Die derzeit größten Cyber-Bedrohungen für Unternehmen

Eset Schild Firmenzentrale (Bild: Rainer Schneider/silicon.de)

Ein gebräuchlicher Angriffsvektor ist dem Sicherheitsanbieter Eset zufolge nach wie vor die Phishing-E-Mail. Insbesondere Spear-Phishing-Kampagnen und deren Variante “CEO-Betrug” bereiten Sorgen. Ransomware ist weiterhin auf dem Vormarsch. Sie könnte sich von PCs und Smartphones auf weitere Plattformen ausbreiten.

Auf einer Presseveranstaltung in der slowakischen Hauptstadt Bratislava hat der dort ansässige Sicherheitsanbieter Eset die aus seiner Sicht derzeit vordringlichsten Cyber-Bedrohungen für Unternehmen dargelegt. Ein weiterhin sehr gebräuchlicher Angriffsvektor ist demnach immer noch die Phishing-E-Mail. Hier ist laut Eset Spear-Phishing im Allgemeinen und dessen Variante “CEO-Betrug” im Besonderen zu nennen. Aber auch Ransomware-Attacken seien nach wie vor auf dem Vormarsch.

Phishing (Bild: Shutterstock)

Firmen müssten zum einen Spear-Phishing-Attacken mit zielgerichteten Phishing-E-Mails fürchten, die nach Angaben von Eset immer mehr zunehmen. Neben klassischen Paypal-Betrugs-Mails nennt der Sicherheitsanbieter auch ausgeklügeltere Kampagnen – etwa in Form einer Spam-Mail, die die Umstellung von Hotmail auf Outlook.com Anfang 2013 ausnutzte, um vorzugeben, dass Kontodaten und Postfächer eines Nutzers durch Klick auf einen Link automatisch in einen neuen Account transferiert würden. Hier fordert Eset Unternehmen dazu auf, ihre Mitarbeiter verstärkt darauf zu trainieren und vorzubereiten, nicht auf derartige Links zu klicken.

Eine Spear-Phishing-Variante, die derzeit besonders verbreitet ist, ist der sogenannte CEO-Betrug (CEO Fraud), die auch als “Insider Spoofing” bekannt ist. Nach Definition von Eset handelt es sich dabei um eine “E-Mail-gesteuerte” Betrugskampagne, in deren Rahmen ein Angreifer vorgibt, der Chef eines Unternehmens zu sein, um einen Mitarbeiter dazu zu bringen, Firmenkapital im Wert von mehreren tausend Euro oder Dollar an ein Bankkonto zu überweisen, das auf dessen Namen läuft.

“Ein typisches Beispiel dafür ist: Man bekommt eine E-Mail, in der es heißt, der CEO sei im Urlaub und man solle stellvertretend für ihn dringend einen gewissen Geldbetrag auf ein bestimmtes Konto überweisen. Wenn es aber wirklich der CEO ist, warum schreibt er dann eine E-Mail und ruft zum Beispiel nicht einfach an?”, fragt Righard Zwienenberg, Senior Research Fellow bei Eset.

CEO Fraud-symbolbild (Bild: Eset)
Zu einer derzeit weit verbreiteten Variante des Spear-Phishing zählt das sogenannte “Insider Spoofing”, das auch als “CEO-Betrug” bekannt ist (Bild: Eset).

Doch wie kommt ein Krimineller eigentlich an die Informationen, die es ihm ermöglichen, einen CEO Fraud durchzuführen? An solche Informationen gelangt er laut Zwienenberg etwa über einen Komplizen innerhalb der Firma oder über frei zugängliche Informationen im Netz. So könne er den für die Freigabe finanzieller Transaktionen Verantwortlichen beispielsweise über die Kategorie “Über uns” auf der Firmen-Homepage ausfindig machen. Und oft findet er ihn ohnehin bei diversen Sozialen Netzwerken.

Zudem sei es nicht weiter schwierig herauszufinden, wenn jemand wie der CEO privat unterwegs oder auf Geschäftsreise ist. Dies lasse sich zum Beispiel sehr leicht über Urlaubs- oder Konferenzbilder in Sozialen Netzwerken wie Facebook oder Twitter ermitteln. “Mit solchen Informationen helfen wir den Kriminellen nur. Unser ‘Social Networking’ ermöglicht den Angreifern ihr ‘Social Engineering’“, sagt Zwienenberg.

Solche erspähten Daten könnten ihm zufolge aber auch für “gewöhnlichen” Bankkontenbetrug genutzt werden, etwa in Form einer E-Mail an einen Buchhalter oder die Finanzabteilung einer Firma, in der die zuständigen Mitarbeiter dazu aufgefordert werden, bestimmte Bankdaten auf jene der Kriminellen zu ändern.

Ransomware (Bild: Shutterstock / Carlos Amarillo)

Eine andere nach wie vor weit verbreitete Angriffsform auf Unternehmen ist nach Einschätzung von Eset eine Attacke via Ransomware. Die Erpresser-Software werde nicht nur immer professioneller – etwa hinsichtlich ihrer Sperrbildschirme, sondern auch immer teurer für die Betroffenen, da die Preise zum Freikaufen der von ihr verschlüsselten Daten immer weiter anstiegen.

Auch in diesem Fall setzten die Cyberkriminellen kontinuierlich und zunehmend auf Social Engineering. Beispielsweise böten sie in manchen Fällen an, dass man das Lösegeld mit der Kreditkarte bezahlen kann, statt wie bisher in der Regel per Bitcoin. “Kommt ein Betroffener dem Angebot nach, erhalten Kriminelle außer dem eigentlichen Lösegeld auch noch dessen Kreditkartendaten”, erklärt Zwienenberg.

Als Hauptgrund, warum sich Erpresser-Malware immer weiter ausbreitet, sieht Eset die Tatsache, dass die Masche schlicht und ergreifend funktioniert. Sowohl Privatnutzer als auch Firmen seien immer noch gewillt zu bezahlen. Eine Ursache dafür sei wiederum, dass Mitarbeiter, die durch Ransomware erpresst würden, Angst hätten ihren Job zu verlieren, wenn sie einen solchen Vorfall der IT-Abteilung melden.

Außerdem hätten viele Nutzer kein Backup erstellt oder wenn sie eine Datensicherung beispielsweise auf einem an den Rechner angeschlossenes NAS oder einem anderen externen Medium vorhielten, könnten die darauf gesicherten Daten ebenso verschlüsselt werden. Trotz solcher Eventualitäten rät der Sicherheitsanbieter dazu, den Lösegeldforderungen nicht nachzugeben, da man nie wisse, ob die Kriminellen tatsächlich den Schlüssel zum Dechiffrieren der Daten beitzen.

Righard Zwienenberg gibt in dem Kontext das Beispiel des von Eset entdeckten Erpressertrojaners Android/Locker.DQ, der sich im September 2015 insbesondere in den USA verbreitete. Die auch als Lockerpin bezeichnete Schadsoftware war damals in der Lage, eine beliebige PIN für die Display-Sperre festzulegen oder eine vorhandene PIN zu ändern. Da die PIN allerdings nicht von den Kriminellen gespeichert, sondern permanent zufällig neu generiert wurde, konnte ein infiziertes Gerät, falls es nicht gerootet war, nur durch ein Zurücksetzen auf die Werkseinstellungen wieder entsperrt werden.

Eset (Grafik: Eset)

Aber auch wenn die Kriminellen eine gültige PIN, einen validen Schlüssel oder ein Dechiffrier-Tool vorhalten, so ist das noch lange keine Garantie für die problemlose Entschlüsselung der Daten. “Selbst wenn sie eine Entschlüsselungssoftware anbieten, kann es immer noch sein, dass diese nicht ordnungsgemäß funktioniert und die Daten am Ende beschädigt sind”, warnt Zwienenberg. Außerdem halte die ungebrochene Zahlungsbereitschaft der Opfer das Ökosystem der Cyberkriminellen aufrecht.

Eset hält es darüber hinaus für möglich, dass sich Ransomware in Zukunft auf weitere Plattformen ausbreitet. So sei sie dann künftig nicht mehr nur auf Windows-, Mac- oder Android-Geräten zu finden, sondern womöglich auch auf Smart TVs oder sogar in Autos. Letzteres Szenario sei dabei “alles andere als weit hergeholt”.

“Selbstfahrende Autos werden ja unter anderem von Google gebaut, das auch Android entwickelt. Auf dem wiederum ist Ransomware inzwischen weit verbreitet. Und stellen Sie sich nun einmal vor, Sie werden während der Fahrt von einer Erpresser-Software dazu aufgefordert, zunächst die Kreditkarte in das Fahrzeug einzuführen, da andernfalls die Bremsen nicht funktionieren”, skizziert Zwienenberg ein mögliches Schreckensszenario.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de