Die digitale Attacke auf den Mitarbeiter

Erosion des Netzwerk-Perimeters und Konsequenzen für die IT-Security

von Werner Thalmeier

Die vergangenen Monate haben die für die IT-Sicherheit im Unternehmen verantwortlichen Teams operativ und strategisch vor neue Herausforderungen gestellt. Innerhalb kürzester Zeit musste häufig nahezu die gesamte Belegschaft ins Homeoffice wechseln. Darunter sollte die IT-Sicherheit aber nicht leiden. Dass das von heute auf morgen nur sehr schwer umgesetzt werden kann, ist offensichtlich.

Und dass sich Cyberkriminelle dies zunutze machen, verwundert auch kaum. Sie folgen dabei konsequent einem Trend, der schon seit einigen Jahren deutlich wird: Die direkte digitale Attacke auf den Mitarbeiter, bei der menschliche Schwächen ausgenutzt werden. Dabei verführen die Kriminellen die Anwender zu unbedachten Klicks auf Dokumente, Tabellen, Links oder Apps, die mit Schadsoftware infiziert sind. Auch imitieren und/ oder fälschen die Angreifer einen legitimen Absender und erzeugen so – zunehmend auf hohem Niveau – den Eindruck einer legitimen Mail.

Angriffe bedeuten oft langfristigen Schaden
Dabei geht es gar nicht immer darum, Computer mit Ransomware zu verschlüsseln und gegen Lösegeld wieder zu entsperren. Oftmals wird das Ziel verfolgt, mittels eines solchen Angriffs beispielsweise die Anmeldedaten eines Benutzers zu stehlen und sodann in dessen Namen Überweisungen anzuordnen, persönliche Daten anderer Mitarbeiter auszuforschen oder auch Geschäftsgeheimnisse des Unternehmens zu entwenden. Da der Angreifer dann digital aus dem Inneren des Unternehmens heraus agiert, greifen herkömmliche netzwerkbezogene Schutzmechanismen in der Folge häufig zu kurz. Die aus solchen Angriffen resultierenden Schäden haben oft längerfristige Auswirkungen wie den Verlust von Reputation und Stammkunden.

Daraus folgt, dass sich die Unternehmen dringend Gedanken darüber machen müssen, ob ihre Sicherheitsstrategie noch zeitgemäß ist. Denn was nützen Virenscanner und Firewall, wenn eine E-Mail ganz ohne schadhaften Link oder Anhang den Mitarbeiter per Social Engineering zum unwissenden Verbündeten der Angreifer macht? Es gilt, die bereits bestehende und notwendige Intrastruktur durch Maßnahmen zu ergänzen, die den Menschen in den Mittelpunkt stellen.

Dabei ist zu beachten, dass längst nicht alle Mitarbeiter gleich häufig oder mit der gleichen Intensität angegriffen werden. Und es sind keineswegs nur die leitenden Angestellten, welche die Angreifer als „lohnenswertes“ Ziel betrachten. Es kann jeden im Unternehmen treffen!

Derjenige Mitarbeiter, der in der Personalabteilung Zugriff auf Personalakten – vielleicht sogar inklusive Gesundheitsdaten – hat, ist genauso interessant wie der Einkäufer, der Überweisungen an Lieferanten anweist, oder der Assistent der Geschäftsführung, der Zugang zu unternehmenskritischen Geschäftsgeheimnissen hat.

Identifizieren der VAPs
Eine der dringlichsten Aufgaben der Unternehmen ist folglich, diejenigen Mitarbeiter zu identifizieren, die besonders häufig angegriffen werden – sogenannte VAPs (Very Attacked Persons). Damit haben die Unternehmen direkt diese besonders gefährdeten Mitarbeiter im Blick und können sie besonders trainieren. Zudem wissen die Security-Experten, mit welchen Plattformen, Anwendungen und Cloud-Lösungen diese Anwender arbeiten, und haben somit die Möglichkeit durch weitere technische Maßnahmen die individuelle Sicherheit zu erhöhen. Über individualisierte, interaktive Trainings lässt sich darüber hinaus bestimmen, für welche Form der digitalen Attacke die Mitarbeiter besonders empfänglich sind. Sei es Social Engineering – einer der häufigsten Ansätze über die Beobachtung von Aktivitäten der Anwender in Sozialen Netzwerk nach Passwort-Hinweisen oder den Passwörtern selbst zu „fischen“ (sog. Phishing) – oder Business Email Compromise (BEC, auch als CEO-Masche bekannt). Entsprechend können dann die Schulungen genau für diese Szenarien optimiert werden. Die Ergebnisse solch interaktiver Schulungen können sich durchaus sehen lassen: Die Trainierten klicken auf bis zu 90 Prozent weniger potenziell gefährliche Links oder öffnen mit Malware infizierte Dateien.

Zusammenspiel von Mensch und Technik
Doch nachdem immer noch ein Restrisiko bleibt, muss es also die dringendste Aufgabe sein, Phishing-, BEC- und andere gefährliche Mails gar nicht erst in die Inbox des Anwenders gelangen zu lassen, um Erpressung, Datenklau und Account-Übernahme zu verhindern. Moderne Lösungen wie Proofpoint Advanced E-Mail Security sind in der Lage, solche E-Mails zu erkennen, die zwar nur Text und keinen Schadcode enthalten, aber genau zu solch unbedachten Aktionen verführen sollen. Damit ist eine wichtige zusätzliche Schutzmaßnahme gegen Cyberkriminelle implementiert. Allerdings sollten die Unternehmen weitere Maßnahmen durchführen, um größtmögliche Sicherheit zu erzielen. Dazu gehören beispielsweise die regelmäßigen, interaktiven Schulungen der Mitarbeiter über aktuelle Bedrohungen und Taktiken der Cyberkriminellen, um die Anwender entsprechend zu sensibilisieren. Denn erst das Zusammenspiel von Mensch und Technik sorgt für eine nachhaltige Verbesserung der IT-Security in den Unternehmen.

www.proofpoint.com/de

Eine der dringlichsten Aufgaben ist, diejenigen Mitarbeiter zu identifizieren, die besonders häufig angegriffen werden, sog. VAPs (Very Attacked Persons).

Werner ThalmeierWerner Thalmeier
Vice President Systems Engineering EMEA
Proofpoint GmbH

Das aktuelle Handelsblatt Journal

Mehr erfahren
Tags: