Cybercrime: Angriffsszenarien mutieren und werden noch gefährlicher
Betrüger lernen dazu und professionalisieren sich
Es ist ein Szenario wie beim Corona-Virus: Nachdem Großkonzerne, Institutionen und öffentlichen Einrichtungen ihre IT-Systeme gegen konventionelle Angriffe besser geschützt haben, ändern Cyberkriminelle nun ihre Strategien, Vorgehensweisen und Zielobjekte – die Angriffsszenarien mutieren. Ransomware, Phishing und Social Engineering in neuer Dimension: Die Gefahr wächst und betrifft verstärkt auch Unternehmen, die bisher glaubten, für Hacker uninteressant zu sein.
Die Cybercrime-Szene ist in Bewegung
Da Großunternehmen immer schwerer zu hacken sind, stellen sich Kriminelle neu auf und nehmen leichtere Ziele ins Visier. Wo früher Einzelpersonen mit nächtelang selbst entwickelter Schadsoftware individuelle Angriffe starteten, treten heute bestens organisierte Gruppierungen auf. Ihr Vorgehen ist hochprofessionell und systematisch. Sie überziehen ihren „Markt“ mit wellenartigen Attacken und greifen konsequent zu, sobald einer der Angegriffenen Schwächen zeigt.
Ransomware: Lösegeld für den Entschlüsselungscode
Viele Unternehmen haben bereits hohe Summen an Cyberkriminelle gezahlt, um wieder Zugriff auf ihr durch verschlüsseltes System zu bekommen. Oft sind solche Erpressungsgelder das kleinere Übel im Vergleich zu einem weiteren Stillstand der Produktion, dem drohenden Verlust von Kunden und dem Reputationsschaden. Das Problem: Auch nach einer Lösegeldzahlung gibt es keine Sicherheit, dass z.B. kopierte Daten nicht doch noch im Darknet verkauft oder weitere Forderungen nachgereicht werden.
Unternehmen sind nicht wehrlos
Doch Unternehmen sind solchen Machenschaften nicht wehrlos ausgesetzt. So kann etwa das NIST Cybersecurity Framework (NIST CSF) Unternehmen eine gute Orientierung geben, um ihr Cyber-Security-Programm zu starten oder zu verbessern. Das Framework ist durch fünf Schlüsselfunktionen definiert:
- Identifizieren,
- Schützen,
- Erkennen,
- Reagieren
- Wiederherstellen.
In der Gesamtbetrachtung aller fünf Begriffe gibt das NIST Cybersecurity Framework einen umfassenden Überblick über die aufeinander aufbauende Abfolge von Aktivitäten, um Cybersicherheitsrisiken zu begegnen.
Standards wie NIST CSF 1 helfen bei Planung und Durchführung von Informationssicherheitsmaßnahmen
Weitere Hilfen zur Selbsthilfe für mehr Informationssicherheit im Unternehmen bietet der „IT-Grundschutz“ des Bundesamtes für Sicherheit in der Informationstechnik.
Der Trend: manipulieren statt programmieren
Weil die IT-technischen Sicherungsmaßnahmen gegen Ransomware immer effektiver werden, wählen Kriminelle den Weg des geringsten Widerstands: Sie umgehen die Sicherheitssysteme und nehmen dafür verstärkt Mitarbeiter von Unternehmen ins Visier. Laut BSI stellt bei E-Mails mit betrügerischem Hintergrund den größten Anteil (84%) dar.2
Beim Phishing geben sich die Täter unter anderem als Headhunter auf Social-Media-Plattformen aus und sind mit falschen Identitäten als Anwälte, Steuerberater oder als sonstige vertrauenswürdige Personen unterwegs. Oft wird auch der Internetauftritt von Banken und anderen Finanzdienstleistern gefälscht, um unter einem Vorwand sensible Zugangsdaten abzugreifen. Selbst vor der Infiltration seitens Komplizen und der Erpressung oder Bestechung von Mitarbeitern machen Kriminelle nicht halt. So schleusen sie USB-Sticks mit einer Schadsoftware ein, um das interne System zu infizieren. Vertrauliche E-Mails werden durch einen vermeintlichen Kollegen mitgelesen und schrittweise verändert. So erhalten Abnehmer die Information, dass sich die Bankverbindung geändert hat und die Überweisung auf das neue Konto erfolgen möge – natürlich auf das Konto der Betrüger. Ehe dies durch Mahnungen auffliegt, sind alle Spuren beseitigt und das Geld ist weg.
Künstliche Intelligenz wird missbraucht
Besonders perfide ist die als „CEO-Fraud“ bezeichnete Taktik: Kriminelle geben sich als Führungskraft aus, die ebenso dringend wie vertraulich Informationen verlangt oder Transaktionen veranlasst. Generative KI-Anwendungen wie Chat-GPT spielen den Kriminellen dabei in die Hände. Die Erfolgsquote der Attacken steigt, wenn Mitarbeiter mit Zugang zu vertraulichen Informationen kurz vor Feierabend eine authentisch anmutende E-Mail von einer vermeintlichen Führungskraft erhalten. Der Schreibstil ist täuschend echt, das Anliegen dringend und die Mitarbeiter wollen einfach nur noch nach Hause. Schon wird die verlangte Transaktion veranlasst.
Mitarbeiter sind die „Top-Line of Defense“
Aufmerksame und für die Gefahrenlage sensibilisierte Mitarbeiter, die an entsprechenden Schulungen und Übungen teilnehmen, können diese Taktiken durchschauen. Schon der einfache Rückruf beispielsweise, ob sich die Bankverbindung des Lieferanten tatsächlich geändert hat, kann Schlimmeres verhüten. Auch durch den regelmäßigen kollegialen Austausch im Unternehmen über selbst erlebte oder beobachtete Cybercrime-Versuche lassen sich viele Phishing-Angriffe im Keim ersticken.
Auch wer nicht direkt angegriffen wird, kann betroffen sein
Die zuletzt durch Corona und Geopolitik ohnehin kritischen Lieferketten stellen eine weitere Schwachstelle dar. Angegriffene Lieferanten und Abnehmer können durch Cyberattacken ausfallen. Schlimmer noch: Die Cyberkriminellen kommen mit den erbeuteten Daten von Geschäftspartnern schnell ins Netz des Abnehmers bzw. Lieferanten – wie bei der Verbreitung einer Infektion.
Deshalb gehen immer mehr Unternehmen dazu über, die Cyber-Security ihrer Partner in die eigene Sicherheitsstrategie einzubeziehen. Welche Kriterien dabei im Einzelnen anzulegen sind, kann nur anhand der konkreten Gefährdungslage entschieden werden. Kernfragen dürften in jedem Fall die technischen Sicherungssysteme, Vorkehrungen wie die Auslagerung von Daten und natürlich die Schulung der Mitarbeiter sein. Es zeichnet sich bereits jetzt der Trend ab, dass diese Aspekte bei der Auswahl von Geschäftspartnern eine ähnlich wichtige Rolle spielen werden wie Qualität, Lieferfähigkeit und Preis. Investitionen in die Cybersicherheit werden damit zur Voraussetzung für Geschäftsabschlüsse – ganz unabhängig davon, wie ein Unternehmen selbst zu solchen Maßnahmen steht. Sie sind alternativlos.
Vorbereitet sein ist alles
Die Gefahren durch Cyberattacken lassen sich durch geeignete Maßnahmen minimieren, aber nicht völlig ausschließen. Doch selbst wenn es dazu kommt, muss dies keine Katastrophe bedeuten – vorausgesetzt, das Unternehmen ist auf den Worst Case vorbereitet. Die Frage „Was sollen wir jetzt tun?“ muss schon im Vorfeld beantwortet werden, nicht erst dann, wenn alles stillsteht.
„Incident Response“ lautet die Bezeichnung für den Notfallplan, der alle denkbaren Auswirkungen eines Cyberangriffs durchspielt und Handlungsmöglichkeiten aufzeigt – nicht nur auf dem Papier, sondern idealerweise auch in Partnerschaften mit Cyber-Security-Unternehmen. Im Schadensfall sollten Experten wie IT-Forensiker schnell zur Stelle sein, um zu retten, was zu retten ist.
Aufschlussreich kann auch das so genannte „Pentesting“ sein. Dabei simulieren IT-Sicherheitsexperten einen Angriff von außen und versuchen, mit den aktuellen Techniken der Kriminellen in das eigene System einzudringen. So können Lücken in der Verteidigung aufgezeigt und dann geschlossen werden.
Auf der Suche nach dem richtigen Partner für Ihre Cyber Security?
In unserer Online-Eventreihe lernen Sie von der Commerzbank ausgewählte Kooperationspartner kennen. Diese geben Einblicke in wichtige Themen rund um Ihre Cyber Security. Alle Aufzeichnungen unserer Webcasts können Sie sich hier jederzeit ansehen.
„Cybersicherheit“, Alle Aufzeichnungen unserer Eventreihe
Cyberversicherung: die „Feuerversicherung“ des 21. Jahrhunderts
Event vom 23.01.2024
Aufzeichnung
Präsentation
9 von 10 Cyberangriffen beginnen mit einer betrügerischen Mail
Event vom 25.01.2024
Aufzeichnung
Präsentation
Cyberangriffe auf Ihre Lieferanten und Dienstleister sind auch Ihr Risiko
Event vom 30.01.2024
Aufzeichnung
Präsentation
1st Line of Defence: Sicherheitsbewusstsein bei Mitarbeitern stärken
Event vom 30.01.2024
Aufzeichnung
Präsentation
Maßgeschneidertes Security Assessment: Was ist die optimale Lösung?
Event vom 06.02.2024
Aufzeichnung
Präsentation
Im Zertifizierungsdschungel: Welche Cyber-Sicherheitszertifizierung macht für mein Unternehmen Sinn?
Event vom 08.02.2024
Aufzeichnung
Präsentation
Incident Response: Was tun, wenn Ihr Unternehmen angegriffen wurde?
Event vom 13.02.2024
Aufzeichnung
Präsentation
Neue Maßstäbe in der Sicherheitsstrategie: Zero Trust und Assume Breach
Event vom 15.02.2024
Aufzeichnung
Präsentation
Minenfeld Krisenkommunikation bei einer Datenschutzpanne
Event vom 15.02.2024
Aufzeichnung
Präsentation
- 1
Das National Institute of Standards and Technology (NIST) in den USA ist eine nicht regulatorische Behörde, die Innovation durch die Förderung der Wissenschaft vom Messen sowie von Standards und Technologie vorantreibt. Das NIST Cybersecurity Framework (NIST CSF) besteht aus Standards, Richtlinien und Best Practices, die Unternehmen dabei helfen, ihr Management von Cybersicherheitsrisiken zu verbessern. Quelle: In Anlehnung an den NIST CSF | Stand: 14.04.2023