Antivirensoftware, Next-Gen-Firewalls oder Unified Threat Inspection: Der Strauss an technischen Lösungen ist gross. Genauso wie die Menge möglicher Angriffswege hinein in die IT-Infrastruktur von Unternehmen.

Ein Weg ins Herz der IT führt über die Menschen. Genauer über die Mitarbeiter in den Unternehmen. Sie können zu Gehilfen Cyberkrimineller werden, ohne dass sie das beabsichtigen. Wie leicht das gelingt und wie man Mitarbeiter dafür sensibilisiert, nicht zu Steigbügelhaltern von Angreifern zu werden, erklärte Djani Kovac, Major Account Manager DACH, vom Hersteller von Sicherheitslösungen Proofpoint, dem Sponsor der jüngsten Breakfast-Session von Computerworld.

Der Eventeinladung waren rund 20 Entscheider aus IT und Business verschiedenster Unternehmen wie etwa Migros, Credit Suisse, Hotelplan oder Kelly Services ins Hotel Schweizer Hof gefolgt.

Da Unternehmensnetzwerke insbesondere bei grossen Unternehmen heutzutage digitalen Bollwerken gleichen, versuchen es die Angreifer bei den Mitarbeitern. Etwa über CEO-Fraud: Eine Firma diskutiert über einen Zukauf. Während der nächsten Geschäftsreise erhält der Finanzchef eine E-Mail mit der Aufforderung des CEOs 40 Millionen an eine Bankverbindung zu überweisen.

In Deutschland habe ein Mitarbeiter eines Automobilzulieferers eine Summe in der Grössenordnung tatsächlich überwiesen – auf ein Konto in China, erzählte Kovac. Der Mitarbeiter sowie der Finanz- und Sicherheitschef hätten letztlich ihre Hüte nehmen müssen. Und es geht noch teurer: «Die grössten uns bekannten Fälle gehen in die hunderte Millionen Dollar», sagte Kovac. Die Chance, dieses Geld zurückzuholen, liege bei deutlich unter einem Prozent.

Sein Unternehmen rechnet für dieses Jahr mit 8 bis 10 Milliarden US-Dollar an Schäden verursacht durch Cyberkriminialität via E-Mail. Kovac zitierte in seinem Vortrag auch aus der Proofpoint-Studie «The Human Factor 2018».

Social Engineering ist nichts Neues. Aber noch immer ein guter Weg für Angreifer. Diese suchen etwa gezielt auf sozialen Netzwerken nach Top-Entscheidern oder deren engste Mitarbeiter. Auch ein Finanzanalyst mit brisanten Daten kann ein attraktives Ziel sein. «Letztlich will ein Angreifer an ihre Daten oder ihr Geld», betonte Kovac. Bei Proofpoint definierte man den Begriff VAP, die Very Attacked Person.

Angreifer versuchen über Phishing-Angriffe an Zugangsdaten heranzukommen. Das kann in Kombination mit Cloud-Lösungen perfide sein. Etwa eine Anfrage von Microsoft, sich über einen Link bei Office 365 anzumelden. Folgt das Opfer dem Link landet es auf einer gefälschten Website, die nur dazu dient, die Log-in-Daten abzufangen. «Ich würde auf so einen Link nicht klicken», bemerkte ein Besucher mit Hinweis auf das in der Präsentation gezeigten Beispiels.

Man könne etwa den Server des Absenders prüfen und die Mail im Zweifelsfall einfach löschen. Sollte es sich um eine tatsächliche Anfrage handeln, würde sich der Absender auf einem anderen Weg, zum Beispiel via Post melden. «Sie werden in jedem Unternehmen eine Person finden, die auf einen gefälschten Link klickt», entgegnete Kovac. Verschärft werde die Lage durch den zunehmenden Einsatz von Cloud-Lösungen und den damit einhergehenden Anmeldefenstern, die sich fälschen lassen.

Für Kovac ist klar, Mitarbeiter müssen in Schulungen für die Gefahren beim E-Mail-Verkehr sensibilisiert werden. Natürlich hätten die Mitarbeiter auch ihren gesunden Menschenverstand. Doch manchmal überwiegt die Neugierde oder man hinterfragt Prozesse zu wenig. «Führen Sie beispielsweise regelmässige Awareness-Trainings durch», empfahl Kovac. Das ist auch eine Aufgabe der Compliance-Verantwortlichen in den Unternehmen, waren sich Referent und Besucher einig. 

Der Vortrag war im nu vorüber, was am Redner und seiner Expertise lag, aber auch an den Fragen der Gäste und der sich daraus ergebenden Diskussionen. Diese setzten die Besucher mit Kovac im Anschluss beim Frühstück mit Kaffee, Birchermüsli und Gipfeli fort.

Die nächste Breakfast-Session findet Anfang November im Fourpoints im Zürcher Sihlcity mit dem Partner NTT Security statt.