Cybercrime-Treiber Coronavirus

Wie Hacker von der Pandemie profitieren

15.04.2020
Von 
Jürgen Hill ist Chefreporter Future Technologies bei der COMPUTERWOCHE. Thematisch befasst sich der studierte Diplom-Journalist und Informatiker derzeit mit aktuellen IT-Trendthemen wie KI, Quantencomputing, Digital Twins, IoT, Digitalisierung etc. Zudem verfügt er über einen langjährigen Background im Bereich Communications mit all seinen Facetten (TK, Mobile, LAN, WAN). 
Dauer-Homeoffice, verunsicherte Mitarbeiter, die nach Coronavirus-Informationen im Netz gieren, IT-Abteilungen im Dauerstress – Kriminelle Hacker wittern angesichts der Pandemie das große Cybercrime-Geschäft.
Die COVID-19-Pandemie und der damit einhergehende Homeoffice-Zwang "beflügelt" die Betrugsmaschen krimineller Hacker.
Die COVID-19-Pandemie und der damit einhergehende Homeoffice-Zwang "beflügelt" die Betrugsmaschen krimineller Hacker.
Foto: worthavisual - shutterstock.com

Die eigene Firmen-IT trotz Intrusion Detection und Prevention gehackt? Leider ist das in diesen Tagen keine Seltenheit. Während die Wirtschaft unter den Folgen der Corona-Krise leidet, haben Cyber-Kriminelle Hochkonjunktur. "Hacker sehen in der Pandemie eine einmalige Gelegenheit, geschäftlich zu expandieren", unterstreicht etwa Markus Schaffrin, Geschäftsbereichsleiter Mitglieder Services und Sicherheitsexperte im eco - Verband der Internetwirtschaft e. V. Und sie haben sich schnell an die geänderte Situation angepasst. Statt die in der Regel gut gesicherte Firmen-IT anzugreifen, nehmen sie den Umweg über das Homeoffice. Ein Umweg, der zudem häufig doppelten Erfolg verspricht.

Phishing-Paradies Homeoffice

Über das Homeoffice lässt sich nicht nur die Firmen-IT angreifen, sondern auch die Mitarbeiter direkt. Gerade Mitarbeiter im heimischen Büro scheinen besonders anfällig für Phishing-Angriffe zu sein. Hier spielt die Corona-Krise den Angreifern in die Hände. Und die Cyber-Kriminellen gehen skrupellos vor und suchen überall dort nach Schwachstellen, wo aufgrund der aktuellen Situation der Stresslevel besonders hoch ist. So wurden von Januar bis März 2020 über 16.000 Domains registriert, die einen Bezug zum Thema Corona haben. Diese sind zu 50 Prozent häufiger betrügerisch als andere, wie Untersuchungen von Checkpoint zeigen.

Malware und Exploits werden im Darknet mit Corona-Discount verkauft.
Malware und Exploits werden im Darknet mit Corona-Discount verkauft.
Foto: Checkpoint

Kevin McNamee, Leiter des Threat Intelligence Lab von Nokia, sieht dabei vor allem zwei Trends: Malware, die direkt mit dem Ausbruch des Corona-Virus zusammenhängt, und bestehende Malware, die durch Corona-bezogene Phishing-Kampagnen verbreitet wird. Die meisten der Angriffe im Zusammenhang mit COVID-19 sind laut McNamee Phishing-Angriffe, die an sensible persönliche Daten von Internet-Nutzern kommen wollen, etwa Passwörter oder Bankdaten. Die Angreifer nutzen dabei keine neuen Schwachstellen aus und entwickeln in den meisten Fällen nicht einmal neue Schadsoftware. Sie verwenden bei ihren Angriffen lediglich COVID-19 als Thema, um die "Erfolgsquote" zu erhöhen. So erstellte etwa eine Hackergruppe in den USA laut Ivanti die Kopie einer Karte der Johns Hopkins University zur Verbreitung des Corona Virus, um die Systeme der User mit Malware zu infizieren.

Informationen zu vier aktuellen Phishing-Kampagnen hat das Cyber-Security-Unternehmen SonicWall zusammengestellt: Gefälschte E-Mails versprechen den Empfängern finanzielle Unterstützung durch Finanzbehörden oder Banken, um Verluste durch die Corona-Krise zu kompensieren. Die scheinbar angehängten Antragsformulare erweisen sich jedoch als Trojaner und andere Schadprogramme, die sensible Daten von den Rechnern der Empfänger stehlen. Eine weitere Masche stellt lukrative Geschäfte mit Medizinprodukten in Aussicht - auch hier befinden sich im Anhang, getarnt als Produktlisten, schädliche Dateien. Noch sind die Angriffe, wie ein Blick auf die SonicWall-Website zeigt, primär auf US-amerikanische User ausgerichtet.

"Cyber-Hygiene ist so wichtig wie Händewaschen"

Wie sich Mitarbeiter auch im Homeoffice optimal vor Phishing-Mails schützen können, woran auch gut gemachte Betrugs-Mails zu erkennen sind und wie man sich im Zweifelsfall richtig verhält, verrät beispielsweise der Anti-Phishing-Guide des Münchner Cloud-Services-Anbieters Retarus, der hier kostenlos zum Download bereitsteht. Und Schaffrin vom eco appelliert: "Sich auf Cyber-Angriffe vorzubereiten und auch im Homeoffice die Cyber-Hygiene aufrecht zu erhalten, ist zurzeit ebenso wichtig wie regelmäßiges Händewaschen."

Letztlich sollten die eigenen Prozesse und Strukturen so angepasst werden, dass Angriffe ins Leere laufen, das ist nach Ansicht des eco die beste Verteidigung. Zudem gebe es für die Mitarbeiter immer erkennbare Hinweise auf einen möglichen Angriff. Des Weiteren helfe eine Sensibilisierung der Mitarbeiter durch Schulung. Nach entsprechenden Unterweisungen gehen laut eco die Klickraten auf Phishing-E-Mails um bis zu 50 Prozent zurück. Letztlich müssten die Mitarbeiter zu einer menschlichen Firewall werden, die auch in Stresssituationen und Krisenzeiten den Angriffen der Cyber-Kriminellen standhält.

Retarus hat zur Coronavirus-Krise einen kostenlosen Anti-Phishing-Guide herausgebracht.
Retarus hat zur Coronavirus-Krise einen kostenlosen Anti-Phishing-Guide herausgebracht.
Foto: Retarus

Nachdem während der schnellen Umzugsphase in Homeoffice die benötigte IT-Ausstattung sowie die Lizenzen für Software und Cloud-Dienste im Vordergrund standen, sollten nun viele Unternehmen wieder die IT-Sicherheits-Schraube andrehen. Dies rät beispielsweise die ESET GmbH, ein Anbieter von Sicherheitslösungen. Ihre Meinungen sehen die ESET-Experten durch eine aktuelle Studie des Bundesverbands IT-Sicherheit e.V. (TeleTrusT) gestützt. Demnach sind nur zwei Drittel aller Rechner passwortgeschützt. Lediglich 37 Prozent nutzen eine VPN-Verbindung und nur jeder Fünfte sichert den Netzwerkzugang mit einer Multi-Faktor-Authentifizierung ab.

Was in der Theorie einfach klingt, erweist sich in der Praxis gerade für kleinere Unternehmen oft als problematisch. ESET hat hierzu ein Informationspaket zusammengestellt, an dem sich KMUs orientieren können. Dieses behandelt unter anderem, wie der Datentransfer zwischen Firmennetzwerk und externen Rechnern mit VPN-Verbindungen, Multi-Faktor-Authentifizierung und Datenverschlüsselung abgesichert werden kann. Hintergrundinformationen in Form von Fachartikeln sowie Anleitungen und Checklisten auch Videos plus Podcast stehen hier zum Download bereit.

Sicherheitsanbieter Tanium rät Unternehmen, in Zeiten, in denen die Mitarbeiter öfter als sonst von Zuhause arbeiten, verstärkt auf die Sicherheit der genutzten Endgeräte achten. Denn Sicherheitslücken wie sie etwa gerade im Zusammenhang mit dem populären Videokonferenzdienst Zoom gefunden wurden, werden auch, so die Argumentation bei Tanium, in Zukunft auftreten. Deshalb sei es umso wichtiger, die Übersicht darüber zu behalten, welche Geräte auf das Unternehmensnetzwerk zugreifen und ob sie ein Risiko für die Integrität der dort gespeicherten Daten darstellen. Die Experten raten deshalb dazu, auch im Homeoffice dafür zu sorgen, dass regelmäßig Security-Patches aufgespielt werden und die Geräte mit Hilfe einer Endpoint-Management-Lösung administriert und überwacht werden.

Cybercrime-Dauerbrenner Ransomware

Die vermehrten Phishing-Attacken sowie das gezielte Spear-Phishing auf eine Person sind nur zwei Methoden, auf die in Coronavirus-Zeiten zu achten ist. Eine ebenfalls große Gefahr stellen nach wie vor Angriffe mit Ransomware dar. Bei der Eindämmung derer Ausbreitung können File-Dienste wie Dropbox, owncloud etc. hilfreich sein, wenn bei ihrer Nutzung einige Kniffe beachtet werden.

Damit dies funktioniert, sind allerdings ein paar Vorbereitungen zu treffen. So empfiehlt es sich beispielsweise schwarze Listen zu führen, die verdächtige Dateiendungen enthalten. Mit Hilfe dieser Listen könnte das Hochladen von Dateien mit solchen verdächtigen Endungen auf einen Server blockiert werden und so eine Ausbreitung unterbunden werden. Allerdings kann diese Maßnahme nur greifen, wenn die entsprechende schwarze Liste laufend aktualisiert wird, um sie an neue Ransomware-Endungen anzupassen.

Eine weitere Schutzschicht könnte, so der Nürnberger File-Service-Anbieter owncloud, die automatische Sperrung betroffener Benutzerkonten sein. Sollte eine Benutzerkonto mit auffälligen Dateiänderungen erkannt werden, sollte dieses gesperrt werden, um zu verhindern, dass der Client des betroffenen Endgeräts auf das Konto zugreift und so die Schadsoftware verbreitet.

Die obigen Ratschläge laufen allerdings bei zehn Prozent der Ransomware ins Leere, da diese die Dateiendungen nicht verändert. Hier gilt es den Zeitpunkt eines Angriffs mit technischen Hilfsmitteln wie einem Scanner möglichst eindeutig zu identifizieren. So lässt sich feststellen, welche Dateien wirklich betroffen sind. Um nun den Datenverlust möglichst gering zu halten, sollten die Versionierungs-Möglichkeiten der File-Services genutzt werden. Im Fall der Fälle kann so auf eine etwas ältere Dateiversion zurückgegriffen und so der Datenverlust auf ein Mindestmaß beschränkt werden.

Betrugstrend Cloud Account Hijacking

Auch Anbieter Box setzt auf eine automatische Erkennung von Malware und bringt ein Update seines BoxShield. Damit sollen die User nun automatisch gewarnt werden, wenn Malware in Dateien - die in Box gespeichert werden - identifiziert werden. Ferner würden Downloads sowie die gemeinsame Nutzung von gefährdeten Dateien eingeschränkt und IT- und Sicherheitsabteilungen direkt benachrichtigt.

Ungemach droht zudem noch von einer anderen Seite. Weil viele Unternehmen durch den Umzug in das Homeoffice die IT-Angebote schnell skalieren mussten, um die gestiegene Nachfrage zu bewältigen, wurde hier häufig auf Cloud-Angebote ausgewichen. Ein Trend, den nun Kriminelle zu ihrem Vorteil nutzen: Neben Phishing-Attacken steht auch das Cloud Account Hijacking hoch im Kurs. Hierbei missbrauchen Cyber-Kriminelle gestohlene Kontoinformationen eines Opfers beispielsweise für das Ausspionieren von Unternehmensaktivitäten und Finanztransaktionen, Datenmanipulation und Datendiebstahl etc.

Unternehmen sollten deshalb, so die Empfehlung von Christoph M. Kumpa, Director DACH & EE bei Digital Guardian, bereits bei der Auswahl von Cloud Service Providern proaktive Maßnahmen ergreifen: Dazu zählt er etwa die sorgfältige Überprüfung potenzieller Verträge und den Vergleich der Cloud-Sicherheits- und Datenintegritätssysteme verschiedener Provider.

Darüber hinaus sollten Unternehmen noch weitere Maßnahmen ergreifen, um ihre Daten in der Cloud zu schützen:

  • Multifaktor-Authentifizierung und starke Passwörter: Konten mit starken, nicht mehrfach verwendeten Passwörtern zu schützen, sollte zur Best Practice im Unternehmen zählen. Des Weiteren empfiehlt sich die Verwendung von Multifaktor-Authentifizierungs-Tools.

  • Einschränkung der IP-Adressen: Einige Cloud-Anwendungen bieten Tools zum Festlegen zulässiger IP-Bereiche und zwingen so den Benutzer, nur über Unternehmensnetze oder VPNs auf die Cloud-Anwendung zuzugreifen.

  • Verschlüsselung sensibler Daten: Bevor die Daten in die Cloud übertragen werden, sollten sie verschlüsselt werden.

  • Backups: Zudem sollte sichergestellt werden, dass alle Daten gesichert sind, falls Daten in der Cloud verloren gehen.

OT & Edge im Cybercrime-Visier

Vernetzte Produktionsanlagen werden derzeit ebenfalls als Einfallstor für Angriffe auf die Firmen-IT genutzt.
Vernetzte Produktionsanlagen werden derzeit ebenfalls als Einfallstor für Angriffe auf die Firmen-IT genutzt.
Foto: humphery - shutterstock.com

Doch nicht nur Homeoffice und Cloud sind Angriffsvektoren auf die Unternehmens-IT. Aufgrund des Zusammenwachsens von IT, OT und IoT kann auch der Shopfloor ein Einfallstor in die Unternehmens-IT sein. Zumal, wenn wie jetzt die Produktion stillsteht und das Monitoring der Anlagen nur von einer Notfallmannschaft übernommen wird oder gar gleich unterbleibt. Unternehmen sollten deshalb prüfen, ob ihre OT-Systeme von außen erreichbar sind. Zumal, davon geht etwa der Security-Anbieter Tenable aus, in diesem Jahr die Angriffe von OT-Systemen auf die IT zunehmen werden, da die Produktionsumgebungen in der Regel einfacher zu kompromittieren seien. Es sei zu erwarten, dass Hacker gezielt ICS-Geräte in OT-Netzen ins Visier nehmen, um über diesen Weg Zugriff auf die IT zu erhalten und so Kundendaten zu gelangen.

Darüber hinaus ist der Edge-Bereich stärker gefährdet als das Kernnetz. Experten gehen deshalb davon aus, dass Angreifer voraussichtlich vermehrt auf schwächer gesicherte OT-Infrastrukturen abzielen, wie etwa kleinere Umspannungswerke, Zweigstellen etc. Weil diese wiederum mit größeren OT-Netzen verbunden sind, besteht die Gefahr einer Kettenreaktion.

Letztlich betrifft das Thema Sicherheit OT- und IT-Teams gleichermaßen. Mittelfristig müssen sich nach Meinung von Experten höchstwahrscheinlich die IT-Teams auch um die Sicherheit in OT-Umgebungen kümmern. Sie hätten schließlich Erfahrung darin, Anwendungen und Technologien zu schützen, die mit dem Internet verbunden sind. Ferner sei es an der Zeit die traditionell unterschiedlichen Ansätze für IT- und OT-Sicherheit miteinander zu verbinden und darauf basierend eine Architektur zu entwickeln, die Einblick, Sicherheit und Kontrolle bietet.

Unter dem Strich zeigen die verschiedenen Einfallswege und Bedrohungsszenarien, dass gerade jetzt in der Corona-Krise das Thema Sicherheit nicht vernachlässigt werden darf. Nach der Phase des "Runs ins Homeoffice" sollte jetzt eine Phase der "Security first" folgen.