Die Cyberkriminalität ist in den vergangenen Jahren zu einem hochprofessionellen „Geschäft“ herangewachsen, wie unser diesjähriger Digital Defense Report zeigt. Hacker*innen versuchen sich widerrechtlich Zugang zu Firmennetzwerken zu verschaffen mit dem Ziel, Daten zu stehlen und Unternehmen mit der Veröffentlichung zu erpressen. Doch welche Einfallstore nutzen Cyberkriminelle und wie gelingt es ihnen ganze IT-Systeme zu verschlüsseln? Genau das wollen wir in diesem Beitrag näher beleuchten.
Prinzipiell sind alle Verbindungen eines Unternehmens nach außen potenzielle Einfallstore für Cyberkriminelle. Das können Schnittstellen von und zu einem Firmennetzwerk sein, die zum Beispiel Kunden oder Partnern über das Internet Zugriff auf einzelne Teile eines Unternehmensnetzwerks bieten. Virtual Private Networks (VPN) oder via Remote Desktop Protocol (RDP) – für den Fernzugriff verbundene Rechner – nutzen solche Schnittstellen. Ihr kennt sie wahrscheinlich aus eurem eigenen Arbeitsalltag – eine VPN-Verbindung ist beispielsweise notwendig, wenn ihr aus dem Homeoffice auf den Server eures Arbeitgebers zugreifen möchtet. In den Händen von Cyberkriminellen können sie zur Gefahr werden. Auch eine Webseite kann Zugang zu firmeneigenen Ressourcen bieten, wenn die Daten auf Servern des Unternehmens liegen.
Moderne Angriffsmethoden: Social Engineering
Am häufigsten nutzen Cyberkriminelle die E-Mail-Konten von Mitarbeiter*innen als Einfallstor für ihre Angriffe auf Unternehmen. Diese Art der Attacken wird unter dem Stichwort „Social Engineering“ geführt. Der Begriff umfasst eine ganze Reihe von Aktivitäten – von Spear Phishing-Kampagnen, die speziell auf Führungskräfte ausgerichtet sind, über Coronabezogene Phishing-Angriffe, die auf das Informationsbedürfnis der Menschen abzielen. Doch die Angreifer*innen greifen auch zum Hörer: Beim sogenannten Tech Scam geben sich die Cyberkriminellen beispielweise als Supportmitarbeiter*innen von Microsoft aus und versuchen so an Geld und Daten ihrer Opfer zu gelangen. Gemein haben alle Social Engineering-Aktivitäten, dass sie mit der bösen Absicht gestartet werden, von Beschäftigten Zugangsdaten abzufangen, um in ein Unternehmensnetzwerk eindringen zu können, Informationen zu stehlen und diese im Dark Web zum Verkauf anzubieten oder um Schadsoftware zu verbreiten und damit weitere schädliche Aktivitäten zu starten.
Scamming: Wenn „Microsoft“ anruft
Immer wieder berichten uns Kund*innen von Anrufen, die sie angeblich von der Microsoft-Hotline erhalten. Die vorgeblichen Supportmitarbeiter*innen informieren darüber, dass der Support für Windows bald endet, und bieten Hilfe für den Umstieg auf Windows 10 an. Um den Druck zu erhöhen, erzählen sie auch von drohenden Virenattacken oder beschädigten Computern. Für diese Hilfe oder für eine vermeintliche Reparatur des Systems stellen sie dann Kosten in Rechnung – oft über hunderte, mitunter gar über tausende Euros. Zudem fordern sie ihre Opfer auf, ihnen ihre Zugangsdaten zu geben, um die Reparatur auszuführen, und bekommen so auch noch Zugang zu fremden Computern.
Bereits zum dritten Mal haben wir bei Microsoft das Ausmaß und die Auswirkungen solcher Tech-Support-Scams untersucht. Das Ergebnis: 47 Prozent der Befragten in Deutschland waren von Kontaktaufnahmen unterschiedlicher Art betroffen. Dies sind insgesamt 8 Prozent weniger als noch 2018. Auffällig ist jedoch: Während die Kontaktaufnahmen per E-Mail, Webseite oder Pop-up-Fenster leicht rückläufig sind, nehmen betrügerische Telefonanrufe in Deutschland zu: Im Vergleich zur Studie 2018 sind die «Cold-Calls», von 17 auf 22 Prozent angestiegen.
Wir haben dazu bereits mehrfach erklärt, dass Microsoft unter keinen Umständen unaufgefordert Telefonanrufe durchführt, in denen wir Nutzer*innen anbieten, ein schadhaftes Gerät zu reparieren oder in denen wir persönliche oder finanzielle Daten abfragen. Jegliche Kommunikation mit Kund*innen wird durch die Kund*innen selbst initiiert. Solltet ihr dennoch einen solchen Anruf erhalten, legt einfach auf und meldet diesen Vorfall bitte auf dieser Webseite. Die Informationen werden dann an die Strafverfolgungsbehörden weitergegeben und von unseren Cybercrime-Teams dafür genutzt, um gegen solche Betrüger*innen vorzugehen. Die Daten werden wir unter keinen Umständen zu allgemeinen Marketingzwecken verwenden, sondern ausschließlich um die Jagd auf Cyberkriminelle zu unterstützen. Weitere Tipps zu dem Thema findet ihr im Beitrag von Alexandra Gerst, Anwältin in der Digital Crimes Unit bei Microsoft .
Phishing: Wie ihr euch schützen könnt
Die wohl bekannteste Angriffsmethode ist das sogenannte Phishing. Dabei versuchen Cyberkriminelle, Zugangsdaten per E-Mail, über gefälschte Webseiten oder über Kurznachrichten auf dem Smartphone abzufischen, daher der Begriff. Dafür tarnen sie sich – beispielsweise als eure Bank, damit ihr eure Kontodaten an sie schickt, als eure Chefin, damit ihr eure Netzwerk-ID an sie rausgebt, oder als euer Versandhändler, damit ihr eure Login-Daten eingebt. Sie leiten euch auch oft per Link zu gefälschten Webseiten, die sich mitunter sehr perfekt als eure Bank oder euer Online-Händler tarnen. Wenn ihr dort eure Daten eingebt, werden sie ebenfalls abgefischt.
Die Erfolgsquote dieser Versuche steht und fällt mit der Glaubwürdigkeit der Absender*innen: Je überzeugender sie sind, desto eher gebt ihr ihnen unbewusst eure Daten. Um euch davor zu schützen, hilft am besten eine gesunde Portion Misstrauen. So wird euch zum Beispiel eure Sparkasse oder Bank niemals per E-Mail nach Login-Daten fragen. Jede Anfrage in die Richtung ist also ein krimineller Versuch. Der beste Schutz vor solchen Angriffen ist es daher, auf solche E-Mails nicht zu reagieren und eure Bank auf einem anderen Weg zu kontaktieren und den Vorfall zu melden.
Um eure Konten noch besser zu schützen, solltet ihr eine Multi-Faktor-Authentifizierung einrichten. Sie sorgt dafür, dass bei der Anmeldung neben dem Passwort noch ein zweiter Faktor geprüft wird – das kann beispielsweise die Zugriffsbestätigung auf einem zweiten Smartphone oder Gerät sein oder ein Telefonanruf, bei dem eine PIN abgefragt wird. Unternehmen setzen das sichere Verfahren bereits vielfach ein und auch im privaten Umfeld bieten mehr und mehr Plattform-Anbieter, Banken und E-Mail-Dienstanbieter diese kostenlos an. Für den Fall, dass ihr doch mal auf eine betrügerische Masche hineingefallen seid und eure Zugangsdaten preisgegeben habt, sind eure Daten so dennoch geschützt.
Spezialfall Spear Phishing
Um ihre Glaubwürdigkeit zu erhöhen, fischen Cyberkriminelle immer häufiger nicht mehr wahllos mit dem Netz alles ab, was da ist, sondern gehen sozusagen mit dem Speer gezielt auf die Jagd. Diese Art von Angriff richtet sich oft direkt gegen Führungskräfte und andere leitende Angestellte – und zwar mit besonders raffinierten Methoden.
Beim Spear Phishing tarnen sich die Angreifenden zum Beispiel als ein*e Kolleg*in oder Freund*in und bitten euch um einen schnellen persönlichen Gefallen. Die Informationen, die sie dafür über euch brauchen, haben sie sich vorher beispielsweise bei LinkedIn oder Facebook und aus öffentlichen Quellen zusammengesucht. Meist reicht es, zwei oder drei Informationen zu verknüpfen, um bei den Empfänger*innen einer Nachricht authentisch zu wirken.
Oft verbinden Hacker*innen ihre Phishing-Versuche mit einer dringenden Situation oder gar einer Gefahr: „Ich brauche ganz schnell die Daten aus dem System, kannst du mir die sofort schicken?“ „Ich habe mein Portemonnaie verloren, kannst du mir direkt per Paypal Geld überweisen?“
Das mag im ersten Moment ungewöhnlich unglaubwürdig klingen. Wenn so eine E-Mail allerdings vermeintlich von der Chefin oder einem guten Freund kommt, reagieren die Menschen in den allermeisten Fällen darauf. Gesundes Misstrauen ist hier ein gutes Stichwort – bei einer außergewöhnlichen Bitte wie dieser lohnt es sich in jedem Fall nachzufragen, bevor ihr diesen Wünschen nachgeht.
Und wenn ihr doch mal irgendwo draufgeklickt habt?
Niemand ist zu 100 Prozent sicher, nicht doch auf einen vermeintlich nützlichen oder wichtigen Link zu klicken und damit Cyberkriminellen in die Falle zu tapsen.
Für IT- und IT-Sicherheitsverantwortliche in Unternehmen hat das BSI einen umfangreichen Leitfaden über Erste Hilfe bei einem schweren IT-Sicherheitsvorfall veröffentlicht, auf den wir an dieser Stelle verweisen möchten. Es ist aber auch gut zu wissen, dass es standardisierte und praxiserprobte Prozesse für die erste Reaktion und die Schadensbegrenzung gibt, die einfach nur abgearbeitet werden müssen:
- Wenn ihr selbst an eurem Arbeitsplatz von einem Cyberangriff betroffen seid, informiert zuerst eure IT- oder IT-Sicherheitsabteilung davon. Keine Scheu, kein Scham: Das ist ein sehr wichtiger Schritt, damit die Fachleute Maßnahmen gegen die Ausbreitung eines solchen Angriffs unternehmen können.
- Wenn ihr könnt, solltet ihr sofort eure Zugangsdaten in das Firmennetzwerk ändern, um den Zugang ins Netz und zum E-Mail-Server zu unterbinden. Sollte ein Einloggen nicht mehr möglich sein, hilft bei vielen Webseite und in den sozialen Medien die Funktion „Passwort vergessen“ oder „Passwort zurücksetzen“. Ihr bekommt auf eure E-Mail-Adresse einen Link geschickt und könnt dann das Passwort dennoch ändern. Wenn auch das nicht (mehr) geht, setzt euch direkt mit dem Support eures Dienstes oder Anbieters in Verbindung.
- Falls ihr euch Sorgen macht, dass Hacker*innen auf eure Konten zugreifen können, solltet ihr diese sperren lassen und gleichzeitig Anzeige erstatten.
Der beste Schutz vor Datenverlusten durch Hacker*innen oder Erpresser*innen ist eine regelmäßige Datensicherung in einem physisch getrennten Medium, also einer externen Festplatte oder in der Cloud. Damit verhindert ihr, dass Hacker*innen eure Rechner so verschlüsseln, dass ihr keine Möglichkeit mehr habt, auf eure Daten zuzugreifen. Der beste, nein, einzige Schutz sind zudem regelmäßige Backups!
Ein Beitrag von Stratos Komotoglou
Head of Security, Compliance, Identity Customer Success bei Microsoft Deutschland
@HerrStratos
