzer, Gerät und System gegenseitig zu verifizieren. Der offene, lizenzfreie Standard setzt auf Hardware-unterstützte Authentifizierung, wie beispielsweise Fingerabdruck und Gesichtserkennung, um Phishing-Attacken wertlos zu machen.

Fazit: Gefahren effektiv vorbeugen

Phishing-Attacken werden immer raffinierter und sind auch für Expert:innen zunehmend schwerer auf den ersten Blick zu erkennen. Insbesondere kleine und mittlere Unternehmen laufen aufgrund  geringerer Investitionen in die IT-Sicherheit und des Zugangs, den sie zu größeren Organisationen bieten können, Gefahr, Opfer von Cyberattacken zu werden. Entsprechende Schutzmaßnahmen wie der Einsatz von Same Device MFA oder die Einhaltung des W3C WebAuthn-Standards sind daher essentiell. Darüber hinaus gilt es jedoch auch den Faktor Mensch stets im Blick zu behalten, wachsam zu bleiben und Mitarbeiter regelmäßig für solche Szenarien zu schulen.