E-Mail als Einfallstor: wichtige Lehren aus einem realen Fall
In der heutigen digitalen Ära sind Unternehmen aller Größenordnungen mit einer ständig wachsenden Bedrohung durch Cyberangriffe konfrontiert. Besonders für den deutschen Mittelstand ‒ das Rückgrat unserer Wirtschaft ‒ haben diese Angriffe erhebliche Auswirkungen. Die Zeiten, in denen Phishing-Mails aufgrund offensichtlicher Rechtschreibfehler und merkwürdiger Formulierungen leicht zu erkennen waren, sind längst vorbei. Die Täter haben ihre Taktiken verfeinert und setzen auf KI-basierte Sprachmodelle, um noch überzeugendere Angriffe durchzuführen. Dieser Fachbeitrag wird anhand eines realen Angriffs verdeutlichen, wie gefährlich diese neuen Phishing-Techniken sein können und welche Lehren Unternehmen daraus ziehen können.
Bedrohung für den deutschen Mittelstand
Der deutsche Mittelstand sieht sich zunehmend den Gefahren von Cyberkriminalität ausgesetzt. Die Einführung hybrider Arbeitsformen hat in den letzten Jahren stark zugenommen und wird durch den Trend zum Homeoffice und die Neugestaltung von Lieferketten verstärkt. Diese Entwicklungen haben das Bewusstsein für Cybersicherheit erhöht, was angesichts der steigenden Bedrohungslage zu begrüßen ist. Dennoch ist es alarmierend, dass nur 37 Prozent der befragten Unternehmen ihre Beschäftigten in Sicherheitsthemen schulen1, besonders in Bezug auf das Arbeiten im Homeoffice.
Der menschliche Faktor: Schwachstelle Nummer eins
Ungeachtet technologischer Fortschritte bleibt der Mensch die größte Schwachstelle in der Cybersicherheit. Ob es sich um gewöhnliche Spam-Nachrichten handelt, die sich an eine breite Empfängergruppe richten, oder um gezielte Nachrichten, die scheinbar von Vorständen und Geschäftsleitungen stammen ("CEO Fraud") und gezielt an das Führungspersonal gerichtet sind ("Spear Phishing"), spielt letztlich eine untergeordnete Rolle. Das Ergebnis solcher Angriffe bleibt in der Regel gleich: Datenspionage und -diebstahl oder die Einschleusung von Schadsoftware.
Datenverlust ist eine der möglichen Folgen und kann zu erheblichen juristischen Konsequenzen führen, insbesondere wenn es sich um personenbezogene Daten handelt. Unternehmen sind gesetzlich zur Meldung von Datenschutzverletzungen verpflichtet, was bei Nichteinhaltung zu rechtlichen und finanziellen Konsequenzen führen kann. Darüber hinaus können solche Vorfälle das Vertrauen der Kundschaft und Geschäftspartner erheblich beeinträchtigen und den Ruf eines Unternehmens schädigen.
Fallbeispiel einer modernen Phishing-Attacke
Um die Gefahren von modernen Phishing-Techniken zu verdeutlichen, analysieren wir einen realen Angriff auf eine Schweizer Organisation und die Lehren, die daraus gezogen werden können:
Der Angriff: Der Angriff begann mit einem Telefonanruf, der auf den ersten Blick harmlos erschien. Ein Mitarbeiter der Organisation nahm den Anruf entgegen. Der Anrufer gab sich als Lieferfahrer aus, der ein dringendes Paket für einen Unternehmensstandort hatte. Doch niemand war vor Ort, um das Paket entgegenzunehmen. Der Anrufer bat um eine alternative Lieferadresse am Bürostandort des Mitarbeiters.
Der Code: Um das Paket erneut zuzustellen, sollte der Mitarbeiter einen Code vorlesen, den er angeblich per E-Mail von der Spedition erhalten würde. Während des Telefonats erhielt der Mitarbeiter tatsächlich eine E-Mail von der vermeintlichen Spedition des Anrufers.
Der Nachrichtentext betonte die "Sendung" als schwer und von "erhöhter“ Priorität. Dies erweckte den Eindruck einer normalen Outlook-Nachricht mit einem PDF-Anhang. Doch in Wirklichkeit handelte es sich um eine Grafik, die in den Nachrichtentext eingebettet war und den Eindruck eines E-Mail-Anhangs erwecken sollte.
Die trickreiche Weiterleitung: Die Angreifer hatten eine Weiterleitungstechnik eingesetzt, um URL-Überprüfungsfunktionen zu umgehen. Sie leiteten den Mitarbeiter über ein harmloses Website-Weiterleitungsskript auf eine bösartige Website weiter, anstatt direkt auf die Seite mit dem schädlichen Code zu verlinken. Diese Methode sollte die Aufmerksamkeit von Spam-Filtern und Firewalls auf sichere Websites lenken und so den bösartigen Charakter der Zielwebsite verschleiern.
Die schnelle Reaktion: Glücklicherweise handelte der Mitarbeiter schnell und zog physisch das Netzwerkkabel aus seinem Computer. Dadurch konnte die infizierte Maschine keine Verbindung zu den Angreifern herstellen oder von ihnen erreicht werden. Dieser schnelle Denkschritt erwies sich als unternehmensrettend.
Schlussfolgerungen für Unternehmen
Dieser reale Angriff verdeutlicht, wie gefährlich und raffiniert moderne Phishing-Techniken sein können. Unternehmen müssen dringend proaktive Schritte unternehmen, um ihre Mitarbeitenden zu schulen und Misstrauen gegenüber unerwarteten Anrufen und E-Mails zu kultivieren. Zusätzlich ist eine mehrschichtige Sicherheitsarchitektur von entscheidender Bedeutung. Unternehmen sollten sicherstellen, dass ihre Sicherheitsmaßnahmen vielfältig und flexibel genug sind, um auf komplexe Angriffe zu reagieren.
Kleine und mittelständische Unternehmen haben oft Zugang zu denselben technischen Maßnahmen und Produkten wie große Unternehmen und Konzerne. Allerdings verfügen sie über weniger oder kein Personal, das diese Maßnahmen verwaltet oder sich kontinuierlich damit befasst. Dadurch sind sie stärker auf Mitarbeiterschulung und Sensibilisierung angewiesen, um als erste Verteidigungslinie zu agieren.
Informationssicherheit bedeutet immer Risikominimierung. Durch klare Verantwortlichkeiten und gut durchdachte Prozesse lässt sich das Risiko bereits erheblich reduzieren. Schließlich denken auch Cyberkriminelle wirtschaftlich: Ein Unternehmen, das besser geschützt ist als vergleichbare Konkurrenten, wird für sie als weniger attraktives Ziel erscheinen.
___________________________________
1 Bitkom
Dieser Beitrag ist Teil des Themenschwerpunkts "Cybersicherheit im Mittelstand".