Die ganz persönliche Cyber-Falle

Phishing Mails sind eine verlockende Angriffsform für Cyber-Kriminelle. In einem Unternehmen würde man vermutlich von einem günstigen Kosten Nutzen Verhältnis sprechen.

Die Realisierung ist relativ simpel, die Erfolgschancen noch immer hoch. Dabei gilt es zu beachten, dass es auch hier „Qualitätsunterschiede“ gibt. Mache schlecht gemachte Phishing-Mail erkennt inzwischen auch ein Laie schnell und lässt sie im digitalen Papierkorb verschwinden. Doch es gibt eben auch Phishing-Mails von „guter Qualität“, wenn man es so ausdrücken möchte. Dazu ein kleines Beispiel zum Einstieg:

Diese E-Mail landet im Postfach. Soweit so gut. Oder doch nicht?

Herr Mustermann, der kaufmännische Leiter eines mittelständischen Betriebs ist erstmal überrascht, dann aber positiv angetan. Warum? Weil die Firma Heppel & Partner tatsächlich das Steuerberatungsbüro seiner Firma ist und er sich über die angekündigte Maßnahme zur Verbesserung der Dokumentensicherheit freut. Auf den ersten Blick stimmt auch alles. Anrede, Firma, Thema und Firmenbezeichnung. Nur entgeht Herrn Mustermann, dass sich ein kleiner Fehler in die Adresse des Absenders eingeschlichen hat. Denn die tatsächliche Adresse der Firma Heppel & Partner ist nicht @hpup.de, sondern @hpp.de. Und so registriert er sich und öffnet anschließend das Dokument – und installiert dadurch unwissend Schadsoftware auf seinem Rechner.

Die personalisierte Cyber-Attacke

Die personalisierte Phishing Mail, auch Spear Phishing genannt, ist eine besonders gefährliche Form des bunten und kriminellen Treibens im Netz. Dabei investieren die Kriminellen einigen Aufwand in diese Attacke. Es wird eine möglichst authentische Mail entworfen und an ausgewählte Mitarbeiter zugestellt. Im Vorfeld werden dazu im Internet, Darkweb und in sozialen Medien Informationen über das Unternehmen und deren Partner und Kunden gesammelt. Relevante Angestellte und Schwachstellen werden so gezielt identifiziert. Die Empfänger werden durch glaubhafte Vorgänge dazu angereizt, die infizierten Anhänge zu öffnen und den Kriminellen so Zugriff auf die IT des Unternehmens zu verschaffen.

Zwar haben viele Unternehmen die Gefahr erkannt und Gegenmaßahmen eingeleitet, aber oftmals besteht im ersten Schritt der Reaktion keine genaue Kenntnis über Risiko und eventuell bereits getroffene Maßnahmen. Zu den häufigsten Maßnahmen zählen daher IT-Sicherheitslösungen, Programme zur Sensibilisierung der Mitarbeiter mittels E-Learning, Filme, Seminare oder Newsletter. Diese Maßnahmen der klassischen Awareness bleiben aber meist oberflächlich, reale und komplexe Angriffsszenarien werden zu selten berücksichtigt.

Bewertung und spezifische Lösungen notwendig

Spear-Phishing ist mit hohem Aufwand auf individuelle Personengruppen oder einzelne Personen zugeschnitten. Die alte Sicherheitsweisheit „Viel hilft viel“ greift hier in keinem Ansatz mehr zuverlässig. Vielmehr ist eine detaillierte Betrachtung der Unternehmen, Mitarbeiter, deren Tätigkeitsfelder, Arbeitsalltag und Befugnisse von Nöten. Spear-Phishing wird meist an Mitarbeiter adressiert, welche im Austausch mit externen Dienstleistern, Kunden, Bewerbern oder Lieferanten stehen. Daraus resultiert, dass besonders Angehörige der Bereiche Personal und Accounting / Controlling gefährdet sind. Zur Reduzierung des Risikos ist eine Grundlagenermittlung und eine Sensibilisierung der betroffenen Mitarbeiter in Form eines Audits ein brauchbarer Ansatz. Dabei sollten auch solche konkreten und anspruchsvolle Angriffsformen anhand von Beispielen verdeutlicht werden.

Zur Abwehr von Spear Phishing kann es bereits ausreichen, einfach anwendbare Regeln zu implementieren. Einige Behörden und Unternehmen setzen dazu beispielsweise auch im Rahmen eines Audits oder Workshops geschulte Kollegen als Multiplikatoren ein. Dies erhöht in den meisten Fällen bei den übrigen Mitarbeitern die Akzeptanz der Regeln und Maßnahmen.

Was man außerdem beachten sollte

Maßnahmen zur Erhöhung der Security Awareness werden am Markt vielfältig angeboten. Aber bei der Durchführung solcher Maßnahmen sind auch datenschutzrechtliche Rahmenbedingungen zu beachten und einzuhalten. Es empfiehlt sich daher vor der eigentlichen Realisierung einer solcher Maßnahme gründlich zu prüfen, wie und in welchem Rahmen eine Security Awareness Kampagne durchgeführt werden soll und kann. Wer diesen Schritt leichtfertig übergeht, riskiert, trotz guter Intention, einen Verstoß gegen die DSGVO. Dem kann Concepture vorbeugen. Durch unsere Expertise in Sachen Datenschutz ist unser Audit und die daraus gewonnenen Awareness-Maßnahmen DSGVO-konform.

Wenn Sie wissen möchten, was Concepture konkret für Ihr Unternehmen in diesen Fragen tun kann, dann kontaktieren Sie uns jetzt für ein Cyber-Security-Audit.

Quellen:

https://www.manager-magazin.de/finanzen/artikel/spear-phishing-perfide-cyberkriminalitaet-gegen-unternehmen-a-1230422.html

https://www.kaspersky.de/resource-center/definitions/spear-phishing

https://de.norton.com/norton-blog/2016/11/was_ist_spear_phishi.html

https://www.computerweekly.com/de/definition/Spear-Phishing