Proofpoint weist schon seit Langem darauf hin, dass nicht die Technologie, sondern der Mensch die wichtigste Variable für erfolgreiche Cyberangriffe ist. Während diese Feststellung von Jahr zu Jahr immer mehr Anerkennung in Fachkreisen fand, erhielt sie schließlich durch die Ereignisse des Jahres 2020 volle Aufmerksamkeit.
Im Zuge der Pandemie sahen sich IT-Teams auf der ganzen Welt gezwungen, Mitarbeiter im Home Office zu unterstützen und zu schützen. Gleichzeitig nahmen die Angriffsflächen und Einfallstore praktisch über Nacht erheblich zu.
Dies bot Cyberkriminellen ein enormes Angriffspotenzial – welches auch sofort ausgenutzt wurde. Bereits Mitte März 2020 setzten etwa 80 % der von uns täglich gescannten Bedrohungen auf COVID-19-Themen und fast jeder überwachte Bedrohungsakteur nutzte in diesem Jahr mindestens einmal pandemiebezogene Inhalte.
Heute im Jahr 2021 sind wir mit der neuen Arbeitsweise gut vertraut. Cyberkriminelle setzen deshalb zwar möglicherweise auf andere Köder, doch an den unablässigen Attacken auf die Mitarbeiter – egal ob im Home Office oder wieder zurück im Büro - hat sich nichts geändert.
Personenzentrierte Angriffe erfordern eine personenzentrierte Abwehr. Diese ist jedoch nur möglich, wenn IT-Sicherheitsteams über folgende Informationen verfügen:
- Wo liegen die größten Schwachstellen der Anwender?
- Wie nutzen Angreifer das aus?
- Welchen Schaden kann die Kompromittierung der privilegierten Konten verursachen?
Mitarbeiter auf die Probe gestellt
Aufmerksame Anwender sind der Grundpfeiler einer effektiven Cyberabwehr. Deshalb gilt es, deren Kompetenzen bei der Erkennung von Bedrohungen regelmäßig zu überprüfen. Ein unverzichtbarer Bestandteil dieser Strategie sind simulierte Phishing-Angriffe.
Unser jährlicher „State of the Phish“-Bericht analysiert, wie Anwender im Jahr 2020 auf mehr als 60 Millionen simulierte Phishing-E-Mails reagierten. Durch den Vergleich der durchschnittlichen Fehlerquoten konnten wir ermitteln, wie und wo Anwender am anfälligsten sind.
- 20 % der Anwender haben Phishing-Tests mit böswilligen E-Mail-Anhängen nicht bestanden.
- 12 % klickten bei den Link-Tests auf unsichere URLs.
- 4 % fielen bei Tests durch, bei denen Anwender auf eine gefälschte Anmeldeseite geleitet und zur Eingabe ihrer Anmeldedaten aufgefordert werden.
Auch wenn man unbedingt die Aufmerksamkeit der Anwender für typische Bedrohungen wie Phishing und Anmeldedatendiebstahl testen sollte, darf nicht vergessen werden, dass erfolgreiche Angriffe nicht immer den üblichen Mustern folgen.
Steganografie, also das Verbergen von schädlichem Code in Bildern und anderen Dateitypen, kam nur in einigen gezielten Kampagnen zum Einsatz, generierte aber Klickraten von mehr als 30 %.
Auch betrügerische CAPTCHA-Kampagnen sind relativ selten, hatten im Jahr 2020 im Vergleich zum Vorjahr jedoch eine 50 Mal größere Klickrate.
Spotlight auf die Angreifer
Es lohnt sich besser zu verstehen, wer eigentlich hinter den Angriffen steckt. Im Jahr 2020 identifizierte Proofpoint 69 aktive Bedrohungsakteure.
Sie setzen ein breites Spektrum an Techniken ein, um Sicherheitskontrollen zu umgehen und die ins Visier genommenen Mitarbeiter dazu zu bringen, in ihrem Sinne aktiv zu werden (z.B. zu klicken oder Anmeldedaten einzugeben), so dass letztlich die Zielsysteme infiziert werden können. Unabhängig von der eigentlichen Angriffsmethode oder ihrer Motivation werden deutlich mehr Techniken eingesetzt, die vom Empfänger eine Interaktion mit einem Anhang oder direkt mit dem Angriff erfordern.
Wenig überraschend ist der Diebstahl von Anmeldedaten immer noch auf Platz 1 und macht mehr als zwei Drittel aller schädlichen Nachrichten aus. Auch wenn dieser Angriffstyp schon schwerwiegend genug ist, bildet er häufig den Ausgangspunkt für eine noch verheerendere Attacke: Business Email Compromise (BEC, häufig auch als CEO-Betrug bezeichnet).
BEC ist eine der finanziell schädlichsten Bedrohungen für Unternehmen aller Größen und hat einen Anteil von 44 % aller gemeldeten Verluste durch Cyberkriminalität. Allein im Jahr 2020 waren das etwa 1,8 Milliarden US-Dollar.1
Die Zahl der Ransomware-Angriffe stieg im letzten Jahr um 300 %. Insgesamt beobachteten wir mehr als 48 Millionen Nachrichten mit Malware, die als Einstiegspunkt für Schaddaten dienen können.
Auch Remote-Zugriffs-Trojaner sind bei Cyberkriminellen sehr beliebt und kamen im letzten Jahr in fast 25 % aller E-Mail-Bedrohungskampagnen zum Einsatz.
Schutz privilegierter Anwender
Angriffe auf Angestellte in Ihrem Unternehmen können in jedem Fall potenziell verheerend sein, doch wenn diese Anwender über privilegierten Zugriff auf Netzwerke, Systeme und Daten verfügen, kann das katastrophale Folgen nach sich ziehen.
Ein kompromittierter hochrangiger Anwender stellt eine erhebliche Insider-Bedrohung dar. Daher sollten Sie alles in Ihrer Macht stehende tun, um privilegierte Konten zu schützen. Erschwert wird diese Arbeit jedoch durch die Arbeit im Home Office, neue Protokolltelemetrie sowie veränderte Zugriffsanforderungen.
Cyberkriminelle wissen das und passen ihre Taktiken entsprechend an. Auch Unternehmen müssen Schritt halten und ein breiteres Spektrum an Bedrohungen überwachen. Die fünf häufigsten Bedrohungen waren:
- Anschließen eines nicht gelisteten USB-Geräts
- Kopieren großer Dateien oder Ordner
- Exfiltrieren einer überwachten Datei ins Internet per Upload
- Öffnen einer Klartextdatei, die Kennwörter enthalten könnte
- Herunterladen von Dateien mit potenziell schädlichen Erweiterungen
Schutzmaßnahmen, die sich auf den Menschen konzentrieren
Cyberangriffe lassen sich nicht vermeiden. Fast immer ist jedoch ein Mensch involviert. Deshalb sollten alle Unternehmen ihre Anwender ins Zentrum ihrer Cyberabwehr stellen.
Verwenden Sie eine Lösung, die Ihnen zeigt, wer wie angegriffen wird und wie die angegriffene Person reagiert hat. Weitere Informationen finden Sie im Bericht „Der Faktor Mensch 2021“.
1 Quelle: FBI: „2020 Internet Crime Report“ (Bericht zu Internetkriminalität 2020), März 2021.