Cyber-Attacken und Datenklau: „Die Gefahr wird immer präsenter.“

E-Mail-Adressen und Passwörter im Klartext tauchen im Netz auf, Konten werden gehackt, Webseiten mit DDoS-Attacken (Distributed Denial-of-Service) bombardiert – es scheint heutzutage dazu zu gehören, dass Digitalisierung auch neue Kriminalität mit sich bringt. Mit dem Durchbruch der mobilen Internetnutzung bieten sich den Angreifern ganz neue Möglichkeiten, auf Passwörter, Kreditkartendaten und Smartphones zuzugreifen.

Die EBF GmbH ist spezialisiert auf das Management und die Absicherung von mobilen Endgeräten in Unternehmen. Wir haben mit Gründer und Geschäftsführer Marco Föllmer über Cyber-Gefahren, mobile Angriffswege und Gegenmaßnahmen gesprochen.

Die Angriffsfläche wird größer

OnlinehändlerNews: Man liest immer neue Horrormeldungen über gehackte Konten, DDoS-Attacken und Co. Wie groß ist die Gefahr durch Cyber-Attacken wirklich?

Marko Föllmer: Die Gefahr ist nicht nur real und gegenwärtig. Sie wird auch immer präsenter. Denn die steigende Digitalisierung in Verbindung mit Mobilisierung von Anwendern erhöht die Angriffsfläche enorm. Und das „Internet Of Things” bietet neue Einfallstore. Immer mehr Geräte und Maschinen gehen online, werden untereinander vernetzt und in Netzwerke eingebunden. Damit bieten sich für Cyberkriminelle natürlich noch mehr Einfallstore und mögliche Angriffsszenarien.

Bei den berüchtigten Collections 1-5 sind Millionen von E-Mail-Adressen und Passwörtern veröffentlicht worden. Schützen konnte sich der Otto-Normal-Verbraucher dagegen nicht wirklich, wohl aber prüfen, ob er betroffen ist. Hilft es danach, einfach das Passwort zu ändern? Das löst doch das Problem nicht.

Die Lösung des Problems ist nicht allein die Änderung von Kennwörtern. Viele Dienstanbieter verstärken die Anmeldevorgaben aber inzwischen mit einer sogenannten Multi-Faktor-Autorisierung (MFA). Diese kennt man inzwischen zum Beispiel von aktuellen Smartphones und sie geht noch einen Schritt weiter als die Zwei-Faktor-Authentifizierung. Man nutzt zwei Sicherheitsfaktoren, etwa einen Fingerabdruck neben dem klassischen Passwort. Das kann man bei der MFA noch beliebig ausbauen. Durch sie wird die Anmeldung eines neuen Gerätes, Browsers oder auch eine grundsätzliche Registrierung nicht nur durch Nutzername und Passwort, sondern zusätzlich mit One-Time-Pin (OTP) oder SMS-Codes abgesichert.

Wie oft sollte ich denn mein Passwort ändern?

Eine pauschale Antwort gibt es nicht. Grundsätzlich ist eine häufige Kennwortänderung nie falsch. Kennwortmanager sind hier oftmals hilfreiche Tools, die zufällige und starke Kennworte generieren können. Ebenso hilfreich und schnell erledigt ist eine Erinnerung im Kalender: Alle paar Monate alle Passwörter ändern. Das ist zwar tatsächlich ein Mehraufwand, kann aber den feinen Unterschied machen.

Was können Unternehmen tun, um die Accounts ihrer Mitarbeiter und ihre sensiblen Daten zu schützen? Und natürlich auch: Wie können Sie die Daten ihrer Kunden schützen?

Unternehmen selbst können sich und ihre Mitarbeiter effektiver durch die bereits angesprochenen MFA-Lösungen schützen. Zudem ist es empfehlenswert, Lösungen gegen einen sogenannten „Account-Take-Over“ (ATO) zu implementieren. Unter einem ATO versteht man die Übernahme eines Nutzerkontos mit Hilfe von E-Mail und Passwort-Kombinationen, die unter anderem durch einen großen Datenleak an Kriminelle gelangen (etwa sogenannte Collections). Da viele Nutzer dieselbe Kombination aus E-Mail oder Nutzername und Passwort bei verschiedenen Diensten nutzen, ist es relativ leicht, sich mit diesen Daten auch auf anderen Plattformen anzumelden. In diesem Moment haben die Verbrecher dann Handlungsfreiheit: Payment-Optionen, Lieferadresse, Firmendaten und vieles mehr. All das kann geändert oder gelöscht werden. Hier drohen dann signifikante finanzielle Schäden. Genau deswegen empfiehlt es sich, nie die gleichen Passwörter zu verwenden. Wenn ein Dienst, bei dem man angemeldet ist, einmal gehackt wurde, sollte man https://haveibeenpwned.com/ checken. Dort kann man einsehen, ob eine E-Mail-Adresse schon einmal in einem Datenleak aufgetaucht ist. Für Unternehmen gibt es auch Account-Takeover-Lösungen, die überprüfen, ob Unternehmensaccounts gestohlen wurden.

Social Engineering: Den Menschen hacken

Das Schlagwort Social Engineering mag für IT-Profis ein geflügelter Begriffe sein, der Laie kann damit wahrscheinlich wenig anfangen. Was muss man sich darunter vorstellen?

Social Engineering ist, wie der Name schon andeutet, das Manipulieren von Personen und das Ausnutzen von menschlichen Schwachstellen. Im Unternehmenskontext werden Mitarbeiter gestalkt und überwacht, um Gewohnheiten, Vorlieben oder Verhaltensmuster herauszufinden. Ziel ist immer, das potenzielle Opfer genau(er) zu kennen, um die Möglichkeiten eines erfolgreichen Angriffs oder Hacks zu steigern. So wird ihm beispielsweise über Facebook eine Anzeige für eine App ausgespielt, die für sein Hobby relevant ist. Wenn er diese manipulierte App herunterlädt, landet gleichzeitig ein Schadcode auf seinem Handy. Dies ist nur ein Beispiel, wie Informationen, die durch Social Engineering erlangt wurden, dann verwendet werden.

Welche Gefahr geht von diesen Mechanismen aus?

Durch ihre zielgerichtete Ausführung erhöhen sie die Erfolgschance eines Angriffs. Viele der allgemein bekannteren Cybercrime-Methoden gehen willkürlich vor und sind darauf ausgelegt, über die Masse erfolgreich zu sein. Beispielsweise eine DDOS-Attacke, die dediziert Server lahmlegt und so z.B. einen Onlineshop zwingt, für ein paar Stunden zu schließen, um das betreibende Unternehmen wirtschaftlich zu schwächen. Oft steckt auch kommerzielles Eigeninteresse dahinter. Beispielsweise erhoffen sich die Täter auch tatsächlich Werbeeinnahmen. Wenn zig Millionen Spam-Mails versandt werden, reicht oft ein Anteil X an Personen, die die darin enthaltenen Links anklicken, um nicht gerade geringe Einnahmen zu generieren.

Beim Social Engineering werden hingegen so spezifisch Informationen gesammelt, dass die Erfolgschancen wesentlich höher sind und der Angreifer seinem definierten Ziel, möglicherweise Industriespionage, still und heimlich näherkommt. Entweder holt man sich die Informationen online, analysiert Social-Media-Profile oder sucht auch den persönlichen Kontakt. Und hier liegt auch eine wesentliche Gefahr: Die ersten Schritte des Social Engineering bemerkt man somit nicht unbedingt sofort. Und sie sind damit nicht durch technische (Gegen-)Maßnahmen unmittelbar vermeidbar. Es wird ja eher der Mensch „gehackt” und dessen Gutgläubigkeit ausgenutzt.

Was ist Spear Phishing?

Das „herkömmliche” Phishing hat einen hohen Streuverlust: Hier kennt man den Massenaussand von E-Mails, deren Inhalte beispielsweise gefälschte Banking-Webseiten sind. So müssen die Kriminellen darauf hoffen, dass jemand aus Unwissenheit oder Ungenauigkeit seine Daten preisgibt. Spear Phishing wird auch oft in Verbindung mit den Methoden des Social Engineering verbunden. Es geht dabei so vor, dass es viele Variablen wegnimmt und man jemandem eine so genau auf ihn zugeschnittene Falle stellt, dass ihm der Fehler erst auffällt, wenn alles zu spät ist. Das kann beispielsweise so aussehen, dass die Mail so erstellt wird, dass seine Anrede, persönlichen Daten und etwa der persönliche Bankberater genannt wird. Also alles genauso, wie er es kennt.

Sollte so etwas dem Normal-Nutzer nicht auffallen? Die klassische Phishing-Mail, die wir alle kennen, ist ja meist durchsetzt von fragwürdiger Grammatik, falscher Rechtschreibung und kryptischen Links.

Inzwischen ist dies nicht mehr der Fall. Die Mails sind deutlich professioneller erstellt. Phishing-Versender nutzen sogar offizielle Verschlüsselungszertifikate für ihre SSL-Verbindungen. Ihre Vorlagen, etwa die gefälschte PayPal-Seite, sehen verblüffend echt aus. Meist erkennt man eine Fälschung nur, indem man sich die Web- und auch Absenderadressen sehr genau ansieht. Oder indem man schlicht und einfach den Inhalt der Nachricht in den eigenen Kontext stellt und überlegt „Ergibt diese Anfrage überhaupt einen Sinn? Bin ich mit der angeschriebenen Emailadresse überhaupt bei PayPal registriert?“.

Wie kann ich mich als Unternehmen, oder ganz konkret auch als Online-Händler, davor schützen?

Wenn Kenntnis darüber besteht, dann sollte man die Nutzer aktiv warnen, dass vermehrt Phishing-Mails im Umlauf sind. Sich selbst und die Mitarbeiter stets auf dem neuesten Stand über aktuelle Cyber-Risiken halten, das machen u.a. auch Banken, Ebay, PayPal etc. Auch kann man einmal die gesamte Belegschaft zu einem Seminar oder Webinar zu diesem Thema einladen: „Was sind die Tricks der Cyberkriminellen? Worauf kann ich achten, um eine Phishing-Mail zu erkennen? Was ist im Fall einer Cyberattacke zu tun?“. Außerdem braucht es Cyber-Security-Richtlinien im Unternehmen, so dass die Mitarbeiter wissen, wie sie sich schützen können und auch eine Quelle haben, um sich bei Rückfragen zu informieren.

Für Online-Händler im speziellen empfiehlt es sich, die Kunden proaktiv zu warnen, wenn sie die Kenntnis darüber haben, dass Phishing-Mails im Namen des eigenen Unternehmens unterwegs sind. Das kennt man etwa von Banken, Ebay oder PayPal.

Entscheidendes Thema: Mobile Gefahr

Gibt es überhaupt einen hundertprozentigen Schutz vor Cyber-Kriminellen?

Nein, dies ist nicht möglich. In den meisten Fällen ist es ein Benutzer, der einen Angriff unbewusst oder auch fahrlässig erst ermöglicht. Hier gilt es viel mehr zu sensibilisieren, zu schulen und den Benutzer auf seine Rolle hinzuweisen.

Was kostet es ein Unternehmen, so gut wie möglich abgesichert zu sein oder anders: Wie kalkuliere ich für IT-Sicherheit eine vernünftige Kosten-Nutzen-Rechnung? Der normale mittelständische oder kleine Händler will und kann wohl nicht horrende Beträge pro Monat für einen guten Schutz ausgeben, auf der anderen Seite aber wohl auch nicht eigenständig potente Schutzmaßnahmen aufsetzen.

Unternehmen müssen sich einem sogenannten Risk Assessment unterziehen. Dabei werden Unternehmenswerte beziehungsweise die Wertschöpfungsketten analysiert. Im Falle eines Online-Händlers kann das stark vereinfacht so aussehen: „Wenn der Webshop eines bekannten Onlineversenders eine Stunde lang stillsteht, was kostet dies das Unternehmen in Euro nebst den Schäden für die Reputation? Welche IT-Systeme gewährleisten diese Operationen?”

Die daraus resultierende Summe wird dann mit den Kosten in Gegen- und Schutzmaßnahmen aufgewogen.

Das Internet ganz generell wird mittlerweile vornehmlich mobil genutzt. Mobile First gilt wahrscheinlich auch auf krimineller Seite. Klingt vielleicht komisch, aber welche „Trends“ gibt es hier, welchen Stellenwert sollte Mobile Security für Unternehmen und Nutzer haben?

Was verstärkt vorkommt ist etwa die Manipulation von Betriebssystemen, um diese von innen heraus angreifbarer zu machen. Eine andere Methode, die verstärkt aufkommt, sind Fake Apps. Oftmals sind dies Kopien bekannter Apps, die angeblich zusätzliche Komponenten haben, wie etwa „WhatsApp Gold”. Diese enthalten entweder Schadsoftware oder stehlen Daten vom Gerät. Außerdem gibt es auch Skripte, die das gesamte OS eines Smartphones oder einzelne Komponenten daraus angreifen.

Generell ist das Thema „Mobile Security” eines der entscheidenden der Digitalisierung. Immer mehr Unternehmen führen die Prinzipien von „New Work” ein, lassen ihre Mitarbeiter, wo und wann sie wollen, arbeiten. Das bedeutet auch: Sie versorgen sie mit mobilen Endgeräten, damit sie ihre Aufgaben bearbeiten können und erreichbar sind. Und somit sind empfindliche und vertrauliche Daten verstärkt auf den Mobilgeräten vorhanden. Diese müssen also genauso geschützt werden wie die stationären Rechner und Server.

Dazu kommt das schon eingangs erwähnte Internet Of Things. Immer mehr Geräte sind untereinander vernetzt, kommunizieren miteinander und gesteuert werden sie vom Smartphone aus. Das Handy ist für viele das Herzstück ihres Unternehmens. Und deswegen sollte Mobile Security einen immensen Stellenwert für Unternehmer haben.

Über Marco Föllmer

Marco Föllmer ist Gründer und Geschäftsführer der EBF GmbH. Seit mehr als 25 Jahren unterstützt er Unternehmen in den Bereichen Advisory, Mobility Management, Mobile Security, Support und Hosting. Zu seinen Kunden gehören sowohl Unternehmen wie die Finanz Informatik, CLAAS KGaA mbH, General Electric, Accenture PLC und Booz Allen Hamilton Inc. als auch 20 der 30 DAX-Konzerne, beispielsweise die Deutsche Telekom oder Henkel.

Über die EBF GmbH

Die EBF GmbH ist ein IT-Dienstleister mit Sitz in Köln. Spezialisiert ist das Unternehmen auf das Management und die Absicherung von mobilen Endgeräten in Unternehmen in der DACH-Region mit weiteren Standorten in den USA und Großbritannien.

Die EBF GmbH unterstützt ihre Kunden entlang des gesamten Prozesses: Von der Beratung, über Hosting bis hin zur Implementierung von eigenentwickelten oder standardisierten Lösungen. Durch Partnerschaften mit Telekommunikations-Dienstleistern und fortlaufenden Optimierungen stellt sie sicher, ihren Kunden immer die neuesten Innovationen und Technologien anbieten zu können – über zahlreiche Plattformen und Hersteller hinweg.