Aufrufe
vor 1 Woche

Netzwoche 8/2019

  • Text
  • Kategorie
  • Kubernetes
  • Webcode
  • Devops
  • Schweizer
  • Schweiz
  • Netzmedien
  • Container
  • Swiss
  • Unternehmen

14 DOSSIER KOMPAKT

14 DOSSIER KOMPAKT E-Mail-Betrug In Kooperation mit Proofpoint Mitarbeiter im Visier von Cyberkriminellen Unternehmen können sich nur wirksam vor Cyberbedrohungen schützen, wenn sie verstehen, welche Angriffsformen vorherrschen, über welche Kanäle die Attacken stattfinden und wer im Visier der Kriminellen steht. Neben der Einführung technologischer Lösungen gilt es, die Mitarbeiter zu sensibilisieren. DER AUTOR Werner Thalmeier Senior Director System Engineering EMEA, Proofpoint Obgleich Social-Media-Plattformen zunehmend für Cyberangriffe genutzt werden, wird primär der E-Mail-Kanal als Einfallstor für Attacken missbraucht. Dabei werden die Methoden immer ausgefeilter. Waren in der Vergangenheit Tipp- und Grammatikfehler, aber auch fragwürdige Absender auffällige Indizien dafür, dass es sich um keine legitime E-Mail handelte, so werden diese E-Mails zunehmend professioneller und sind damit weitaus schwieriger von legitimen Nachrichten zu unterscheiden. Die Methoden sind so ausgefeilt, dass Cyberkriminelle es sogar fertigbringen, sich als Geschäftsführer auszugeben und die Finanzabteilung per E-Mail anzuweisen, hohe Beträge zu überweisen. E-Mail-Betrug stellt Cyberkriminellen bei niedriger Einstiegshürde zugleich hohe Gewinne in Aussicht – und noch immer sind nur Superlative zu vermelden: 410 Prozent Steigerung in nur einem Jahr und mehr Angriffe im vierten Quartal 2018 als in den sieben vorausgehenden Quartalen zusammen. So gehört der Kampf gegen E-Mail-Betrug ganz oben auf die Agenda einer jeden IT-Abteilung. VAP statt VIP Unternehmen können sich nur dann wirksam vor Cyberbedrohungen schützen, wenn sie verstehen, wer im Visier der Kriminellen steht. Denn diejenigen, die üblicherweise besonderen Schutz erfahren – der Vorstand, das obere Management –, sind nicht unbedingt auch diejenigen, gegen die sich Angriffe tatsächlich wenden. Richtig ist: Cyberangriffe richten sich gegen Personen auf allen Hierarchiestufen (über 70 Prozent der Phishing- und Malware- Angriffe sind aktuell gegen das untere Management und einfache Mitarbeiter gerichtet), und es gibt keinen statistischen Zusammenhang zwischen Unternehmensgrösse und der Wahrscheinlichkeit, Opfer eines E-Mail-Betrugs zu werden. Besonders gefährdet sind Personen, die Mitglied öffentlicher E-Mail-Aliasse sind (wie etwa kontakt@firma.ch). Gegenwärtig wenden sich 30 Prozent aller zielgerichteten Phishing-Angriffe gegen solch geteilte E-Mail-Konten, zu denen typischerweise zwei oder mehr Personen Zugang haben. IT-Sicherheitsabteilungen müssen sich auch darüber im Klaren sein, wie schnell Cyberkriminelle ihren Fokus verschieben. So zeigen Untersuchungen, dass 87 Prozent der VAPs (Very Attacked Persons) im vierten Quartal 2018 im vorausgehenden Quartal noch nicht im Visier der Angriffe standen. Kampf gegen E-Mail-Betrug Im Bereich der technologischen Lösungen muss zuerst DMARC erwähnt werden. Dieser Standard zur E-Mail-Authentifizierung hilft Unternehmen die missbräuchliche Nutzung ihrer vertrauenswürdigen Domains zu verhindern und bietet damit effektiven Schutz für Mitarbeiter, Kunden als auch Geschäftspartner. Stand November 2018 nutzen 12 der 20 Unternehmen im Swiss Market Index DMARC, doch nur 3 davon – also 15 Prozent der SMI-Unternehmen – weisen Empfänger an, nicht korrekt authentifizierte E-Mails zu löschen, bevor sie die Adressaten erreichen, sodass sich auch hier noch ausreichend Chancen für Cyberkriminelle bieten. Und auch andere Formen des E-Mail-Betrugs, die sich über DMARC nicht stoppen lassen (z.B. über Look-alike-Domains oder Display Name Spoofing), bedürfen einer Lösung. Nicht zuletzt geht es aber darum, die Mitarbeiter für die Methoden Cyberkrimineller zu sensibilisieren und ihnen anhand Security-Awareness-Schulungen die unternehmensinternen Prozesse und Richtlinien zur IT-Sicherheit zu vermitteln. Nur so kann verhindert werden, dass Mitarbeiter weiterhin als Einfallstor für Cyberkriminelle missbraucht werden. ANGRIFFSZIELE Von den zielgerichteten Angriffen* richten sich gegenwärtig fast 30% gegen E-Mail Aliase. der E-Mail Adressen, die als Kernziele Cyberkrimineller 13% auffielen, standen im vorausgehenden Quartal noch nicht im Fokus; ein Beleg dafür, wie schnell die Angreifer ihren Schwerpunkt verlagern. Besonders Mitarbeiter in der Produktion und Verwaltung wurden mit einem Anteil von 22% Opfer zielgerichteter Angriffe.* Very Attacked Person (VAP) statt VIP Untere Managementebenen und einfache Mitarbeiter sind mit höherer Wahrscheinlichkeit von E-Mail Betrug betroffen. Unternehmensleitung Gehobenes Management In der Regel haben mehrere Personen Zugang zu solch geteilten E-Mail Konten. Vertrieb 14% Management 13% *Malware- und Zugangsdaten-Phishing Management Mitarbeiter 08 / 2019 www.netzwoche.ch © netzmedien ag

In Kooperation mit Proofpoint E-Mail-Betrug DOSSIER KOMPAKT15 « Die E-Mail bleibt der Angriffsvektor Nummer eins » Die E-Mail ist eine der einfachsten Mittel, um sich Zugang zu sensiblen Daten und Infrastrukturen zu verschaffen. Georgeta Toth, Senior Regional Director Zentral- und Osteuropa bei Proofpoint, erklärt im Interview, wer besonders im Fokus von Phishing-Attacken steht und wie Mitarbeiter auf solche Angriffe vorbereitet werden können. Interview: Kevin Fischer « Wichtig ist den Angreifern, dass ihre Zielperson Zugang zu Systemen und Prozessen hat, um so über die Mithilfe des unwissenden Mitarbeiters genau darauf Zugriff zu erhalten. » Georgeta Toth, Senior Regional Director Zentral- und Osteuropa, Proofpoint Im vierten Quartal 2018 gab es mehr E-Mail-Betrug als in den vorhergehenden sieben Quartalen zusammen. Was hat sich geändert? Georgeta Toth: E-Mail-Betrug ist ein lohnendes Geschäft. Hinzu kommt, dass die Einstiegshürde gering ist. Bei anderen Formen der Cyberkriminalität, die sich etwa gegen das Netzwerk eines Unternehmens richten, müssen Hacker viel Zeit darauf verwenden, ein ausgeklügeltes und fast unüberwindliches Sicherheitssystem zu bezwingen. Verglichen damit ist ein Phishing-Angriff sehr einfach zu bewerkstelligen, und noch immer fallen viele Nutzer arglos auf diese betrügerischen E-Mails herein. So bleibt die E-Mail Angriffsvektor Nummer eins – ein Trend, der exponentiell ansteigt. Artikel online: www.netzwoche.ch ▸ Webcode DPF8_136503 Wieso werden primär Mitarbeiter und das untere Management Ziel von Phishing-Attacken? Natürlich sind auch VIPs im Visier der Cyberkriminellen, doch wichtiger ist den Angreifern, dass ihre Zielperson Zugang zu Systemen und Prozessen hat, um so über die Mithilfe eines unwissenden Mitarbeiters genau darauf Zugriff zu erhalten. Wir haben einen Gefährdungs-Index entwickelt, der neben der Rolle des Mitarbeiters im Unternehmen auch seine Zugriffsberechtigung auf Unternehmenssysteme und die unterschiedlichen Angriffsformen der Cyberkriminellen, die oftmals genau auf diese verschiedenen Aufgaben der Zielpersonen zugeschnitten werden, mit einbezieht. So werden beispielsweise Personen mit hohem Zugriffslevel oft Ziel eines Angriffs mit versuchtem Diebstahl von Berechtigungen. Bei Personen, die sensible Daten verwalten, erfolgt der Angriff hingegen häufig mit Trojanern und Keyloggern. Warum sind besonders Mitglieder öffentlicher E-Mail-Aliasse im Visier von E-Mail-Betrügern? E-Mail-Aliasse haben – für Cyberkriminelle – drei klare Vorteile. Erstens kann so die Zahl der potenziellen Opfer direkt vergrössert werden, da die betrügerische E-Mail gleichzeitig an mehrere Adressaten geht. Zweitens sind die E-Mail-Adressen oftmals einfach zu erhalten, da sie auf Webseiten im Klartext veröffentlicht werden. Und drittens sind sie weitaus schwieriger zu schützen, da beispielsweise Multifaktor-Authentifizierung für E-Mail-Adressen, die sich mehrere Mitarbeiter teilen, nur schwer umsetzbar ist. Weshalb weisen so wenige KMUs Empfänger an, nicht authentifizierte E-Mails zu löschen, bevor diese den Adressaten erreichen? Bevor man technisch gesprochen die Richtlinie auf «reject» ändern kann, muss sichergestellt sein, dass sich alle legitimen E-Mail-Ströme auch wirklich korrekt authentifizieren. Deshalb nutzen Unternehmen erst einmal eine DMARC-Policy, die lediglich überwacht. Nachdem heute viele verschiedene Systeme, aber auch externe Dienstleister, legitime E-Mails verschicken, kann dies durchaus etwas komplexer sein; aber es lohnt sich, und Experten für E-Mail- Sicherheit können dabei helfen, den Prozess zu beschleunigen. Auf welche Weise können Mitarbeiter für die Methoden Cyberkrimineller sensibilisiert werden? Damit das gelingt, sind klassische Schulungen nicht ausreichend. Vielmehr muss man die wiederkehrenden Trainings um vorgetäuschte Cyberangriffe im Alltag ergänzen. Das bedeutet, dass unregelmässig – und unter Verwendung verschiedenster Bedrohungszenarien – Fake-Attacken durchgeführt werden. So wird sichergestellt, dass Mitarbeiter jederzeit mit einer Bedrohung für ihr Unternehmen rechnen und dementsprechend wachsam bleiben. Denn ohne einen umsichtigen Benutzer bietet selbst die beste technische Sicherheitslösung nur einen sehr begrenzten Schutz. www.netzwoche.ch © netzmedien ag 08 / 2019

Archiv