In den meisten Chefetagen ist das Bewusstsein für das Thema IT-Sicherheit gewachsen. Das Business Continuity Institute (BCI) stellt fest, dass 55 Prozent aller Unternehmen ein starkes Commitment in der Führungsebne verspüren - mehr als in vorangegangen Untersuchungen. Allerdings zeigen neue Studien, dass sich diese Bereitschaft vor allem auf die strategischen Schwerpunkte eines Unternehmens bezieht und Entscheider bei direkten Attacken besonders verwundbar sind.
Geschäftsführungen im Fadenkreuz
Das Gefahrenpotenzial hat auch das Bundesamtes für Sicherheit in der Informationstechnik (BSI) erkannt. Erst kürzlich warnte es in einem Sicherheitslagebild über die Gefahr von CEO-Fraud und unsicheren E-Mails. Beispielsweise heißt es dort wörtlich: "Der Hauptangriffsweg sind maliziöse Mails, die etwa eine Makro-Word-Datei, js-Datei oder einen Download-Link im Anhang enthält. Zuletzt wurden 86 Prozent des Gesamtmailverkehrs als potentiell unerwünscht und maliziös eingestuft. Maliziöse Mails werden durch große Botnetze wie etwa Necurs und Mirai verbreitet. Die Vielfalt der Angriffswerkzeuge, Vorgehensweisen und Akteuren verkompliziert die Lage und erschwert die Identifikation des Epizentrums einer Attacke."
Der Bezug dieser Aussage zur E-Mail ist kein Zufall. Nahezu alle gängigen Attacken wie Ransomware, Phishing und Infektionen mit Kryptominern werden über E-Mails gestartet. Speziell Unternehmensleitungen stehen seit einigen Jahren besonders im Visier. Kriminelle suchen nach dem schwächsten Glied in der Kette und dieses liegt immer mehr in der alltäglichen Informationsverarbeitung und dem Faktor Mensch. Gerade Entscheider sind häufig viel unterwegs, haben wenig Zeit, um E-Mails zu prüfen und sind daher besonders empfänglich für gefälschte Nachrichten. Diese werden geschickt von den Angreifern manipuliert, sodass der Empfänger diese nicht als Betrugsversuch erkennen kann.
Anstatt an einen Mitarbeiter oder Kunden gehen die Informationen vom C-Level dann direkt an die Kriminellen. Diese können dann direkt und anonym im Darknet weiterverkauft oder von den Angreifern für weitere Attacken wie "CEO-Fraud" eingesetzt werden. Bei solchen Angriffen schlüpfen die Kriminellen in die Rolle der Geschäftsführung und versuchen Unternehmen, mit einer ähnlichen Masche zu betrügen. Sie nutzen zuvor beschaffte Informationen über die Führungskräfte, um realistische Szenarien für die Opfer zu erzeugen, sodass diese keinen Verdacht schöpfen und Anweisungen nicht hinterfragen.
Fälle in Deutschland häufen sich
Mehrere Sparkassen in Deutschland fielen bereits auf solche CEO-Frauds herein, bei denen Angestellte der Bank von angeblichen Geschäftsführern deutscher Mittelständler angerufen wurden und in deren Auftrag dann Überweisungen zu Lasten echter Konten ausgeführt haben. Die Kriminellen täuschten so die Mitarbeiter der Bank und veranlassten Buchungen für zweistellige Millionenbeträge. Dieses Geld wurde nach der Überweisung umgehend durch die Kriminellen vom Zielkonto geräumt. Vorwand war dabei eine spontane Möglichkeit für einen angeblichen streng geheimen Deal im Ausland, doch die zeitkritische Option gab es nie.
Die Studien und Warnungen von BSI und Sicherheitsexperten zeigen, wie einfach Kriminelle an die nötigen Details kommen. Zudem wird es den Angreifern immer noch sehr einfach gemacht, den E-Mailverkehr entsprechend zu fälschen, sodass die Empfänger den Betrug unmöglich sofort erkennen können. Ohne entsprechende Sicherheitsmechanismen sind dann Angriffe unvermeidbar.
Im Falle der Sparkasse musste nicht einmal Schadsoftware eingesetzt werden. Grundsätzlich ist jeder Mitarbeiter im Unternehmen ein mögliches Ziel, allerdings sind Attacken auf Führungskräfte besonders lukrativ, da sie das größte Wissen über kritische Assets haben.
Umfassende Schutzmaßnahmen notwendig
Um eine Organisationen in all ihren Facetten zu schützen, macht es Sinn, Cyber-Resilience-Ansätze einzuführen. Dabei geht es nicht nur um eine reine Abwehr oder Härtung von Systemen, sondern darum, zu jedem Zeitpunkt den bestmöglichen Schutz und die umfassende Funktion des eigenen Unternehmens zu sichern:
• Vorkehrungen, bevor es zu einem Vorfall kommt: Was sind die häufigsten Angriffsvektoren und wo liegt das schwächste Glied in der Kette? Schon hier müssen proaktiv Maßnahmen getroffen werden. Nicht allein zur Abwehr, sondern auch, um eine Wiederherstellung der verlorenen Daten im Falle einer Attacke zu ermöglichen.
• Während eines Angriffs sind natürlich immer noch Verteidigungsmaßnahmen nötig, gleichzeitig spielt aber das Thema Business Continuity eine Rolle. Grundsätzlich darf weder die Operationsfähigkeit noch die Kommunikation von Angestellten eingeschränkt werden - selbst wenn Teile der IT infolge einer Cyberattacke zeitweise nicht verfügbar sein sollten.
• Nach einer Attacke darf es nicht zu Unterbrechungen im Businessprozessen kommen. Das Einspielen von Backups oder der Zugriff auf archivierte Daten muss nahtlos funktionieren. Genauso sollten Unternehmen in der Lage sein, den Ursprung einer Attacke zu lokalisieren und beseitigen.
Es gibt Lösungen, die alle Elemente vereinigen und Organisationen nachhaltig schützen. Dabei ist es beim Faktor Mensch besonders wichtig, die richtige Kombination aus Sensibilisierung, Schulung und technologischer Innovation über alle Mitarbeiterebenen einzusetzen - inklusive Geschäftsführung.
Fazit
IT-Sicherheit ist ein wichtiges Thema und Geschäftsführungen tun gut daran, dies an oberste Stelle zu setzen. Sie müssen sich selbst aber auch in entsprechende Mechanismen integrieren, denn Cyberkriminelle werden ihre Methoden und Schadsoftware immer weiter ausbauen.
Da ausgeklügelte Cyberattacken wie CEO-Fraud mittlerweile fest zum Unternehmensalltag gehören, spielt das Thema Cyber-Resilience eine größere Rolle. Hier ist und bleibt die E-Mail-Kommunikation das zentrale Thema.
Neben der CEO-Fraud-Betrugsmasche knüpfen auch anderen Arten der Onlinekriminalität an der E-Mail an. Ransomware, Trojaner, Spam, Phishing, Social Engineering, Malware und sogar Krypto-Miner nutzen E-Mail als Angriffsvektor - und das leider immer öfter erfolgreich. (hal)