Der Feind in den eigenen Reihen
Typische Fehler
Kaum ein Mitarbeiter will seinem Arbeitgeber vorsätzlich schaden. Aber bei Stress und hohem Arbeitsdruck ist man weniger aufmerksam und klickt vielleicht auf Dateien in E-Mails, die eigentlich sofort in Quarantäne müssten. «Vor allem, wenn eine E-Mail im Namen des CEOs im Postfach liegt, klicken viele automatisch», bestätigt Christopher Schmid von NTT Data. «Und dann gibt es natürlich ausgereifte Social-Engineering-Attacken, bei denen auch typisch menschliche Eigenschaften ausgenutzt werden: Hilfsbereitschaft – etwa einem unbekannten Kollegen mal schnell die Türe öffnen – oder Angst vor Konsequenzen und Automatismen.
«Phishing nicht zu erkennen und das Wiederverwenden von Passwörtern gehören zu den häufigsten Problemen», weiss Bogdan Botezatu. Gefährlich sei auch das bewusste Ignorieren von Sicherheitspraktiken, etwa indem Mitarbeiter die Antiviren-Lösung vorübergehend deaktivieren, um eine Einschränkung aufzuheben. «Auch die Installation eines Remote-Support-Clients auf einem Firmencomputer, damit sich die Mitarbeiter von ausserhalb des Büros am PC anmelden können, kann die Sicherheit gefährden. Dies führt in der Regel zu Sicherheitslücken, die Angreifer leicht ausnutzen könnten.» Wie Mitarbeiter mit Unternehmensdaten umgehen, werde ebenfalls leicht übersehen. So sollten Kunden- oder Firmendaten etwa nicht auf öffentliche Cloud-Sharing-Plattformen kopiert werden.
Die zeitlosen Klassiker sind das gedankenlose Öffnen von E-Mail-Anhängen und das leichtfertige Klicken auf Links. Christian Knothe, Head of Security Sales Germany beim britischen TK-Riesen BT, geht noch weiter: «Dazu kommen aber auch Vorfälle, die nicht auf einen Angriff, sondern auf die unbedachte Nutzung und Konfiguration von Systemen zurückgehen. Besonders im Hinblick auf die Nutzung von Cloud-Diensten ist hier noch einiges zu tun.»
“Der Grad der Security-Awareness in Unternehmen ist nicht nur eine Frage von Trainings, sondern spiegelt auch die generelle Unternehmenskultur wider.„
Christian Knothe, Head of Security Sales Germany bei BT
Apurba Bhangale ist Senior IT Security Specialist bei Teamviewer. Ihrer Meinung nach gehören schwache Passwörter und die Weitergabe von Passwörtern zu den häufigsten Sicherheitsfehlern, die Mitarbeiter machen. Ebenso kritisch sei es, kostenlose Software aus nicht vertrauenswürdigen Quellen zu installieren oder Anwendungen wie Antiviren- oder Endpoint-Security-Tools nicht ernst zu nehmen. Weitere Sicherheitsrisiken könnten durch die Verbindung mit ungesicherten WLAN-Netzwerken entstehen. Dazu kommt: «Viele melden sich nicht beim IT-Sicherheitsteam, wenn sie etwas Verdächtiges bemerken.»
Social Engineering
Besonders beliebt bei Angreifern ist Social Engineering, also die gezielte Beeinflussung und Manipulation von Mitarbeitern, um sie zur Preisgabe von vertraulichen Informationen zu bewegen. «Social Engineering ist auch deshalb so erfolgreich, weil die Mittel der Angreifer immer besser werden», vermutet Jochen Koehler. «Gerade Entwicklungen wie Deepfakes, also täuschend echte Fakes von Bildern, Videos oder Audiodateien, erhöhen die Gefahren erheblich. Damit können Betrugsversuche per E-Mail oder am Telefon noch besser kaschiert werden, um Zielpersonen zum Öffnen von E-Mail-Anhängen oder zur Preisgabe von Dokumenten zu veranlassen.»
“Gerade Entwicklungen wie Deepfakes, also täuschend echte Fakes von Bildern, Videos oder Audiodateien, erhöhen die Gefahren erheblich.„
Jochen Koehler Sales Director Security Solutions bei HP
Deepfakes sind quasi der letzte Schrei. Sie basieren auf Deep Learning, einer besonderen Art des Machine Learnings. Die den Deepfakes zugrunde liegenden KI-Algorithmen werden mit grossen Mengen an Bild- und Videomaterial gefüttert. Je mehr Daten von einer Person vorliegen, desto besser und glaubwürdiger fällt das Ergebnis aus. Schon wenige Hundert Bilder der Zielperson reichen aus, um einen plausiblen Deepfake zu erzeugen. Deepfakes werden bald so gut sein, dass eine Stimme in Echtzeit generiert werden kann. Ein Angreifer kann so direkt mit seinem Opfer interagieren und wie ein Vorgesetzter aussehen oder wie der CEO klingen. Der grundlegende Unterschied zu herkömmlichen Fakes, bei denen etwa der Kopf aus einem Bild in ein anderes Bild eingefügt und retuschiert wird: Deepfakes hantieren nicht mit bestehenden Daten, sondern erzeugen neues Material.
«Wir sind alle Menschen mit Tugenden und Schwächen», sagt Christopher Schmid. «So ist es ein Charakterzug von Menschen, gern zu helfen, auf Druck zu reagieren oder mit Kollegen zu fachsimpeln. Dieses Verhalten machen sich Hacker beim Social Engineering zunutze. Hacker bereiten sich gründlich auf solche Angriffe vor, etwa indem sie Insights im Web oder in Social Networks recherchieren, die sie dann gekonnt im Gespräch oder in der E-Mail einsetzen.»
Autor(in)
Andreas
Dumont
17.10.2020