Social Engineering
Wenn die Cyberattacke den Arbeitsplatz erreicht
Auftragsarbeit Cyberattacke
Nach der Wahrnehmung des SecuritySecurity-Experten hätten Unternehmen wohl erkannt, dass Social Engineering eine große Bedrohung für sie ist. Deshalb beauftragen sie Unternehmen wie Secunet damit, fingierte Angriffe durchzuführen. "Tendenziell sind das große Unternehmen und Behörden, ab 5000 Mitarbeitern aufwärts", so Reimers. Damit die Privatsphäre gewahrt bleibt, offenbart Secunet dem Auftraggeber keine Namen von Mitarbeitern, die ihnen Tür und Tor öffnen. "Über die Tests wird dann in der Mitarbeiterzeitung berichtet, um zu sensibilisieren." Manche Unternehmen beauftragen Reimers mit Awareness-Kampagnen, die dasselbe Ziel haben. In diesen Schulungen erleben die Mitarbeiter, wie dreist Social Engineers vorgehen. Alles zu Security auf CIO.de
- 1. Exploit-Bekämpfung reduziert die Einfallstore für Kriminelle.
Cyberkriminelle hatten in den vergangenen Jahren mehr oder weniger leichtes Spiel mit Microsoft Windows. Glücklicherweise hat der Konzern Exploits in letzter Zeit gezielt bekämpft, so dass Attacken immer schwieriger werden. Allerdings gibt es eine Kehrseite der Medaille, da viele Malwareentwickler sich nun wieder den Social-Engineering-Techniken zuwenden oder auf Nicht-Microsoft-Plattformen abzielen. - 2. Internet-of-Things-Attacken haben sich von Machbarkeitsstudien zu Mainstream-Risiken entwickelt.
2014 mussten wir immer häufiger feststellen, dass Hersteller von Internet-of-Things-Geräten es oftmals verschlafen haben, grundlegende Sicherheitsstandards zu implementieren. Entsprechend sind Attacken auf diese Geräte absehbar und werden zudem umfassende Folgen haben. Die IT-Sicherheitsindustrie muss sich weiterentwickeln, um für dieses neue Thema Antworten zu finden. - 3. Verschlüsselung ist mittlerweile Standard, aber darüber sind nicht alle glücklich.
Dank häufig auftauchender Schlagzeilen in Sachen Spionagesoftware und Datenbankeinbrüchen hat sich die Verschlüsselung aller Daten schon fast zum Standard entwickelt. Das geht allerdings gerade großen Organisationen wie Strafverfolgungsbehörden oder Geheimdiensten gegen den Strich, da sie befürchten, dass diese „Heimlichtuerei“ die allgemeine Sicherheit gefährdet. - 4. Sicherheitsrelevante Programmierfehler in weit verbreiteter Software blieben jahrelang unter dem Radar.
„Heartbleed“ und „Shellshock” machen deutlich, dass weit mehr unsichere Code-Zeilen im Umlauf sind, als gedacht und sie werden seit vielen Jahren unbemerkt von einer großen Anzahl Computersystemen genutzt,. Entsprechend hat sich auch das Augenmerk der Hacker auf diese eher unauffälligen Programme gerichtet und 2015 sind vermehrt Attacken in diesem Bereich zu erwarten. - 5. Gesetzliche Neuregelungen bringen mehr Verantwortung bei der Offenlegung von Daten und Haftung mit sich – vor allem in Europa.
Die Mühlen der Gesetze mahlen im Vergleich zur Technologieentwicklung sehr langsam, aber dennoch treten 2015 einige gesetzliche Neuerungen in Kraft, die lange auf sich warten ließen. Es ist wahrscheinlich, dass diese Änderungen auch in anderen Bereichen mit einer progressiveren Datenschutzregulierung einhergehen. - 6. Kriminelle schießen sich auf mobile Zahlungssysteme ein, halten aber gleichzeitig noch eine Weile an traditionellen Finanzbetrügereien fest.
Nach der Ankündigung von Apple Pay waren mobile Zahlungssysteme eines der Topthemen der vergangenen Monate. Wie immer, wenn neue Systeme an den Start gehen, werden die Cyberkriminellen nach Lücken Ausschau halten. Da das aber aufgrund einiger sehr positiver Absicherungen nicht ganz einfach sein wird, dürfen wir davon ausgehen, dass die klassischen Onlinegaunereien mit Kreditkarten noch eine Weile weitergehen. Sie sind das bei weitem einfacherer für Betrug zu nutzen. - 7. Die Lücke zwischen Sicherheitsaufgaben und geschultem Personal klafft immer weiter auseinander.
Im gleichen Rahmen, wie Technologie immer mehr in unser tägliches Leben Einzug hält und einer der Stützpfeiler für die globale Wirtschaft wird, kommt das fehlende Know-how in Sachen Cybersicherheit zum Vorschein. Diese bedenkliche Entwicklung wird sowohl von Regierungen, als auch der Industrie konstatiert. Das Besetzen der nötigen Stellen kann Jahre dauern und ist somit ein echter Sicherheitsfaktor. - 8. Breite “Serviceoffensive” für Attacken und Exploit-Kits, um mobile Plattformen anzugreifen.
In den letzten Jahren hat sich ein neuer Trend bei den Cyberkriminellen durchgesetzt: das zur Verfügung stellen von Malwarepaketen, die keinerlei technisches Wissen voraussetzen und per Klick aktiviert werden können. Der rasante Anstieg bei mobilen Plattformen und der damit verbundene Austausch sensitiver Daten werden dazu führen, dass wir 2015 viele dieser Kits für Smartphone-Angriffe sehen werden. Gleiches gilt für Plattformen, die sich mit dem Internet of Things beschäftigen. - 9. Die Lücke zwischen ICS/SCADA und Sicherheit in der realen Welt wächst weiter.
Systeme wie Industrial Control Systems (ICS) und Supervisory Control and Data Acquisition (SCADA) hinken in Sachen Sicherheit üblicherweise zehn oder mehr Jahre hinter dem Mainstream her. Wir gehen davon aus, dass innerhalb der nächsten Jahre einige besorgniserregende Lücken aufgedeckt werden, die von Hackern auf breiter Front ausgenutzt werden. - 10. Flexiblere Rootkit- und Bot-Fähigkeiten eröffnen neue Angriffsvektoren.
Die Technologiesparte befindet sich zurzeit in einem grundlegenden Veränderungsprozess, in dessen Rahmen nun Plattformen und Protokolle abgeändert werden, die jahrelang als Standard dienten. Allein die Menge solcher Veränderungen der althergebrachten Technologiestandards wird viele alte Wunden aufreißen und neue Sicherheitslücken schaffen.
Ein Beispiel. Ein gutaussehende junge Dame mit schwerem Gepäck, die auf die Eingangspforte zuläuft und deren Mitarbeiterausweis halb verdeckt unter der luftigen Bluse steckt, hat große Chancen, dass ihr die Tür aufgehalten wird - ohne Kontrolle versteht sich. Auf dem Gelände verliert die Dame dann mit Trojanern präparierte USB-Sticks oder legt Zeitungen aus, denen CDs beigelegt sind. Auch die enthalten bösartige Codes.
Dass Schutz vor Social Engineering notwendig ist, belegt eine Studie des Hightech-Verbands Bitkom. Danach ist die Hälfte aller Unternehmen in Deutschland in den vergangenen zwei Jahren Opfer digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. "Social-Engineering-Angriffe sind meist so professionell, dass ein Angreifer sehr gute Chancen hat, erfolgreich zu sein. Daran ändert bislang auch nichts, dass die Mitarbeiter nach negativen Erfahrungen der Unternehmen immer mehr für das Thema sensibilisiert sind", sagt Marc Fliehe, IT-Sicherheitsexperte bei Bitkom. Etwa 20 Prozent der Befragten registrierten Fälle von Social Engineering.
- Schutz ist möglich
Unternehmen können ihre Industrie-Anlagen durchaus schützen. Falls möglichen, sollten sie die Systeme vom Internet trennen, rät Wilhoit. Pflicht sei der Einsatz einer Firewall. Zudem sollten innerhalb der Industrie-Anlage strenge Sicherheitsmaßnahmen eingeführt werden. - Fazit: Angriffe kaum zu vermeiden
Das Fazit von Trend-Micro-Forscher Kyle Wilhoit ist alarmierend: Es sei eine "überraschende Anzahl" von Angriffen zu beobachten gewesen. "Alles was mit dem Internet verbunden ist, wird wahrscheinlich angegriffen", bilanziert er daher nach dem Experiment. - Genaue Motive unbekannt
Wo die Rechner der Angreifer vermutlich standen, konnten die Forscher zwar nachvollziehen, über deren Motive wissen sie dagegen wenig. Ihr Eindruck: Einige Attacken hatten das Ziel, Informationen zu sammeln, andere wollten die Anlage tatsächlich lahmlegen. - Angreifer aus aller Welt
Die Angriffe gingen von 14 verschiedenen Ländern aus. Gut ein Drittel der Attacken (35 Prozent) war auf China zurückzuführen, ein Fünftel (19 Prozent) auf die USA, immerhin 12 Prozent auf den südostasiatischen Staat Laos. - Erster gezielter Angriff nach 18 Stunden
Eine Attacke stellten die Forscher bereits nach 18 Stunden fest. Im Testzeitraum von 28 Tagen verzeichneten sie insgesamt 39 Angriffe. Einige Angreifer versuchten es offenbar mehrfach und überarbeiteten dabei ihre Strategie. - Optimiert für Suchmaschinen
Damit die Angreifer die Systeme finden konnten, gestalteten die Forscher sie außerdem so, dass Google sie finden konnte, aber auch die Suchmaschine Shodan, die mit dem Internet verbundene Geräte aufspürt. - Schwachstellen als Einfallstor
Die Systeme enthielten typische Schwachstellen – damit sei die Testumgebung nah an der Realität gewesen, betonen die Forscher: Denn viele Industrie-Anlagen, die mit dem Internet verbunden sind, sind nicht ausreichend geschützt. - Zwei Honigtöpfe als Köder
Die Sicherheitsexperten stellten zwei sogenannte Honeypots auf. Dabei handelt es sich um Computersysteme, die Angreifer anlocken sollen – so wie Honigtöpfe, die eine große Anziehung auf Bären ausüben. Die Testumgebung war einer Pumpstation samt Steuerung und technischer Dokumentation nachgebildet. Eine Pumpe gab es allerdings nicht. - Erfahrungen sammeln
Bislang ist wenig über Attacken auf industrielle Steuerungssysteme bekannt. Um mehr darüber zu lernen, hat das IT-Sicherheitsunternehmen Trend Micro ein Experiment gemacht, über das es in einem Forschungspapier ausführlich berichtet.
Sensibilisierung gegen Social Engineering
Die Dunkelziffer ist sehr viel höher, denn "die meisten Angriffe werden nicht bemerkt", sagt Dirk Fox. Er ist Geschäftsführer bei Secorvo in Karlsruhe. Auch dieses Unternehmen ist spezialisiert auf IT-Sicherheit. Es führt allerdings keine Social-Engineering-Tests durch. "Ich halte es für gefährlich, das Vertrauen der Mitarbeiter auszunutzen, Misstrauen gegenüber Mitarbeitern aufzubauen und ihnen dann noch den Spiegel vorzuhalten. Andererseits erwartet man freundliches Auftreten gegenüber Kunden." Das passt seiner Meinung nach nicht zusammen. Awareness-Kampagnen aber bietet Secorvo auch an.
Social-Engineering-Angriffe sind nach Kenntnissen von Fox sehr erfolgreich. "Ein gut gemachter Angriff führt zu 100 Prozent zum Ziel." Das würden Tests belegen, die im Auftrag von Unternehmen durchgeführt wurden. Oder die einzelnen Fälle, in denen Mitarbeiter von Secorvo Social Engineering festgestellt haben. Zum Beispiel, als ein scheinbarer Lieferant mit dessen E-Mail-Adresse an die Buchhaltung schrieb, die Kontonummer habe sich geändert. Rechnungen sollen bitte künftig auf folgendes Konto überwiesen werden. Die aktuelle Rechnung war der MailMail angeheftet. Alles zu Mail auf CIO.de