3. Diebstahl von Unternehmensdaten
Innerhalb der letzten Jahre gab es abseits versehentlicher Datenlecks auch zahlreiche internationale Fälle, in denen Mitarbeiter sich konkret gegen ihr Unternehmen gewendet haben. Dies betraf Weltkonzerne wie Sony oder Google, aber auch kleinere und mittelständische Unternehmen.
Lesetipp: Datenklau - Mitarbeiter, die zu Innentätern wurden
Hierbei kann es sich zum einen um Innentäter handeln, die einen persönlichen Vorteil erlangen wollen, etwa Mitarbeiter, die ein Unternehmen verlassen und Dateien und Daten mitnehmen. Zum anderen können es missgünstige Mitarbeiter sein, die Rache nehmen wollen, indem sie durch Preisgabe von sensiblen Informationen Schaden anrichten.
Die gute Nachricht ist, dass die gleiche Technologie, mit der versehentliche Datenlecks erkannt und verhindert werden, auch vorsätzliche abwehrt. Weitere Lösungen ermöglichen es, Informationen und deren Verwendung zu erkennen und nachzuverfolgen. Dennoch gibt es keinen "Universalschutz". Es geht vielmehr darum Schichten von Sicherheit aufzubauen um eine Strategie der Verteidigung in der Tiefe zu realisieren. Das Verständnis der Informationen und ihrer Risiken ist dabei essenziell und kann zu einem kostengünstigen und effektiven Lösungsansatz führen.
Externe Bedrohungen
Während interne Bedrohungen, insbesondere unbeabsichtigte und zufällige Ereignisse, den Großteil der Datenschutzverletzungen ausmachen, dürfen diejenigen von außen nicht vernachlässigt werden. Distributed Denial of Service (DDoS) und System-Hacking befinden sich weiterhin auf dem Vormarsch. Sicherheitspraktiken wie regelmäßige Patch-Updates des Betriebssystems und der Anwendungen sowie aktuelle Antiviren-Definitionen und eine effektive Backup-Strategie tragen wesentlich zum Schutz des Unternehmens vor Legacy-Angriffen bei. Doch es gibt noch weitere Bedrohungen von außen, die es zu verstehen und vor denen es sich zu schützen gilt.
4. Phishing
Durch Phishing versuchen Cyber-Kriminelle, sensible Daten einer Person abzurufen, wie beispielsweise Bankkennwörter oder Kreditkartendaten, um Geld zu stehlen. Heutige Phishing-Angriffe erfolgen in der Regel über sehr überzeugend gefälschte geschäftliche oder persönliche E-Mails. Meist beinhalten sie einen Link, auf den der Empfänger klicken und sensible Informationen an die Angreifer weiterleiten soll.
- Ignorieren Sie E-Mails, die zur Eingabe vertraulicher Daten auffordern!
<strong>Merkmal:</strong> Um eine möglichst hohe Öffnungsquote zu erreichen, wird oft versucht, Angst zu erzeugen in der Hoffnung, dass der Nutzer auf diese Weise seine übliche Vorsicht aufgibt. Besonders beliebt ist der Trick, eine Sperrung des Kontos (bei der Bank, bei PayPal oder bei Facebook) oder der Kreditkarte vorzutäuschen – verbunden mit der Aufforderung, sich auf eine von der E-Mail aus verlinkten Seite anzumelden, um die Sperrung aufzuheben. Meist versuchen die Betrüger auch, einen zeitlichen Druck aufzubauen, indem sie behaupten, die Eingabe der Daten müsse in den nächsten 24 Stunden erfolgen.<br /><br /> <strong>Tipp:</strong> Generell versenden Banken, aber auch Kreditkartenunternehmen und Online-Bezahldienste keinerlei E-Mails, die zu einer Seite verlinken, auf denen Sie Ihre Kontodaten eingeben sollen. Löschen Sie die E-Mail sofort und klicken Sie keinesfalls auf den Link! Schon der bloße Besuch der Seite kann zu einer Infektion mit einem Virus oder Trojaner führen (Drive-by-Download)! - Überprüfen Sie, ob die Website gesichert ist!
<strong>Merkmal:</strong> Webseiten, auf denen wichtige Daten eingegeben werden sollen, sind in der Regel durch eine sichere Verbindung geschützt. Dies lässt sich daran erkennen, dass die Web-Adresse (URL) mit https:// statt mit http:// beginnt. Verweist eine E-Mail, die zur Eingabe vertraulicher Daten auffordert, auf eine ungesicherte Website, ist diese mit hoher Wahrscheinlichkeit gefälscht. Oftmals verbergen die Phisher die tatsächliche Ziel-URL jedoch hinter einer angeblich gesicherten Scheinadresse.<br /><br /> <strong>Tipp:</strong> Überprüfen Sie, wohin der Link tatsächlich führt: mittels Rechtsklick auf den Link und Auswahl von „Eigenschaften“ oder, wenn Sie den Link bereits angeklickt haben, durch Überprüfung der Adresse in der Adresszeile. Auch hier gilt: Im Zweifel den Link nicht anklicken und die E-Mail löschen! - Achten Sie auf die genaue Schreibweise der URL!
<strong>Merkmal:</strong> Um an ihr Ziel zu kommen, müssen die Phisher den Anschein erwecken, die E-Mail sowie die Seite, auf welcher der Nutzer seine Daten eingeben soll, wären echt und gehörten dem angeblichen Absender. Daher wählen sie Adressen, die auf den ersten Blick wie eine echte Adresse, beispielsweise der Bank, aussehen. Dabei werden von der Bank nicht benutzte, aber plausibel erscheinende Adressen verwendet (z. B. www.sparkasseonline. de) oder unauffällige Schreibfehler eingebaut ("postank" statt "postbank").<br /><br /> <strong>Tipp:</strong> Achten Sie immer auf die Schreibweise der URL (auch schon im E-Mail-Absender!) und überprüfen Sie diese auf Schreibfehler! Überprüfen Sie auch, welche URL das Unternehmen normalerweise hat (durch Vergleich mit der Website oder mit echten E-Mails)! - Achten Sie genau darauf, welche Daten Sie eingeben sollen!
<strong>Merkmal:</strong> Zugänge zu Online-Konten, aber auch der Einsatz von Kreditkarten benötigen meist ein mehrstufiges Authentifizierungsverfahren. Bei Online-Konten sind das beispielsweise Kontonummer und TAN, bei Kreditkarten Kartennummer, Ablaufdatum und die dreistellige Prüfnummer. Als sichere Alternative gibt es seit einiger Zeit auch die Verifizierung über das so genannte 3D-Secure-Verfahren (z.B. „Verified by Visa“).<br /><br /> <strong>Tipp:</strong> Werden Sie aufgefordert, mehr als eine TAN oder sowohl ihre Prüfnummer als auch die 3D-Secure-ID einzugeben, handelt es sich um Phishing. Seriöse Websites verlangen nie beide Daten gleichzeitig. - Nicht nur Konto- und Kreditkarten-Phishing ist gefährlich!
<strong>Merkmal:</strong> Schon längst beschränkt sich das Interesse der Phisher nicht mehr nur auf Bank- oder Kreditkartendaten. Generell ist jeder Zugang zu Online-Diensten interessant, sei es das Webmail-Konto, der Zugang zu sozialen Netzwerken, selbst Business-Dienste wie Google AdWords. Dabei nutzen beispielsweise Spammer die erbeuteten Daten, um Kampagnen für eigene Seiten zu schalten – auf Kosten der betrogenen Nutzer.<br /><br /> <strong>Tipp:</strong> Behandeln sie alle Zugangsdaten zu Internetdiensten vertraulich, auch wenn sie Ihnen nicht wichtig erscheinen! Angebliche E-Mails von Facebook oder Hotmail können genauso gefährlich sein wie solche von Ihrer Bank.
Passende Technologie ist wichtig, um erfolgreiche Phishing-Angriffe auf Unternehmen zu verhindern. Allerdings spielt auch hier die Aufklärung der Mitarbeiter eine Rolle. Es gilt die Belegschaft dafür zu sensibilisieren, wie eine verdächtige E-Mail aussehen kann, und sie zur Vorsicht beim Öffnen oder Anklicken von Links in verdächtigen E-Mails oder Dokumenten zu ermahnen. Weiterhin sollte ein Prozess implementiert werden, nach dem Mitarbeiter prüfen können, ob eine E-Mail oder ein Dokument schädlich ist. Dies wird langfristig dazu beitragen, eine Kultur erhöhten Sicherheitsbewusstseins im Betrieb zu etablieren.
5. Malware- und Ransomware-Angriffe
Angriffe mit Verschlüsselungstrojanern befinden sich nach wie vor auf dem Vormarsch. Jahr für Jahr machen Ransomware-Angriffe wie WannaCry, NotPetya und Bad Rabbit Schlagzeilen und brachten zahlreiche Unternehmen in Bedrängnis. Unter ihnen fanden sich auch Betriebe aus dem KRITIS-Bereich wie etwa Krankenhäuser. Das BSI meldet in seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2019 (PDF) 252 Meldungen von KRITIS-Betreibern.
Bereits im Jahr davor stellt das BSI in seinem Lagebericht fest, dass die neueren Fälle von Erpressungstrojanern zwar nicht wie 2017 die Schlagzeilen beherrschten, aber auf neue Entwicklungen hinweisen. Beispielsweise wurde im Januar 2018 erstmals eine neue Ransomware namens GandCrab entdeckt, die neben lokal aktiven Kampagnen (Magniber) als erste per Exploit-Kit verbreitet wurde.
Die Erpresser-Software SamSam attackiert über Schwachstellen öffentlich zugänglicher Softwarekomponenten (Web-Server) oder durch das Erraten unsicherer Passwörter in der verwendeten Benutzerverwaltung. Mit dieser Art Ransomware wurde im März 2018 die Stadt Atlanta (Georgia, USA) angegriffen und weite Bereiche der externen und internen Dienste wurden lahmgelegt.
Letztendlich zielen Attacken darauf ab, die kritischen Daten von Organisationen zu stehlen und zu veräußern. Verkauft werden die Daten entweder an einen externen Käufer oder im Falle von Ransomware zurück an das Unternehmen, dem sie gehören.
Moderne Angriffe werden häufig in Form von aktivem Code oder Skripten ausgeführt, die in harmlos aussehende, eingehende E-Mails und Dokumente oder Links zu Dokumenten eingebettet sind. Diese haben verheerende Auswirkungen auf die internen Systeme des Betriebs, wenn sie sich hier ausbreiten. Die häufigste Art von schädlichen Dokumenten sind Lebensläufe oder Stellenangebote, mit dem die Personalabteilung oder eine Person angesprochen wird.
Auch hier spielen die Aufklärung und regelmäßige Schulung der Mitarbeiter eine entscheidende Rolle für die Prävention. Weiterhin sollte auch für dieses Problem die Implementierung einer technischen Lösung erwogen werden.
Prinzipiell gibt es zwei Möglichkeiten, Ransomware und Malware im Betrieb zu verhindern. Die Erste basiert darauf, aktive Inhalte zu entfernen. Das heißt, Malware wird aus dem Dokument entfernt, der Rest bleibt unangetastet. Dadurch erhält der Empfänger die gesendeten Informationen sofort, nicht aber die Schadsoftware. Diese Technologie wird auch "Structural Sanitization" genannt.
Bei der zweiten Methode kommt Sandbox-Technologie zum Einsatz. Sie öffnet das Dokument in einer sicheren Umgebung (Sandbox) und analysiert anschließend dessen Verhalten. Wenn nach einer bestimmten Zeitspanne (beispielsweise 15 Minuten) nichts Ungewöhnliches geschieht, wird das Dokument für den Empfänger freigegeben. Damit geht eine gewisse Zeitverzögerung einher und fortschrittliche eingebettete Malware kann diesen Schutzmechanismus unter Umständen umgehen. (bw)