Leichtsinn fördert Cyberattacken

Phishing-Attacken sind bei Cyberkriminellen besonders beliebt. Durch Betrug, Täuschung oder Irreführung ihrer Opfer versuchen diese dabei vertrauliche und sensible Daten zu erlangen. Die Angriffsart ist unter dem Begriff Social Engineering einzuordnen. Dazu zählen neben Attacken per E-Mail auch das sogenannte USB-Dropping, gefälschte Textnachrichten via SMS oder fingierte Telefonanrufe. Beim E-Mail-Verkehr enthält die Mail einen bösartigen Anhang oder Link zu einer „Fake“-Seite. Gewinne oder Erbschaften werden versprochen, es kann aber ebenso wie ein seriöses Angebot eines bekannten Lieferanten oder Kunden anmuten, sodass die Hemmschwelle für eine Interaktion durch das potenzielle Opfer möglichst gering ist.

Schwächstes Glied

Letzten Endes ist der Faktor Mensch der ausschlaggebende Punkt. Wenn Mitarbeiter als vermeintlich letzte Verteidigungslinie den E-Mail-Adressaten oder Inhalt nicht hinterfragen, sondern mit ihm interagieren, ist das Risiko einer gelungenen Attacke extrem hoch.

Derartige Angriffe können für Unternehmen am Ende zu enormen finanziellen wie auch reputativen Schäden führen. Ein möglicher Vertrauensverlust bei Kunden und Partnern, Kosten für den Daten- und Wissensabfluss, die Beseitigung der Folgeschäden, etwaige Produktionsausfälle oder Auftragsstornierungen sind nur ein Auszug der möglichen Folgen, die bei einem erfolgreichen Cyberangriff entstehen könnten. 

Im Falle einer Verschlüsselung ist die jeweils verwendete und immer wieder angepasste Verschlüsselungstechnik in der Regel nicht einfach aufzulösen, um wieder Zugriff auf die Daten zu erlangen. Unternehmen, die ihre eigenen Daten nicht durch regelmäßige Backups gesichert und explizit geschützt haben, sollten die geforderten Lösegeldforderungen dennoch auf keinen Fall zahlen und sich stattdessen von Experten beraten lassen, wie sie mit der Situation weiter umgehen sollten. Denn fraglich ist, ob die Systeme nach der Zahlung des Lösegelds überhaupt entschlüsselt werden. 

Cyberkriminelle werden auch zukünftig weiterhin auf Phishing-Attacken zurückgreifen, da die bereits vorhandene technische Sicherheit vieler Systeme ihre Angriffsmöglichkeiten reduziert und infolgedessen der Mensch inzwischen als schwächstes Glied in der Kette angesehen werden kann. Zudem sind derartige Attacken mit deutlich weniger Know-how und in größerem Ausmaß durchführbar als klassische Hackerangriffe. Letztendlich ist die Erfolgsquote entscheidend: Unabhängig von der Unternehmensgröße reicht ein abgelenkter beziehungsweise unvorsichtiger Angestellter aus, um folgenschwere Auswirkungen für das Unternehmen auszulösen. Prozentuell betrachtet reicht beispielsweise eine Person bei
1000 Beschäftigten (= 0,1 Prozent), die auf die Phishing-Mail hereinfällt. Eine solch hohe Erfolgswahrscheinlichkeit gibt es in kaum einem anderen Angriffsszenario und wird dementsprechend unterschätzt – besonders im KMU-Bereich, wo Mittel und Ressourcen für IT-Sicherheit oft knapp bemessen sind und kein ausreichendes Know-how vorhanden ist.

Regelmäßige Schulungen

Das entscheidende Stichwort lautet: Awareness. Wiederholende, gut aufeinander aufgebaute und an die aktuelle Sicherheitslage angepasste Sensibilisierungsmaßnahmen der Angestellten sind der Schlüssel, um den Phishing-Angreifern den Wind aus den Segeln zu nehmen. Denn ohne eine menschliche Interaktion mit den kompromittierten Mails besteht in der Regel auch keine erhöhte Gefahr – vorausgesetzt die technischen Maßnahmen des Unternehmens entsprechen einem aktuell notwendigen Sicherheitsniveau. Zudem sind Awareness-Schulungen preisgünstig, vergleicht man sie mit den Wiederherstellungskosten nach einem Cyberangriff. Diese Art von Sensibilisierung muss jedoch regelmäßig stattfinden und sich immer an die aktuelle Sicherheitslage anpassen.