Sicherheitslücke Mensch – Cyberkriminalität in Unternehmen

Digitalisierung

Die menschliche Firewall als Schwachstelle

Die weltweite Digitalisierung in Unternehmen ist weiter rasant auf dem Vormarsch. Zunehmender Kostendruck, steigende Konkurrenz aus anderen Ländern, aber auch die Corona-Pandemie sind nur einige der Faktoren dieser Entwicklung.

Der Austausch von Daten erfolgt heutzutage nicht nur mehr zwischen Systemen wie z. B. Servern, sondern auch per E-Mail und zunehmend über die sozialen Netzwerke. Selbst Inhalte von Telefonaten werden schon vielfach als Datenpakete versendet.

Mobilität und Zugriff auf Unternehmensdaten von jedem beliebigen Ort sind aus dem Tagesgeschäft kaum noch wegzudenken.

Während die Unternehmensdaten in der Vergangenheit meist klassisch auf Servern im eigenen Gebäude gespeichert wurden, werden diese heute schon vielfach in Rechenzentren „gehostet“, die über den gesamten Globus verteilt sind:

Ein Provider stellt die gesamte Technik bereit, kümmert sich um den Betrieb und stellt den Zugriff auf die Unternehmensdaten jederzeit sicher.

Durch die steigende Digitalisierung wachsen gleichzeitig die Gefahren und Risiken für die Unternehmen. Sie sind vermeintlich anfälliger für kriminelle Angriffe von außen, wie das jüngste Beispiel der Funke Mediengruppe zeigt.

https://www.sueddeutsche.de/digital/ransomware-clop-fin11-fire-eye-cybercrime-1.5161726?utm_source=pocket-newtab-global-de-DE

Sicherheitslücke Mensch

Da die technischen Sicherheitslösungen immer komplexer werden und sich fortlaufend weiterentwickeln, verlagern sich die kriminellen Angriffe mehr und mehr auf den Menschen als Schwachstelle und Einfallstor in das Unternehmensnetzwerk, die technischen Lösungen wie z. B. Firewalls oder Antivirenprogramme werden so umgangen.  

Als Oberbegriff spricht man bei dieser Art Angriffe von Cyberkriminalität.

50% aller Angriffe auf Unternehmen nutzen die Schwachstelle Mensch aus.

* *Quelle: Wirtschaftsschutz in der vernetzten Welt, bitkom 2020

IT-Sicherheit fängt bei den Mitarbeitern an

Mitarbeiter sind die erste Verteidigungslinie gegen Angriffe aus dem Internet. Viele Unternehmen haben das bereits erkannt und investieren daher bereits deutlich mehr in Cybersicherheit. Dennoch steigt auch die Anzahl der Angriffe auf Organisationen. Der menschliche Faktor in der IT stellt eine nicht zu vernachlässigende Gefahrenquelle dar.

Fünf entscheidende Angriffsformen

Phishing, Vishing, Smishing, Social Media Phishing und Deepfakes sind Angriffsformen, mit denen Cyberkriminelle versuchen, den Menschen zum Ziel von Cyberangriffen zu machen.

Hat der Eindringling erst einmal Zugang auf sensible Daten, so wird dies sehr häufig erst dann bemerkt, wenn es bereits zu spät ist. Die Tragweite auf das Netzwerk ist vielfach unbekannt. Das Ergebnis können Produktionsausfälle, hohe Kosten für den Neuaufbau der IT, Imageverluste des Unternehmens bis hin zu existentiellen Ängsten sein.

Die Angriffsformen kurz erklärt

Phishing

Beim Phishing soll der Mensch durch Irreführung dazu bewegt werden, persönliche Informationen wie z. B. Login-Informationen für ein Bankkonto mit den Kriminellen zu teilen. Die Betroffenen erhalten dazu meist eine täuschend echte E-Mail, die dazu auffordert, sich bei seinem Bankkonto, PayPal oder ähnlichem anzumelden. Die in der E-Mail verlinkte Seite wirkt ebenfalls so täuschend echt, dass eine Vielzahl der Menschen dieser simplen Masche zum Opfer fällt.

Smishing

Das Smishing basiert auf einer SMS und ist somit die abgewandelte Variante des Phishings, quasi ein SMS-Phishing. Beim Smishing werden SMS versendet, die im Prinzip dasselbe Ziel wie das Phishing haben:

Ist es dem Angreifer erst einmal gelungen, die Tore zu öffnen, kann er beispielsweise über das Telefon in das Unternehmensnetzwerk eindringen.

Die SMS, schon vielfach totgesagt, lebt trotz zunehmender Verbreitung von Messenger Diensten weiter. SMS genießen heute immer noch eine hohe Glaubwürdigkeit, insbesondere bei älteren Menschen und werden vielfach noch im Notfall genutzt.

Vishing

Die gezielteste und auch persönlichste Variante des Phishings ist das Voice-Phishing, das Vishing. Eines der bekanntesten Beispiele des Vishing ist der sogenannte Enkeltrick: Älteren Personen wird per Telefon eine aktuelle Problemsituation des vermeintlichen Enkels geschildert und es wird behauptet, dass die Probleme nur mit einer Geldüberweisung gelöst werden könnten. Die Anrufe erfolgen zwar vielfach aus dem Ausland, aber mit bestimmten Ländervorwahlen entsteht auf den ersten Blick der Eindruck, der Anruf komme aus Deutschland.

Social-Media-Phishing

Das Phishing über soziale Medien, das Social-Media-Phishing, ist ein zunehmend beliebter werdende Variante für Angriffe.

In den letzten Jahren ist die Anzahl solcher Attacken über die sozialen Medien oder über E-Mails, die vorgeben, von einem sozialen Netzwerk versandt worden zu sein, rasant angestiegen.

Dieser Art des Phishings kann wiederum unterteilt werden in das Angel-Phishing und das Account-Hijacking. Bei ersterem gibt sicher Angreifer als falscher Kundensupport aus und antwortet auf öffentliche Support-Anfragen.

Beim Account-Hijacking werden meist stillliegende Accounts geknackt und deren Passwort geändert. Der Angreifer verschickt dann bösartige Links an die Kontakte des Account-Eigentümers.

Deepfakes

Bei Deepfakes wird der Anschein hergestellt, es spreche in einem Video tatsächlich die zu sehende Person, in Wirklichkeit handelt es sich um eine Animation.

Eines der bekanntesten Beispiele dafür ist das Youtube-Video „You Won’t Believe What Obama Says In This Video!“. In dem Video warnt Barak Obama aus dem Oval Office im Weißen Haus vor täuschend echten Aufnahmen. Zur Hälfte des Clips erfolgt dann die Auflösung: Hier alarmiert nicht der ehemalige US-Präsident, sondern auch er wurde animiert.

Was Sie als Unternehmen tun können

Schützen Sie Ihr Unternehmen vor diesen Angriffsformen und machen Sie Ihre Mitarbeiter zur stärksten Verteidigung! Durch Sensibilisierung Ihrer Mitarbeiter und mit gezielten Trainings können Sie Ihr Unternehmen schützen.

Wenden Sie sich gerne bei Interesse an das Team der cit:

Denis Seefeldt – Managing Partner

Tel. +49 531 180 59  332

E-Mail: d.seefeldt@cit-net.de

Michael Rode – Senior Consultant

Tel. +49 531 180 59 331

E-Mail: m.rode@cit-net.de

Neuesten Blog Beiträge

Braunschweiger M&A Forum 2024

Das Braunschweiger M&A Forum 2024 von der i-capital bot die Möglichkeit der Vernetzung mit Branchenexperten, Networking und gab spannende Einblicke in aktuelle M&A-Themen.

i-unit group Newsletter - immer gut informiert sein!

Ich möchte den i-unit group Newsletter erhalten. Die Hinweise zum Datenschutz habe ich gelesen.