Cyberkriminelle ziehen alle Register, um an sensible Informationen von Unternehmen zu gelangen. Neben dem Ausnutzen technischer Schwachstellen setzen sie dabei auf die Mitarbeiter der Unternehmen als Einfallstor: Sie nutzen Social-Engineering-Taktiken, um an vertrauliche Informationen und Zugangsdaten zu kommen oder Geldtransfers zu Lasten des Unternehmens durchzuführen. Mitarbeiterschulungen zur IT Security Awareness (Aufmerksamkeit beim Umgang mit IT-Systemen) sind daher unerlässlich.

Cyberkriminelle haben es auf unterschiedliche Rollen und Verantwortlichkeiten innerhalb der Unternehmen abgesehen. Dabei ändern sich die Zielpersonen permanent. Eine Umfrage von Proofpoint unter Fortune-500-Unternehmen ergab, dass Angreifer 99 Prozent ihrer Ziele von Quartal zu Quartal anpassen. Personen, die derzeit für Cyberkriminelle als Opfer uninteressant erscheinen, können damit bereits in naher Zukunft lohnende Ziele darstellen. IT-Sicherheitsexperten verzeichneten 2018 gegenüber dem Vorjahr eine deutliche Häufung an Social-Engineering-Angriffen aller Art. Die Kriminellen personalisieren ihre E-Mails, um glaubwürdig zu erscheinen und so die Wahrscheinlichkeit zu steigern, dass die potenziellen Opfer ihnen auf den Leim gehen und auf die schadhaften Links oder Anhänge klicken. Um solche Angriffe abwehren zu können, ist es für Unternehmen entscheidend, die genaue Ansprache zu kennen, die Cyberkriminelle in ihren E-Mails verwenden, sowie die Zielgruppe zu erfassen und zu verstehen.

Oft entsteht der Eindruck, dass Geschäftsführer und Vorstände die primären Angriffsziele sind, verfügen diese doch über umfangreiche Zugriffsberechtigungen und wertvolles Insiderwissen. Doch dieser Schein trügt: Die Attraktivität der Zielpersonen für die Kriminellen richtet sich nach Tätigkeiten, Zugriffsrechten und Verbindungen innerhalb und außerhalb der Zielorganisation. Eine Führungskraft führt in der Regel keine Überweisung direkt aus, sondern weist diese an – woraufhin ein Mitarbeiter in der Finanzabteilung die Überweisung veranlasst. Aufgrund zahlreicher ähnlicher Geschäftsvorgänge fällt der Überweisungsvorgang auf dieser Hierarchieebene kaum auf.

Ebenso interessant sind Personen, die Bestandteil eines internen Genehmigungsprozesses sind, den die Kriminellen infiltrieren wollen. Bei dieser Personengruppe spricht man nicht von VIPs (Very Important Persons), sondern von VAPs (Very Attacked Persons). Für die Sicherheitsbeauftragten eines Unternehmens sollte es daher eine Überlegung wert sein, wer in diese Personengruppe fallen könnte, um eine entsprechende Liste zu führen.

Früher wählten die Angreifer meist einheitliche Angriffsmuster, die jeden Nutzer gleichermaßen ansprechen sollten, Individualisierung gab es kaum oder gar nicht. Dieser „One Size Fits All“-Ansatz findet heute jedoch kaum mehr Verwendung. Daher birgt die Annahme, dass VIPs die einzigen hochrangingen Ziele in einer Organisation sind, sogar eine Gefahr: Sie blendet konkrete Risiken aus.

Da soziale Medien heute zum Kommunikationsalltag vieler Menschen gehören, setzen Cyberkriminelle hier ihre Informationssuche an, um zum Beispiel für gezieltes Phishing (Spear-Phishing) an Wissen über Hobbies der Zielpersonen zu gelangen. Viele Nutzer sozialer Medien bedenken nicht, dass sie wertvolle persönliche Informationen preisgeben – nicht nur gegenüber ihren Freunden, sondern bei entsprechend mangelhaften Privatsphäre-Einstellungen auch gegenüber jedem, der auf die Social-Media-Site zugreift. Derlei Informationen sind eine Goldgrube für Cyberkriminelle: Nirgends sonst erhalten sie so schnell und kompakt die Daten, die sie für einen Angriff benötigen. Auch aus anderer Hinsicht ist ein nachlässiger Umgang mit sozialen Medien für Unternehmen fatal: Gelingt es Kriminellen, sich auf den sozialen Medien in die Kommunikation zwischen dem Unternehmen und dessen externen Ansprechpartnern einzuschalten, birgt dies nicht nur finanzielle Risiken, sondern kann auch den Ruf des Unternehmens nachhaltig schädigen.

Natürlich müssen Repräsentanten von Unternehmen etwas von sich preisgeben. Wie viele und welche Informationen dies sind, sollte man jedoch vorab intern klären. Am besten in Arbeitsgruppen, um Vorgaben und Leitlinien zu erstellen, die unternehmensweit für sämtliche Sprecher gelten. Ein Sprecher kann dabei sowohl ein Vorstand als auch ein Mitarbeiter sein, der auf Messen und Kongressen einen Vortrag hält. Unternehmenskommunikation und Vertrieb können unter gewissen Umständen das Veröffentlichen von Informationen über Personen erfordern, dem der Datenschutz entgegensteht: Was im Interesse kundenorientierter Kommunikation und persönlicher Ansprache nötig ist, kann für Sicherheitsteams schon zu viel sein. Daher gilt es, die Interessen sorgfältig abzuwägen.

Ist die Veröffentlichung der Kontaktinformationen einer bestimmten Person notwendig, sollte man diese Angaben abschirmen. Dies lässt sich beispielsweise dadurch erreichen, dass die öffentlich kommunizierte E-Mail-Adresse nicht den allgemeinen Konventionen im Unternehmen unterworfen ist. So kann eine öffent­liche Adresse max.mustermann@Firmenname.de lauten, während dieselbe Person intern unter mmustermann@Firmenname.de erreichbar ist. Mit diesem Alias können Empfänger besser feststellen, welche Art der Mitteilung vorliegt. Dies erschwert auch das E-Mail-Spoofing, da Cyberkriminelle fälschlicherweise von einem anderen Aufbau der E-Mail-Adressen ausgehen.

Wer zur Zielgruppe gehört, variiert von Branche zu Branche und von Organisation zu Organisation. Praktisch jeder könnte Teil dieses Personenkreises sein. Es ist daher wichtig, dass der Arbeitgeber seine Mitarbeiter über sichere Methoden des Datenaustauschs informiert. Dazu gehören auch Lerneinheiten über die Identifikation und Vermeidung von Angriffen. Ein weiteres wichtiges Thema ist der Missbrauch sozialer Plattformen wie LinkedIn, Xing oder Facebook durch Cyberkriminelle. Hier gilt es, Mitarbeiter dahingehend zu sensibilisieren, wie sich ihre persönlichen Angaben für einen glaubwürdigen und schwer erkennbaren Phishing-Angriff missbrauchen lassen.

Diese Sensibilisierung sollte innerhalb fest etablierter Security-Awareness-Trainings erfolgen. Dabei informiert man Mitarbeiter regelmäßig über den neuesten Stand der Bedrohungslage. Zusätzlich gilt es, bereits Erlerntes zu wiederholen und zu vertiefen. Hier verhält es sich wie bei allen Schulungsmaßnahmen: Die Teilnehmer erinnern sich an präsentierte Inhalte weniger intensiv als an selbst erlebte Situationen. Daher sollte eine praktische Simulation Teil des Security-Awareness-Trainings sein. Das bedeutet, dass VAPs vom Trainingsverantwortlichen unter falschem Namen versandte E-Mails erhalten, die einer realen manipulierten E-Mail ähneln. Der Trainer wertet das Nutzerverhalten aus und bespricht es dann mit dem Mitarbeiter. Da es sich um eine Schulungsmaßnahme handelt, hat ein „Hereinfallen“ auf eine solche fingierte Mail keine negativen Konsequenzen für den Mitarbeiter oder das Unternehmen. Schließlich geht es darum, Gefahren aufzuzeigen, und nicht darum, eine Drohkulisse aufzubauen.
Mittels einer Phishing-Simulation, die auf realen und aktiv genutzten Angriffstechniken basiert, kann man VAPs wirksam schulen, indem man den Mitarbeiter direkt nach einer erfolgreichen Fake-Attacke auf seine falsche Reaktion aufmerksam macht und ihm das richtige Verhalten erläutert.

„White Hat Hacker“ – also Sicherheitsexperten, die fingierte Angriffe anbieten, um die Wachsamkeit der Angestellten auf die Probe zu stellen – schneiden heutzutage Schulungs- und Simulationsmaßnahmen individuell auf den jeweiligen Mitarbeiter zu. Denn am Anfang des Kampfs gegen Cyberbedrohungen muss ein ausgeprägtes Risikobewusstsein der potenziellen Zielpersonen stehen.

Werner Thalmeier ist Senior Director Systems Engineering EMEA bei Proofpoint, www.proofpoint.com.