Wählen Sie ein anderes Land, um sich über die Services vor Ort zu informieren

//Land auswählen

Value Newsletter

Cyber Security und Datenschutz

Phishing – die unterschätzte Gefahr

Die Zwei-Faktor-Authentifizierung macht Dinge wie Online-Banking oder Zugriff auf das Unternehmensnetz sicher? Eine gängige Annahme, die so aber leider nicht zu halten ist.

Online-Banking ist praktisch und deshalb sehr populär: Schnell auf der Webseite der Bank einloggen, Kontodaten des Empfängers eingeben, Code auf das Handy erhalten, eintippen und abschicken. Überweisung erledigt. Dank Zwei-Faktor-Authentifizierung (2FA) – in diesem Fall Wissen und Besitz, also Passwort und PIN auf dem Handy – ist das völlig gefahrlos. Sollte man meinen. Findige Hacker sind aber schon mehrere Schritte weiter. Sie klinken sich in die Kommunikation ein, fangen die Daten ab und leiten Gelder um, meist auf Konten außerhalb des Hoheitsbereichs der Bank wie etwa den Cayman-Inseln. Dafür wird der Verbraucher zum Beispiel auf eine Webseite gelockt oder umgeleitet und ihm wird ein funktionierender Banking-Prozess vorgegaukelt: Nachdem die Daten eingegeben sind, erhält der Nutzer die Nachricht, dass er sich erfolgreich eingeloggt hat. Die Überweisungsmaske wird ausgefüllt und prompt erhält man ein Einmalpasswort per SMS auf das Handy. Während sich der Nutzer aber auf einer gefälschten Webseite befindet, gibt der Hacker die Daten auf der offiziellen Bankseite ein – und reibt sich die Hände. Da hilft auch keine Zwei-Faktor-Authentifizierung.

Auch für den mobilen Zugriff auf Unternehmensnetze wird die 2FA genutzt. Die Probleme sind dieselben. Eine Variante für das Ergaunern von Log-in-Daten ist die altbekannte Phishing-E-Mail, alternativ können sich Kriminelle auch „einfach“ in das drahtlose Netz einhacken. Ist der Cyberdieb vor Ort, setzt er zum Beispiel ein WLAN mit dem gleichen Namen auf – sendet ein Device die Log-in-Daten, schneidet der Gauner sie mit. Oder er lässt ein WLAN offen und sobald sich ein Gerät anmeldet, lässt sich die Kommunikation – inkl. Authentifizierungen – abhören. Dass das sehr gut funktioniert, müssen wir bei verschiedenen Penetrationstests immer wieder feststellen.

Phishing-Angriffe sind inzwischen häufig sehr fokussiert und so ausgefeilt, dass sie von der Sicherheitsinfrastruktur, Spamfilter, Firewall & Co. nicht als solche erkannt werden. Die letzte Barriere ist dann der Mitarbeiter. Ein Beispiel aus der Praxis: Experten der TÜV SÜD Sec-IT haben im Rahmen eines Penetrationstests Mails vom Account des Geschäftsführers verschickt – der Auftrag an den Mitarbeiter lautete, eine Überweisung durchzuführen. Der Empfänger hatte in diesem Fall genau richtig reagiert – und bei seinem Chef nachgefragt, ob die Anweisung wirklich von ihm stammte. Was den Mitarbeiter irritiert hat? Die E-Mail war zu freundlich verfasst. Beim Fußballverein Lazio Rom war ein Betroffener im März nicht so aufmerksam; er hat eine Rate der Ablösesumme, zwei Millionen Euro, für einen Spieler anstatt an Feyenoord Rotterdam an die Autoren einer Phishing-Mail überwiesen, wie unter anderem Die Welt berichtete. Solch ein Angriff, der mit viel Know-how des Umfelds einhergeht und extrem zugeschnitten ist, nennt sich Spear-Fishing.

Möglichst wenig Angriffsfläche bieten

Gefahren lauern für Unternehmen etwa auf ihren eigenen Internetpräsenzen. Werden etwa Informationen zu einem neuen Produkt in einem Word-Dokument auf der Webseite zum Download angeboten, lässt sich aus den Metadaten der Datei allerhand schließen: Wurde eine alte Office-Version verwendet? Wer ist der Autor, der diese mit Sicherheitslücken behaftete Version verwendet? Die E-Mail-Adresse des Autors herauszufinden, ist meist ein Leichtes. Über weitere persönliche Informationen aus sozialen Netzwerken lässt sich relativ schnell eine sehr, sehr gezielte Attacke entwickeln.

Klassische Phishingattacken:

  • Links per Mail mit der Bitte, Daten in eine gefälschte Webseite einzutragen, erfordert umfangreiches technisches Know-how. Die Seite muss originalgetreu nachgebaut werden und die Zertifikate müssen einigermaßen passen.
  • Anschreiben z. B. eines Vorgesetzten mit der Anweisung, eine Überweisung vorzunehmen. Hier braucht es in erster Linie Wissen rund um das Umfeld des Opfers.
  • E-Mail-Anhänge mit Word-Dokumenten, die die Ausführung von Makros verlangen. Perfide: Diese werden häufig mit gefälschten Aussagen von Antivirenherstellern versehen, die Sicherheit suggerieren sollen, oder enthalten Schritt-für-Schritt-Anleitungen. Wird der Anhang geöffnet, installiert sich Schadsoftware wie Trojaner.

Der TÜV SÜD Sec-IT-Tipp: Eine gepflegte und gewartete IT-Infrastruktur ist natürlich eine Selbstverständlichkeit. Aber keine Software ermöglicht 100 Prozent Sicherheit. Landet eine Phishing-Mail im Postfach des Mitarbeiters, dann hilft nur noch „Awareness“, also ein geschärftes Sicherheitsbewusstsein. Genau dafür braucht es Schulungen – und verantwortlich dafür sind die Unternehmen. Sie müssen kontinuierlich Trainings anbieten, die auf die Gefahren hinweisen, damit die Mitarbeiter im Fall der Fälle richtig reagieren. Bei wichtigen E-Mails lohnt es, gegebenenfalls nachzufragen, ob der angegebenen Absender die Mail auch wirklich verfasst hat – auch auf die Gefahr hin, Vorgesetzte oder Kollegen zu nerven.

Im privaten Umfeld sollte das WLAN über State-of-the-Art-Verschlüsselung wie WPA2 und lange, individuelle Passwörter mit – absolutes Minimum – 14 Zeichen inkl. Groß- und Kleinschreibung, Zahlen und Sonderzeichen abgesichert werden. Mehr Zeichen sind natürlich besser! Damit lässt sich etwa verhindern, dass ein Passwort über das Ausprobieren anhand von Passwort-Listen gehackt wird.

IT-Sicherheit in Unternehmen

In Penetrationstests überprüfen die Experten von der Sec-IT nicht nur die hard- und softwareseitige Sicherheitsinfrastruktur, sie simulieren auch Social-Engineering-Spear-Fishing-Attacken – selbstverständlich in Absprache mit dem Unternehmen und dem Betriebsrat. Nach dem Penetrationstest erhalten Unternehmen einen umfangreichen Bericht über gefundene Sicherheitslücken und werden beraten, wie sich die Infrastruktur besser absichern lässt.

Weitere Informationen zu Penetrationstests gibt es auf unserer Website Penetrationstest

Bei Fragen zu Penetrationstests schreiben Sie uns gerne eine E-Mail: [email protected]

Wie können wir Ihnen helfen?

WORLDWIDE

Germany

German

Global

Americas

Asia

Europe

Middle East and Africa