Alle Beiträge von Atilla Misota

MM - Management & IT

Die E-Mail ist nicht das einzige Einfallstor für Viren, Trojaner und Malware

Schreibe einen Kommentar

Spam und Phishing-Mails sind von jeher ein Katz-und-Maus-Spiel. Während Betrüger versuchen, mit immer elaborierten Methoden Malware zu platzieren oder Daten abzugreifen, rüsten die IT-Sicherheitslösungen immer weiter auf. Lücken finden sich dennoch immer wieder – im E-Mail-System ebenso wie durch menschliche Schwächen. Es gilt daher im Rahmen der digitalen Zuverlässigkeit von Wirtschaftsunternehmen nicht nur Lücken in der IT zu schließen, sondern auch Mitarbeiterinnen und Mitarbeiter auf eine immer ausgefeiltere und größer werdende Bedrohung in Zeiten von Datendiebstählen und Industriespionage aufzuschlauen!

Wenn es was zu gewinnen gibt, setzt der Verstand aus

Die spanische Weihnachtslotterie „El Gordo“ ist die höchstdotierte Lotterie der Welt. Und auch wenn die Gewinnchancen mit 1:100.000 im Vergleich zu unserem LOTTO 6aus49 sogar relativ hoch sind, so wird sicher kaum einer der abertausenden Empfänger von E-Mail-Gewinnbenachrichtigungen diese Lotterie tatsächlich gewonnen haben (mal abgesehen davon, dass dies nicht per E-Mail bekanntgegeben wird). Und trotzdem funktioniert das System. Der Verstand setzt aus und wir klicken auf den Link in der E-Mail. Es könnte ja doch vielleicht sein… Nein, kann es nicht.

Unternehmens-Inboxen erreichen solche E-Mails heute kaum noch, dafür sorgt der professionelle Spam-Filter. Was aber, wenn es dennoch eine E-Mail in das Postfach schafft? Unsere Kunden wenden sich immer häufiger mit der Bitte an uns, zu testen, wie Angestellte auf Phishing-Mails reagieren. Dafür schicken wir im Auftrag des Kunden Test-E-Mails von einem zentralen Server an ausgewählte Empfängergruppen. Kommt eine E-Mail generisch, unpersönlich und ohne Kontext daher, wird sie schnell als „gefährlich“ eingestuft. Wird der Mitarbeiter aber persönlich angesprochen, ein individueller Kontext hergestellt und zum Abrufen eines Mitarbeiter-Benefits auf vermeintlich internen Seiten aufgefordert, so schwindet die Skepsis schnell und die eigenen Anmeldedaten werden eingegeben. Wenn jetzt noch die Absenderadresse auf den ersten Blick stimmt, etwa INF0@Betrieb.de statt INFO@Betrieb.de, dann gibt es kein Halten mehr. Je detaillierter die Angaben in der vermeintlichen Phishing-Mail, desto höher sind die Klickzahlen. Nach unseren Erfahrungen können mit solchen Versuchsaufbauten in fast jedem Unternehmen Rückläuferzahlen von 80-90 Prozent erreicht werden. Und was im Testaufbau funktioniert, ist bereits gelebte, betrügerische Realität im tagtäglichen Wirtschaftsgefüge.

Dabei geht es hier nicht um simples Phishing sondern vielmehr um dedizierte Angriffe auf geistiges Eigentum oder gezielte Sabotage und Erpressung. Das Einfallstor wird gezielt ausgewählt. Der Aufwand ist hoch, doch bei Erfolg die Mühen wert.

Wie raffiniert Betrüger mittlerweile vorgehen, erlebte kürzlich der IT-Verlag Heise am eigenen Leib (und arbeitete das Erlebte hier auf). Am 13. Mai öffnete ein Mitarbeiter eine E-Mail, die sich auf einen zitierten, echten Geschäftsvorgang bezog. Die E-Mail stammte scheinbar von einem Geschäftspartner und forderte dazu auf, die Daten im angehängten Word-Dokument zu kontrollieren und bei Bedarf zu ändern. Beim Öffnen des Dokuments erschien eine (gefälschte) Fehlermeldung, die dazu aufforderte, „Enable Editing“ anzuklicken. Dieser Aufforderung kam der Mitarbeiter nach – und im Hintergrund infizierte die Schadsoftware Emotetsein System und begann sofort, sein Unwesen im Heise-Netz zu treiben.

Neugier schützt vor Schaden nicht

Das Dokument im Anhang oder der Link in der E-Mail sind jedoch bei weitem nicht mehr die einzigen – wenngleich mittlerweile am weitesten entwickelten – Einfallstore. Die Neugier des Menschen und ein gewisses Urvertrauen bieten weitere Sicherheitslücken. Lücken, die das IT-Management meist gar nicht auf dem Zettel hat.

Was würden Sie machen, wenn Sie in der Tiefgarage Ihres Unternehmens einen USB-Stick finden, der wie zufällig verloren zwischen den Autos liegt? Geben Sie ihn am Empfang ab? Übergeben Sie ihn sogar der IT-Abteilung? In den meisten Fällen, in denen so ein Vorfall simuliert wird, siegt die Neugier des Menschen. Bei unseren Tests wird von 20 „verlorenen“ USB-Sticks mindestens die Hälfte „aktiviert“. Der USB-Stick wird am Rechner angeschlossen – meist der firmeneigene auf Grund der räumlichen Nähe – um zu sehen, was drauf ist oder wer der rechtmäßige Eigentümer ist. Was simpel klingt, ist eine reale Bedrohung. Kaum ist der Stick angeschlossen, können Schadprogramme den Rechner und das Netzwerk infizieren.

Ein weiterer standardmäßiger Testaufbau lotet aus, wie weit eine Person physisch ins Unternehmen vordringen kann. Natürlich braucht es hier ein wenig Raffinesse, denn oftmals wird schon am Einlass ein Ausweis benötigt. Aber allzu häufig kommt ein vermeintlicher Techniker oder Lieferant an dieser Hürde schnell vorbei. Nicht aufgrund einer technischen, sondern einer menschlichen Fehleinschätzung. Eine gute Story und vielleicht der Name eines realen Kollegen, der den Techniker angefordert haben soll, und schon wird die Person durchgewunken. Wir glauben an das Gute im Menschen, müssen aber leider mehr und mehr erkennen, dass eben dieses Urvertrauen auch Kriminellen die Tür öffnen kann.

Es beginnt am Anfang

Mitarbeiterinnen und Mitarbeiter müssen sensibilisiert werden, wie sie mit Spam und verdächtigen E-Mails umgehen. Ebenso muss das Bewusstsein vermittelt werden, wem die Tür geöffnet wird und das unbekannte Personen, ohne sichtbaren Firmenausweis direkt angesprochen werden müssen. Wenn es um das Thema digitale Sicherheit geht, sehen IT-Abteilungen oft nur die E-Mail als primäres Einfallstor. Schon beim ersten Termin vor Ort, dem Parken des Autos oder dem Betreten des Geländes fallen jedoch oftmals schon weitere potenzielle Schwachstellen auf. Diese sind nicht so offensichtlich, aber nicht minder risikobehaftet.

Von Schulungen und Trainings, über Feldversuche und deren Auswertung bis hin zu Verhaltensregeln mit ungesicherten WLAN-Verbindungen, Druckern oder der Entsorgung sensibler Daten: Die Belegschaft muss umfassend in das Thema IT-Sicherheit eingebunden werden. Gamification hat sich hier als nachhaltiges Mittel zum Wissenstransfer bewährt, vor allem um Aspekte der IT-Sicherheit in den privaten Alltag zu integrieren. Denn nur so nehmen Mitarbeiterinnen und Mitarbeiter die Informationen aus der Sensibilisierung auch mit in den Arbeitsalltag. Was passiert, wenn ich eine Spam-E-Mail bekomme, eine komische Direktnachricht oder einen seltsamen Anruf erhalte? An wen kann und muss ich mich wenden? Wie muss ich mein Passwort zusammensetzen? Wie gehe ich mit einem gefundenen USB-Stick um? Und wie sollte ich mein privates Smartphone verwenden? Das Thema IT-Sicherheit muss über den Spamfilter hinaus in das Bewusstsein der Führungsetage gebracht werden – angefangen beim ganz Grundsätzlichen. Was wir privat nicht machen würden, das sollte auch im Unternehmen tabu sein, egal ob es darum geht, fremde Menschen ins eigene Haus zu lassen oder den Post-it mit dem Geheimzahl auf die EC-Karte zu kleben.