SPONSORED-POST Cybersecurity

Cybersicherheit – auf den Menschen kommt es an

Uhr
von Proofpoint GmbH

Die Angriffe werden immer zielgerichteter und für die Unternehmen steht immer mehr auf dem Spiel. Welche Konsequenzen haben aktuelle Entwicklungen für IT-Sicherheitsteams?

(Source: Proofpoint)
(Source: Proofpoint)

Aktuell kehren viele Mitarbeitende an ihre alten Wirkungsstätten zurück. Andere nutzen auch weiterhin die Vorteile des Homeoffice und für viele von uns wird ein hybrider Arbeitsalltag zur neuen Normalität werden, der beide Aspekte kombiniert. Auch die Vorgehensweise vieler cyberkrimineller Organisationen hat sich durch die Pandemie nachhaltig verändert. Ihre Angriffe werden noch zielgerichteter und richten sich teils nur an einzelne oder eine Handvoll Anwender in den Unternehmen; und auch die Taktiken werden noch raffinierter, mit denen Account-Logindaten ausspioniert werden, um auf diese Weise als Insider an die in Netzwerken und Systemen gespeicherten Daten zu gelangen.

Der Faktor Mensch

Ein Fakt ist jedoch unverändert geblieben: Angriffe richten sich gegen den Menschen. Cyberkriminelle haben den Menschen als einfach zu überwindende Schwachstelle erkannt – und so liegt es nun an der IT-Sicherheit, die Mitarbeitenden – und somit die Daten und den Geschäftsbetrieb an sich – effektiv zu schützen.

Zu diesem Zweck ist es notwendig, dass IT-Sicherheitsverantwortliche die Schwachpunkte ihrer Nutzer genau kennen, dass sie wissen, mit welchen Bedrohungen Mitarbeitende aktuell konfrontiert werden und Kenntnis darüber haben, welche potenziellen Auswirkungen ein erfolgreicher Angriff für das Unternehmen hätte.

VAP-Modell
Welche Kollegen müssen besonders geschützt werden? Proofpoints VAP-Modell hilft bei der Priorisierung, indem Vulnerabilities (Schwachstellen), Angriffe und Privilegien (Berechtigungen) miteinander in Bezug gesetzt werden.

 

Schwachstelle oder Sicherheitsfaktor?

Mehr als 99 Prozent der Cyberangriffe setzen dabei eine menschliche Interaktion zur Aktivierung voraus und machen so den einzelnen Benutzer zur letzten Verteidigungslinie. Doch wie hoch ist das Risiko tatsächlich? Sprich, wenn die eigenen Mitarbeitenden angegriffen werden, wie hoch ist die Wahrscheinlichkeit, dass sie dem Angriff auf den Leim gehen und damit das Unternehmen Opfer von Cybercrime wird?

Eine Umfrage von Proofpoint unter 1.400 CISOs verheißt nichts Gutes: Dort gaben zwei von drei IT-Sicherheitsverantwortlichen an, ihr Unternehmen wäre nicht auf einen zielgerichteten Cyberangriff vorbereitet. Und legt man die Risikoeinschätzung simulierter Phishing-Tests zugrunde, so fördern diese deutliche Lücken im Bereich Security Awareness zu Tage. Jeder Fünfte klickt beispielsweise auf (fingierte) Malware-Anhänge in E-Mails, 12 Prozent bestehen Cyberbedrohungstests mit Links nicht und immerhin noch vier Prozent geben vertrauensvoll die eigenen Zugangsdaten ein, die, handelte es sich um einen echten Angriff, Cyberkriminellen Tür und Tor öffnen könnten.

Phishing-Simulationen
Phishing-Simulationen zeigen Lücken in der Security Awareness auf: Jeder Fünfte klickt auf Malware-Anhänge in E-Mails.

 

Werden Angreifer kreativer und nutzen beispielsweise Steganografie, wobei sie schädlichen Code in Bildern und anderen Dateitypen verbergen, ist es um die Sicherheit abermals schlechter bestellt. In simulierten Tests klickten mehr als 30 Prozent der User auf diese Art von Schadmails.


Alte Tricks … mit neuem Dreh

Der moderne Cyberkriminelle mag mehr Finesse besitzen, zielgerichteter vorgehen und noch beharrlicher sein Ziel verfolgen. Doch was seine Methoden anbelangt, so ist vieles beim Alten geblieben.

Eine seit vielen Jahren unter Cyberkriminellen beliebte Taktik, das Credential Phishing – also der Versuch, Zugangsdaten abzugreifen –, kam 2020 großflächig zum Einsatz. Fast zwei Drittel aller betrügerischen E-Mails wurden mit dem Ziel verschickt, Login-Daten auszuspionieren – oft für E-Mail-Cloud-Accounts. Dies ist nicht verwunderlich: Erfolgreich kompromittierte Konten werden an andere spezialisierte Gruppen weiterverkauft, die damit ausgestattet beispielsweise in der Lieferkette Angriffe durchführen.

Auch Ransomware-Attacken legten während der Pandemie deutlich zu; im Vergleich zum Vorjahr um 300 Prozent. Und wieder einmal war es die E-Mail, die als primärer Angriffsvektor Verwendung fand. Bei modernen Ransomware-Angriffen wird zuerst Malware per E-Mail zugestellt. Einmal durch kompromittierte RDPs oder VPNs aktiviert, lädt diese initiale Payload andere gefährliche Dateien nach. Dies ist eine extrem wichtige Erkenntnis, um Ransomware-Infektionen zu verhindern. Wenn die Erstinfektion mit einem Trojaner oder Loader verhindert wird, reduziert dies das Risiko, Oper eines Ransomware-Angriffs zu werden, deutlich.

Auffällig war außerdem, dass Techniken, die vom Empfänger eine Interaktion mit einem Anhang oder direkt mit dem Angriff erfordern, erheblich zunahmen. Thread-Hijacking-Angriffe, wobei sich der Hacker in eine bestehende E-Mail-Unterhaltung „einklinkt“, haben im Vergleich zum Vorjahr um 18 Prozent zugenommen. Angriffe mit kennwortgeschützten Dateien erfolgten fast fünf Mal häufiger. Und das Aufkommen an Excel-4.0-Makroangriffen wuchs um mehr als das Zehnfache.


Der Ooops-Moment – doch mit welchen Konsequenzen?

Was passiert, wenn es doch einmal passiert ist und beispielsweise die Zugangsdaten auf gefälschten Webseiten eingegeben wurden?

Die Antwort darauf hängt maßgeblich davon ab, über welche Privilegien der jeweilige Mitarbeitende verfügt. Wenn mit den Zugangsdaten ein freier Zugriff auf sensible und wertvolle Informationen verbunden ist, ist das Risiko für das Unternehmen ungleich höher, denn über die Zugangsdaten wird der kriminelle Akteur sprichwörtlich zum Insider im Unternehmen.

Um Ihre privilegierten Benutzer effektiv zu schützen müssen diese identifiziert werden. Nur so lassen sich entsprechende Kontrollen einrichten. Für die meisten Unternehmen bedeutet dies die Überwachung von USB-Verbindungen, Datenexfiltration, Dateidownloads und das Kopieren von Ordnern zu unregelmäßigen Zeiten. Je mehr man über die risikoreichsten Benutzer und deren Aktivitäten weiß, desto sicherer ist das Unternehmen.


Personenzentrierter Schutz

Angreifer sehen die Welt nicht als Netzwerkdiagramm, sondern als Organigramme mit Zugangsberechtigungen, Verbindungen zu Lieferanten und Kunden, Beziehungen und Privilegien. Aktuelle, auf den Menschen abzielende Bedrohungen können deshalb auch nur mit personenzentriertem Schutz abgewehrt werden.

Da E-Mail der Bedrohungsvektor Nummer 1 ist, lohnt es sich in eine zuverlässige Abwehr zum Schutz vor E-Mail Betrug zu investieren. Die Lösung der Wahl sollte dabei externe ebenso wie interne E-Mails analysieren und speziell Lieferanten-E-Mails im (technischen) Auge behalten. Dies ist von Bedeutung, da Angreifer möglicherweise kompromittierte Konten missbrauchen, um Mitarbeitende zu täuschen.

Neben funktionierendem E-Mail-Schutz und Perimeterschutz gilt es für Unternehmen ein effektives Security-Awareness-Schulungsprogramm einführen, das nicht nur den Compliance-Anforderungen gerecht wird, sondern tatsächlich dazu beiträgt, das Risiko, Opfer von Cyberangriffen zu werden, zu reduzieren. Untersuchungen des Ponemon Institute zufolge lassen sich die Kosten für Phishing mittels Security-Awareness-Trainings um mehr als 50 Prozent senken.

Mitarbeitende aller Ebenen, insbesondere diejenigen mit privilegiertem Zugang, müssen wissen, wie sie verdächtige Aktivitäten und Nachrichten erkennen und melden können. Darüber hinaus ist es essenziell, dass die gesamte Belegschaft weiß, welche Rolle sie für die Sicherheit Ihres Unternehmens spielt – und welche Konsequenzen es hat, wenn Sicherheitsbedenken links liegen gelassen werden.

Im Laufe der Zeit entsteht so eine Kultur, in der die Cybersicherheit nicht nur eine Angelegenheit der IT-Teams ist. Sie liegt in der Verantwortung aller. Unabhängig von den spezifischen Taktiken und Angriffsmethoden – es sind die Mitarbeitenden, die an der vordersten Front der Cyberverteidigung stehen. Nur durch entsprechende personenzentrierte Sicherheit– mittels Technologie, Schulungen und Prozesse – können Mitarbeitende und Unternehmen geschützt werden.

Mehr erfahren im Webinar „Der Faktor Mensch“ von Proofpoint

 

 

logo proofpoint

info-dach@proofpoint.com
www.proofpoint.de