Mensch und Technologie – Hand in Hand zur Cyberabwehr
Das Versagen von Cybersicherheitsmassnahmen ist einmal mehr eines der grössten Risiken für Unternehmen. Dies gilt gemäss dem diesjährigen Weltrisikobericht des Weltwirtschaftsforums für die nächsten zehn Jahre. Mit welchen Massnahmen lässt sich dieses Risiko minimieren?
Die überwältigende Mehrzahl aller Cyberattacken nimmt ihren Anfang in einer E-Mail. Und fast 100 Prozent der im Umlauf befindlichen Malware benötigt die Aktion eines Anwenders, um beim Opfer Schaden anrichten zu können.
Cyberkriminelle haben ihren Fokus verschoben und nehmen heute vermehrt die «Schwachstelle Mensch» ins Visier. Bei ihren Angriffen setzen sie nicht mehr auf ausgefeilte technische Exploits, sondern auf nicht minder ausgefeilte Social-Engineering-Kampagnen, die sich direkt gegen die Anwender in den Unternehmen richten. Das Ziel ist dabei immer, die Opfer zu einer bestimmten unbedachten Aktion zu verleiten, beispielsweise ein Makro auszuführen.
Der Faktor Mensch
Heute drehen sich die drei gefährlichsten Angriffstypen, die Cyberkriminelle nutzen, um Profit zu machen, allesamt um den menschlichen Faktor. Es handelt sich dabei um BEC (Business E-Mail Compromise, im deutschen Sprachraum auch als Chefmasche bekannt), E-Mail Account Compromise (wenn echte E-Mail-Konten von Cyberkriminellen übernommen werden) sowie um Ransomware-Angriffe.
BEC-Angriffe sind dabei besonders perfide. Hier verwenden die Angreifer in der Regel eine reine Text-E-Mail, die von vielen der gängigen E-Mail-Sicherheitssysteme nicht als Bedrohung erkannt wird. Einmal an den Posteingang des Mitarbeiters ausgeliefert, liegt es an diesem, die Echtheit der E-Mail einzuschätzen. Häufig wurde die Absenderadresse gut gefälscht, ein tatsächlich existierender Vorgesetzter oder Geschäftspartner aus der Lieferkette passend imitiert und der Inhalt individuell auf einen Empfänger zugeschnitten. Ist der Empfänger dann nicht für diese Art eines möglichen Angriffs sensibilisiert, ist es nicht ausgeschlossen, dass er im Auftrag des vermeintlichen Vorgesetzten eine Überweisung auf ein Konto der Hacker vornimmt oder sensible Informationen wie Firmengeheimnisse verschickt. Mit Schäden von mehreren Milliarden US-Dollar im Jahr sind es aktuell dann auch BEC-Angriffe, die den grössten Anteil der Forderungen an Cyberversicherungen ausmachen.
Proofpoint-Studie legt Defizite offen
CISOs in der Schweiz, Deutschland und Österreich haben den oben erwähnten Trend der personenorientierten Angriffe auf breiter Ebene erkannt. Einer aktuellen Studie von Proofpoint zufolge geben 70 Prozent der IT-Sicherheitsverantwortlichen an, dass die Mitarbeitenden das grösste Risiko für die IT-Sicherheit darstellen.
Trotz dieser Erkenntnis sind noch keine Konsequenzen zu beobachten. So trainieren und schulen 77 Prozent der Unternehmen ihre Mitarbeitenden nur zweimal im Jahr oder seltener zu Themen der digitalen Sicherheit, zeigt ein weiteres Ergebnis der Studie. Dass dies in Anbetracht des dynamischen Angriffsgeschehens nicht ausreicht, liegt auf der Hand.
Effektiver Schutz erfordert personenorientierte Verteidigung
Um das eigene Unternehmen effektiv zu schützen, muss das Sicherheitskonzept mehrstufig aufgebaut sein: Firmen sind gefordert, in die E-Mail-Sicherheit zu investieren. Sie müssen dafür sorgen, dass Betrugsversuche und andere Attacken, die per E-Mail erfolgen, erkannt und gar nicht erst an die Postfächer der Empfänger ausgeliefert werden. Nicht zu vergessen sind aber auch Anwenderschulungen, sodass die Angestellten in der Lage sind, Betrugs-E-Mails, die es vielleicht doch ins Postfach geschafft haben, zu erkennen und entsprechend verantwortungsvoll damit umzugehen. Denn nur wenn Technologie und geschulte Anwender zusammenspielen, lässt sich die Sicherheit im Unternehmen nachhaltig steigern.
----------
Es ist erstaunlich, wie unsexy einige der erfolgreichsten Attacken anmuten
Der Sicherheitsperimeter von Unternehmen wird zunehmend durch die Mitarbeitenden definiert. Schweizer Unternehmen ist das zwar bewusst, trotzdem ergreifen sie oftmals nicht die entsprechenden Massnahmen. Was zu tun ist, erklärt Michele Rapisarda, Senior Channel Account Manager für die Schweiz und Österreich bei Proofpoint. Interview: Colin Wallace
Auf welche Prozesse und Technologien setzt Proofpoint beim Thema Cybersecurity – und warum?
Michele Rapisarda: Wir sind davon überzeugt, dass eine starke Verteidigung nur durch ein effektives Zusammenspiel von Technologie, Prozessen und dem Menschen erreicht werden kann. Egal wie klein oder gross – der überwiegenden Mehrzahl aller Cyberattacken gemeinsam ist die Tatsache, dass sie mit einer E-Mail ihren Anfang nehmen und versuchen, einen Menschen zu überlisten, sodass eine personenorientierte Verteidigungsstrategie unerlässlich wird. Schulungen sind dabei ein elementarer Bestandteil, ebenso E-Mail-Sicherheitslösungen, die verdächtige Mails frühzeitig erkennen können.
Was sind einige der gängigsten Makros, die Cyberkriminelle nutzen, um Menschen zu ködern, und wie können sie erkannt werden?
Vom technologischen Gesichtspunkt her ist es teilweise erstaunlich, wie unsexy einige der erfolgreichsten Attacken anmuten. Es handelt sich in der Tat vielfach um in Word- oder Excel-Dokumenten eingebettete Makros, mit denen versucht wird, durch unbewusste Mithilfe des Nutzers, Schadsoftware nachzuladen. Dabei muss man aber sagen, dass E-Mail-Bedrohungen mit infizierten Anhängen oder schadhaften URL-Links von guter Sicherheitstechnologie heute schon mit einer hohen Trefferquote identifiziert und vor der Zustellung an den Posteingang aus dem Verkehr gezogen werden können. Wichtig für die Security-Teams ist es aber, auch Bedrohungen zu finden, die als reine Textmails daherkommen und durch vorgetäuschte Identitätsübernahme oder tatsächliche Übernahme eines echten E-Mail-Kontos zu betrügen versuchen. Hier gilt es, Security-Teams dabei zu unterstützen, Nutzer effektiv für diese Angriffe zu sensibilisieren und das Training beziehungsweise das Gelernte durch simulierte Attacken zu festigen. Auch müssen die Identifikation und Meldung potenziell bösartiger Mails – etwa durch eine Schaltfläche im E-Mail-Client – vereinfacht und die als bösartig identifizierten Mails schnell und möglichst automatisiert, zentral aus den Posteingängen aller Nutzer entfernt werden.
Warum schulen Firmen ihre Mitarbeitenden nur selten zu Themen der digitalen Sicherheit?
Viele Unternehmen betrachteten in der Vergangenheit Sicherheitsschulungen häufig nur als lästige Aufgabe, die man eben im Rahmen von Compliance-Vorgaben abhalten musste. Traditionelle IT-Sicherheit hat sich zudem auf die Absicherung des Unternehmensperimeters fokussiert, in der Annahme, dass sich Angriffe von aussen gegen das Unternehmen wenden. Um gegen die personenorientierten Betrugstaktiken von heute bestehen zu können, müssen andere Geschütze aufgefahren werden. Der historisch-technische Perimeter existiert nicht mehr. Jetzt wird der Perimeter durch jeden einzelnen Mitarbeiter definiert. Wir beobachten, dass viele Firmen das verstanden haben und jetzt aktiv daran arbeiten, die Angriffsfläche zu reduzieren.
Sind KMUs besonders anfällig für Cyberangriffe?
Mitarbeitende in KMUs gehen davon aus, dass ihr Unternehmen für Cyberkriminelle weniger interessant ist und sie wiegen sich dadurch in einem Gefühl falscher Sicherheit. Unsere Daten zeigen jedoch, dass Cyberkriminelle wenig Unterschiede machen und Firmen jeder Grösse in etwa gleich häufig angegriffen werden.