Bin beim Angeln

Ein Strom von Abwesenheitsnachrichten signalisiert: Der Sommer ist da. Und selbst diejenigen, die nicht ganz von der Arbeit abschalten können, nutzen den Trend zu Workation. Sie machen Urlaub, um gleichzeitig in entspannter Umgebung zu arbeiten. Diese flexible Form des „Work from Home“ hat zu einem neuen Akronym geführt: „Work from the Beach“ – kurz WBF. Die WFB-Zugeständnisse sind ein attraktives Instrument zur Mitarbeiterbindung in einem zunehmend wettbewerbsorientierten Arbeitsmarkt, die gerne wahrgenommen werden.

Warum aber sollte die neueste Variante der Fernarbeit die Sicherheitsabteilungen auf den Plan rufen? Besondere Vorsicht ist wegen Phishing geboten. Denn Phishing ist laut Zscaler ThreatLabz 2023 Phishing Report der beliebteste Angriffsvektor auf Unternehmen. Phishing-Angriffe stiegen 2022 im Vergleich zum Vorjahr um fast 50 Prozent und alles deutet darauf hin, dass sich dieser Trend fortsetzen wird.

Laxe Cyberhygiene

Diese Entwicklung ist besonders besorgniserregend, da WFB-Mitarbeitende in einer entspannten Urlaubsumgebung die Cyberhygiene eher vernachlässigen und damit zum leichten Ziel für Angreifer werden. Es fehlt am Urlaubsort das Korrektiv der Kollegen, die im Zweifel bei einer verdächtigen E-Mail vor dem Klick für eine zweite Meinung zu Rate gezogen werden können. Die Aufmerksamkeit, sich die Inhalte des letzten Cyber-Awareness-Trainings vor Augen zu rufen, kommt auch zu kurz, wenn die Familie auf den Strandausflug wartet.

Ein weiterer Faktor, der das Risikoprofil von Distance Workern erhöht: Sie arbeiten mit größerer Wahrscheinlichkeit von einem persönlichen Gerät aus mit schwächerer Sicherheit und kleinerem Bildschirm. Dieser Umstand bietet den Angreifern mehr Möglichkeiten für Einfallstore, beispielsweise über SMS und WhatsApp und damit höhere Infiltrierungschancen. Vor allem ein kleineres Display vom Smartphone lässt den Nutzern weniger Spielraum, um subtilere Anzeichen für einen Betrug in Text- oder E-Mail-basierten Angriffen zu erkennen, zum Beispiel eine falsche E-Mail-Adresse.

Vishing als Spielart von Phishing

Das selbst ein Security-Anbieter eie Zscaler nicht vor Phishing-Attacken verschont wird, zeigt der Anruf bei einem unserer Vertriebsleiter. Scheinbarer Anrufer: der CEO Jay Chaudhry samt Bild des Firmenchefs auf dem Smartphone und der Stimme: „Hallo, hier ist Jay. Du musst etwas für mich tun.“ Dann brach der Anruf ab. In einer daraufhin erhaltenen WhatsApp-Nachricht hieß es weiter: „Ich habe schlechten Netzempfang, da ich im Moment unterwegs bin. Ist es okay, in der Zwischenzeit eine SMS zu schreiben?“ Es folgte eine Bitte um Hilfe bei der Überweisung von Geld an eine Bank in Singapur. Als der Manager des Vertriebsleiters interne Ermittler alarmierte, stellte sich heraus, dass Cyberkriminelle Jays Stimme aus Ausschnitten seiner veröffentlichten Reden benutzt hatten, um den Mitarbeiter zu täuschen.

Das ist nur ein Beispiel für ausgefeiltes Social Engineering. Angetrieben von leistungsfähigen KI-Tools hat sich SMS-Phishing zu einem auf Sprachnachrichten ausgerichteten Phishing – Vishing – weiterentwickelt. Dabei werden echte Sprachfetzen von der Geschäftsleitung verwendet, um Mitarbeitende zum Öffnen Schadcode-verseuchter Anhänge oder zu sonstigen schädlichen Handlungen zu verleiten.

Stimme als neuer Köder

Erfolgreiches Vishing erfordert ein Verständnis der sozialen Dynamik des angegriffenen Unternehmens. Cyberkriminelle wissen, dass neu eingestellte Mitarbeitende dringende Anfragen aus der Chefetage wahrscheinlich nicht ignorieren werden. Führungskräfte werden von Medien interviewt oder tauchen in den Marketingmaßnahmen des Unternehmens auf, so dass ihre Stimme mit größerer Wahrscheinlichkeit in der Öffentlichkeit zu hören ist. Damit können diese Stimmen der Geschäftsführungsebene als perfekter Köder eingesetzt werden.

Ein Klick auf einen verseuchten Link kann das Tor zu weitaus ernsteren Bedrohungen wie einem Ransomware-Angriff auf das Unternehmen öffnen. Denn über Phishing gestohlene Zugangsdaten zu einem Netzwerk haben einen großen Marktwert im Darknet. Log-in Informationen sind eine vergleichsweise einfache, unauffällige Methode für Angreifer, um in einem Unternehmen beispielsweise über den Laptop einer einzelnen Zielperson Fuß zu fassen. Gegen eine Gebühr kann der Zugang zu diesem wertvollen Einstiegspunkt dann an Ransomware-Gruppen weitergegeben werden. Diese Gruppierungen nutzen die Zugangsdaten, um sich seitlich durch das Unternehmensnetz zu bewegen, auf der Suche nach wertvollen Informationen, die sich für die Erpressung stehlen oder verschlüsseln lassen.

Data at Rest und Data in Motion

Was können Unternehmen tun, um ihre Mitarbeitenden in dieser Sommersaison vor Phishing-Betrügereien zu schützen? Eine Cloud-basierte Zero-Trust-Network-Access-Strategie sorgt dafür, dass Mitarbeitende von jedem Arbeitsort den sicheren Zugriff auf benötigte Anwendungen haben. Die Zero Trust-Architektur reduziert die Angriffsfläche eines Unternehmens erheblich und hilft, Schäden durch Phishing zu unterbinden. Sie verhindert beispielsweise Datenverluste, indem sie „Data at Rest“ und „Data in Motion“ prüft und schützt. Darüber hinaus blockt sie die seitliche Bewegung von Malware, so dass kompromittierte Ressourcen nicht in andere Netzwerkbereiche eindringen können. Benutzer sind dann nämlich direkt mit den benötigten Anwendungen verbunden und nicht mit dem Netzwerk selbst.

Unternehmen, die auf dem Arbeitsmarkt attraktiv bleiben wollen, sollten nicht an den Sicherheitsrichtlinien sparen. Sie müssen lediglich ihr Sicherheitsdenken von einem Netzwerk- zentrierten zu einem Nutzer-zentrierten Ansatz mit ZTNA weiterentwickeln. Dies gibt ihnen mehr Sicherheit, wenn sie ihren Mitarbeitenden, die das Beste aus ihrem Sommer machen wollen, eine ausgewogene Work-Life-Balance ermöglichen.

Tony Fergusson

ist CISO EMEA bei Zscaler.