Montag, 17. Dezember 2018

Spear-Phishing-Angriffe auf Firmen Gegen die Schwachstelle Mensch hilft keine Firewall

Jährlich entsteht ein Schaden von 55 Milliarden Euro durch Cyberangriffe auf deutsche Unternehmen.

Spear-Phishing-Attacken auf Firmen sind um mehr als ein Drittel gestiegen. Was den Cyber-Angriff so perfide macht: Die Hacker haben sich vorher über ihr Opfer informiert und manipulieren es. Welche Tricks die Angreifer auf Lager haben und wie sich Unternehmen gegen sie schützen können.

Der technische Leiter eines Chemiewerks öffnet morgens sein E-Mail-Postfach. Ein Schüler hat ihm geschrieben, der in Chemie eine Facharbeit schreibt. Er habe in einem Artikel gelesen, dass das Thema ein Fachgebiet des Leiters sei und bittet ihn, über einen Abschnitt seiner Arbeit zu schauen. Inhaltsstoffe und Verfahren habe der Gymnasiast zur Vereinfachung in einem Excel-Dokument berechnet und aufgelistet.

Der technische Leiter will dem Schüler helfen. Als er das Excel-Dokument öffnen möchte, ploppt ihm ein Office-Sicherheitsdialog entgegen. Das ist für externe Excel-Dateien nicht ungewöhnlich, also drückt der Leiter auf bestätigen. Ein Fehler: Den interessierten Schüler gibt es nicht und das Excel-Dokument war mit Schadsoftware verseucht. Ein Hacker kann nun ungestört die Systeme des Chemiewerks ausspionieren, Produktionsvorgänge sabotieren oder Bezahldaten einsehen.

Diese Geschichte ist zwar ausgedacht, kann sich aber so ähnlich schon tausendfach zugetragen haben. Cyberangriffe wie diese heißen Spear-Phishing. Gewöhnliches Phishing wird längst von E-Mail-Postfächern als Spam erkannt und langweilt mit für die Masse geschriebenen, von Rechtschreibfehlern gespickten Texten. Spear-Phishing-Angriffe sind aber viel gezielter und richten sich meistens gegen Unternehmen. Der Angreifer hat zunächst Informationen über seine Zielperson gesammelt und seine Mail eigens auf sie zugeschnitten. Sein Ziel: Das Opfer soll Mailanhänge mit Malware zu öffnen oder große Summen überweisen.

Spear-Phishing-Angriffe auf Unternehmen um ein Drittel gestiegen

Die zusätzlichen Anstrengungen lohnen sich offenbar. Mehr als die Hälfte der deutschen Unternehmen wurden in den vergangenen beiden Jahren Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl, führt der Digitalverband Bitkom in einer Studie an. Dabei ist ein Schaden von rund 55 Milliarden Euro im Jahr entstanden. Spear-Phishing ist bei den Angreifern immer beliebter geworden: Laut der Sicherheitsfirma Proofpoint sind in der ersten Jahreshälfte die Angriffe auf Firmen mit gezieltem Phishing um mehr als ein Drittel gestiegen.

Gegenmaßnahmen der Unternehmen fallen leider häufig enttäuschend aus. Richard Gold berät als Leiter für Sicherheitstechnik des IT-Sicherheits-Unternehmen Digital Shadows andere Firmen bei Lösungen für digitales Risikomanagement. "Die Unternehmen schenken ihren Firewalls viel zu viel Vertrauen", sagt er. Firewalls wehren zwar Bedrohungen ab, doch wer einem mit Malware verseuchten Anhang erlaubt, Programme durchzuführen, hat diesen Anhang selbst als nicht-bedrohlich identifiziert. Bedeutet: Spear-Phishing ist eine Methode, Virenschutzsysteme wie Firewalls zu umgehen. "Spear-Phishing war bei Angreifern als Methode schon immer beliebt, weil sie auf die Schwachstelle Mensch zielt. Jeder Mitarbeiter, egal wie hochrangig, kann auf eine betrügerische Mail hereinfallen, wenn sie auf ihn zugeschnitten ist."

Spear-Phishing leichtgemacht - Schritt 1: Informationsbeschaffung

Viele kritische Informationen über Firmen seien ganz offen im Netz zu finden, erklärt Gold und beschreibt, wie Angreifer vorgehen. Zuerst müssen sie herausfinden, welche Systeme das Zielunternehmen nutzt, damit sie eine entsprechend schädliche Software entwickeln können. Nützlich seien für die Hacker Plattformen wie Linkedin. Sucht eine Firma nach IT-Mitarbeitern, führt sie oft an, welche Systeme der neue Angestellte beherrschen sollte. Gleichermaßen geben Mitarbeiter auf Linkedin auch an, mit welchen Programmen sie umgehen können. Welche Firewall ein Unternehmen verwende, fänden Angreifer oft auf den Support-Foren der jeweiligen Virenschutzprogramme heraus: Oft stelle eine Firma dort eine Anfrage. "Falls nichts herauszufinden ist, gehen Angreifer einfach davon aus, dass Unternehmen die Standart-Systeme verwenden: Windows, Adobe, Office", sagt Gold.

Doch auch, wenn eine Firma sicherheitsbewusst ist, gibt es genug Wege, sie auszuspähen. Sascha Herzog ist technischer Geschäftsführer bei Nside Attack Logic. Mit seinem Red Team testet er im Auftrag von Firmen deren Sicherheitssysteme - auch, damit Mitarbeiter sich der Gefahr von Spear-Phishing-Betrügereien stärker bewusst werden. Um Informationen über die technische Infrastruktur eines Unternehmens, also Browserdaten, Programme und Firewalls, zu erhalten, sende sein Team an alle Mitarbeiter einen fingierten Newsletter. "Dieser Newsletter nervt, die Mitarbeiter erhalten ihn zweimal am Tag. Deshalb senden wir in der Mail einen Link mit, unter dem sie vermeintlich den Newsletter abmelden können. Doch sie landen stattdessen auf einer von uns erstellen Seite, die Daten abgreift." Um diesen Newsletter zu senden, benötige Herzog die Mailadressen der Mitarbeiter. Dank der Informationsmenge, die im Internet öffentlich zugänglich ist, kein Problem.

Geschäftliche Mailadressen haben in der Regel dasselbe Schema: Vorname.Nachname@Firmenname.de. Dank der sozialen Medien wie Facebook und Xing, Artikeln in Online-Medien und auch der Unternehmenswebseite ist es leicht, die Namen von Mitarbeitern herauszufinden. Einer Studie des japanischen Sicherheitsanbieters Trend Micro zufolge sind drei Viertel aller E-Mail-Adressen offen im Netz zu finden oder einfach zu schlussfolgern.

Schritt 2: Ziel auswählen und Betrugsmasche wählen

Ein Mitarbeiter, der sich mit IT auskennt, sei schwerer auszutricksen, sagt Herzog. "Beliebte Zielpersonen sind deshalb normale Mitarbeiter Mitte 50, gerne Assistenten oder im kaufmännischen Bereich." Digital-Shadows-Sicherheitstechniker Gold fügt hinzu: "Spear-Phishing-Opfer arbeiten oft in der Rechtsabteilung, im Marketing oder in der HR-Abteilung. Solche Mitarbeiter sind weniger misstrauisch bei Anhängen in Mails. Es ist sogar deren Job, auf Anhänge zu klicken." Entscheidend für den Erfolg eines Phishing-Angriffs sei die Story, die dem Opfer in der Mail aufgetischt wird, damit es den verseuchten Anhang öffnet oder auf den schädlichen Link klickt.

"Aktuell funktioniert bei Phishing-Mails der Vorwand, unter dem Link oder Anhang Informationen zur neuen Datenschutz-Grundverordnung (DSGVO) zu finden", sagt Herzog. Klassiker seien der zu Anfang geschilderte Facharbeit-Trick sowie vermeintliche Anmeldelinks zu firmeninternen Events. Testet Herzog die Sicherheit einer Firma, sendet er meist zwei bis drei solcher Stories an Mitarbeiter. In etwa 80 Prozent der Fälle würden die Betroffenen auf die Maschen hereinfallen.

Ein Sonderfall ist der sogenannte "CEO-Fraud". Hier gibt sich ein Hacker als CEO des Unternehmens aus und bittet einen anderen Mitarbeiter, eine Summe zu überweisen. Er sei zurzeit auf Reisen und könne das nicht selbst erledigen. "Das klappt vielleicht in einem von tausend Fällen", sagt Gold. Doch wenn der Trick funktioniert, hat ein Unternehmen leicht Summen in Millionenhöhe an die Betrüger verloren.

Schritt 3: Ausbreitung im System

Angreifer verstecken Schadsoftware gerne in Zip-Dateien, PDFs und allen Microsoft Office-Dateien. Gerade bei Word oder Excel-Dateien werden Nutzer oft mit dem "Enable Content"-Button gefragt, ob sie Makros ausführen wollen. Makros helfen Programmen, einzelne Aufgaben schneller zu auszuführen, etwa Tabellenkalkulationen. "Was User nicht wissen: Makros können auch auf das Internet zugreifen und eigenständig downloaden", sagt Gold. So kann Malware auf den Rechner gelangen. Einmal im System, sind die Möglichkeiten für Angreifer nahezu grenzenlos.

Wie sich Unternehmen wehren können

Mittlerweile gibt es für E-Mail-Fächer genug Anti-Phishing-Programme. Es lohnt sich aber, diese zu ergänzen. Golds Unternehmen Digital Shadows nutzt zum Beispiel ein Programm, das automatisch alle anhängenden Office-Dokumente in PDFs verwandelt. Dadurch verschwinden die gefährlichen Makros.

"Wem ein Dokument verdächtigt vorkommt, der soll es am besten in einer Cloud öffnen - weit weg von den Systemen des Unternehmens", rät Gold. Bei verdächtigen Links lohnt es sich, mit dem Mauszeiger darüber zu gehen, um den Ziellink vor dem Klick anzusehen. Häufig senden Angreifer etwa einen Link, der vermeintlich zum eigenen Google-Mail-Account führt. Melden sich Betroffene darüber an, machen sie Hackern den Weg frei zu all ihren Mails und gespeicherten Dokumenten.

Wenn sich einmal jemand Zugang zu einem PC verschafft hat, kann er sich theoretisch vom Rechner der Poststelle bis zur Entwicklungsabteilung vorarbeiten. Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) rät deshalb, Firmenrechner möglichst nicht untereinander, sondern nur mit zentralen Servern zu verbinden.

Doch wenn es schon zu spät ist?

"Den größten Fehler, den Unternehmen machen können, ist Mitarbeiter zu feuern, die auf Phishing hereingefallen sind", sagt Gold. Das würde dazu führen, dass Angestellte nicht melden, dass sie sich Schadsoftware heruntergeladen haben.

Stattdessen ist Schadensbegrenzung angesagt. Wichtig: Den Rechner sofort vom Netzwerk nehmen, damit sich Malware nicht ausbreiten kann.

Laut einer Studie von Bitkom schaltet nur ein Drittel der betroffenen Unternehmen die Polizei ein - aus Angst vor Imageschäden. Jedoch sei sich das Bundeskriminalamt (BKA) bewusst, dass Firmen Angst um ihren Ruf haben und erscheine nur mit wenigen zivil gekleideten Beamten vor Ort.

Bedrohung für die Allgemeinheit:

Oft dauert es, bis Firmen den Fremden im eigenen System bemerken. Ein paar Monate, manchmal sogar ein Jahr lang würden Cyber-Angriffe oft unbemerkt bleiben, sagt Herzog. Besonders weitreichende Folgen hat das, wenn kritische Infrastrukturen (KRITIS) betroffen seien: Militär, Chemiekonzerne, Energiekonzerne, staatliche Behörden. Auch gibt es bereits Angriffe im Auftrag von Nachrichtendiensten anderer Länder. "Wenn diese Angriffe unbemerkt bleiben, können sozusagen bei Bedarf die Knöpfe gedrückt werden. Ich glaube, die Kriege der Zukunft könnten im Cyberraum stattfinden", sagt Herzog.

"Angriffe auf kritische Infrastrukturen sind Realität", sagt BIS-Präsident Schönbohm. Allerdings seien bisher nur Angriffsversuche auf Büronetzwerke and Randsysteme bekannt. Nicht einmal ein Prozent der Cyberattacken stamme von staatlichen Diensten, die Haupttäter seien Mitglieder organisierten Verbrechens.

© manager magazin 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der manager magazin Verlagsgesellschaft mbH