- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

Phishing auf dem Vormarsch


IT-Security-Technologie gibt Unternehmen ein falsches Gefühl von Sicherheit
Der Einsatz von IT-Security-Technologie, um menschlich bedingte Probleme zu lösen, funktioniert einfach nicht

- Anzeigen -





Übermäßiges Vertrauen in die Technologie macht Unternehmen anfällig für Phishing und andere Angriffe, die auf Menschen abzielen. Untersuchungen vom F-Secure Red Team zufolge, haben 52 Prozent der Mitarbeiter bereits auf einen Link in einer gefälschten E-Mail geklickt. Cyberangreifer nehmen konsequent Unternehmen ins Visier, die sich Sicherheitsexperten zufolge oftmals in Sicherheit wiegen und sich zu sehr auf Technologie zu verlassen, um ihre Netzwerke zu verteidigen. Die Warnung kommt von einem Sprecher vom Red Team von F-Secure. Diese Expertengruppe für Cybersicherheit übt nachgeahmte Angriffe auf Unternehmen aus, um die Stärken und Schwächen ihrer Sicherheit zu verdeutlichen.

"Der Einsatz von Technologie, um menschlich bedingte Probleme zu lösen, funktioniert einfach nicht – und jeder, der dir etwas Anderes sagt, verkauft magische Bohnen", sagt Tom Van de Wiele, Principle Security Consultant bei F-Secure. "Die Angreifer, vor allem Kriminelle, leben von der Perfektionierung subtiler Social-Engineering-Methoden, die Menschen dazu verleiten, ihre Wachsamkeit auszuschalten. Wenn die Mitarbeiter glauben, dass modernste Sicherheitstechnologien alles bewältigen werden, gibt ihnen dies ein falsches Sicherheitsgefühl. Genau darauf zählen die heutigen Angreifer."

Phishing veranschaulicht das, was Van de Wiele mit Fehlern im Zusammenhang mit einem Übermaß an Vertrauen in Technologie meint. Laut PwCs Global State of Information Security Survey 2017, war Phishing der wichtigste Vektor für Cyberangriffe auf Finanzinstitute im Jahr 2016. Angesichts der Verbreitung im Darknet von Phishing-as-a-Service als Managed Service werden diese Angriffe wahrscheinlich noch häufiger werden.

"Du würdest staunen, was die Leute alles anklicken, während sie arbeiten. Sie sind nicht dumm, aber sie werden erwischt, wenn sie es nicht unbedingt erwarten, dass sie getäuscht werden", erklärte Van de Wiele. Und in der Tat haben simulierte Phishing-Angriffe hohe Erfolgsraten bei den Red Teaming Tests von F-Secure.

Im Rahmen eines aktuellen Auftrags schickte das F-Secure Red Team eine gefälschte LinkedIn-E-Mail an die Mitarbeiter des beauftragenden Unternehmens, um zu sehen, wie viele davon auf einen Link in einer unerwünschten E-Mail klicken würden. 52 Prozent der Angestellten klickten darauf. In einem anderen Test hat das Red Team eine E-Mail erstellt, die zu einem gefälschten Portal führt, in dem Mitarbeiter sich mit ihren Login-Daten anmelden müssen. 26 Prozent der Empfänger folgten dem Link zum Portal, und 13 Prozent haben tatsächlich ihre Anmeldeinformationen eingegeben.

Nichts ist grenzenlos
Die Red Teaming Tests, die Van de Wiele und seine Kollegen durchführen, umfassen eine Reihe von Tests, um aufzuzeigen, was Unternehmen richtig oder falsch machen, wenn es um Sicherheit geht. Ziel der simulierten Angriffe ist es, Finanzdaten und geistiges Eigentum zu stehlen oder wichtige Teile der IT-Infrastruktur eines Unternehmens unter Kontrolle zu bringen. Die Tests stellen die Unternehmen vor die Herausforderung, erfolgreich simulierte Cyberangriffe zu entdecken, zu isolieren und darauf zu reagieren.

Van de Wiele zufolge, überraschen diese Tests oftmals die Unternehmen, indem sie aufdecken, in welcher Weise sie den Bedrohungen ausgesetzt sind. "Interne Ansichten der Sicherheit passen selten zu den Schwachpunkten, die Angreifer tatsächlich sehen", sagte er. Die Tests beziehen die gesamte Angriffsfläche eines Unternehmens mit ein, nicht nur die digitale, sondern auch die physische – oder einfach irgendetwas, was unter der Firmenmarke läuft.

"Viele Unternehmen sind überrascht, wenn wir auf ihre Offline-Servern zugreifen, da viele CISOs unvorbereitet sind, mit einem Angreifer umzugehen, der sich physischen Zugang zum Firmengelände verschafft. Und das ist überraschend einfach zu bewerkstelligen: Alles was Sie brauchen, ist eine Sicherheitsweste und den Anschein körperlicher Arbeit nachzuahmen. Eine Sicherheitsweste ist besser als Harry Potters Unsichtbarkeitsumhang. Ziehen Sie eine an – und Sie kommen überall hinein, es werden keine Fragen gestellt."

Der Leistungsumfang des F-Secure Red Teams:
>> Gewährleisten, dass die Sicherheitsmaßnahmen funktionieren und mit der beabsichtigten Funktion übereinstimmen.
>> Den betriebswirtschaftlichen Wert von Investitionen in die Cybersicherheit ermitteln.
>> Sich einen Überblick darüber verschaffen, wie effizient Kernkompetenzen oder geistiges Eigentum geschützt sind.
>> Klären, ob die Sicherheitsprozesse aktualisiert werden müssen oder ob mehr Sicherheitstraining erforderlich ist.
>> Das IT-Sicherheitsbewusstseins in den betroffenen Abteilungen erhöhen.
>> Fähigkeit des Unternehmens testen, einen Angriff zu isolieren.
(F-Secure: ra)

eingetragen: 14.05.17
Home & Newsletterlauf: 08.06.17


F-Secure: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Heimliches Schürfen von Kryptowährung

    Das Jahr 2017 war für Kryptowährungen turbulent: Bitcoin, Ether und Co. erlebten einen Boom wie noch nie zuvor. Doch mit dem steigenden Wert und der Beliebtheit von virtuellen Währungen wuchs auch die Gier von Cyberkriminellen: Sie nutzten zunehmend ausgefeilte Methoden und erbeuteten damit Kryptowährungen im Wert von Millionen. Der europäische Security-Hersteller Eset zeigt in einer Bestandsaufnahme, welche Taktikten die Hacker dazu nutzten, 2017 zum "Jahr der virtuellen Bankräuber" zu machen - und wirft einen Blick auf das, was in diesem Jahr auf Nutzer von Kryptowährungen zukommen könnte.

  • Sachschäden: Anfällige SCADA-Systeme & IoT

    A10 Networks, Anbieterin von sicheren Anwendungsdiensten, stellt zehn aktuelle Security-Trends vor, die die Sicherheitsforscher des Unternehmens erstellt haben. Cyberkriminelle bereiten Unternehmen und Verbrauchern große Probleme, doch auch die Technologien zur Abwehr von Angriffen entwickeln sich rasant. Das sind die zehn Security-Trends. Browser erhalten nativen/experimentellen Support und Online-Identitäten, um die Anzahl der anonymen Transaktionen zu reduzieren. Blockchain-Technologien sind von vornherein sicherer als ihre Vorgänger und schaffen eine Online-Umgebung mit besserem Schutz und einer geringeren Anonymität.

  • Neue vielversprechende Security-Technologien

    Die Gewährleistung der Cybersicherheit wird zwar immer komplexer, in diesem Jahr zeichnen sich jedoch eine Reihe von neuen vielversprechenden Technologien und Strategien ab, die hier ansetzen. Dazu zählen neben Täuschungstechnologien auch künstliche Intelligenz und maschinelles Lernen. Unternehmen können in den nächsten Monaten auch im Hinblick auf die Umsetzung der EU-DSGVO einiges tun, um die Sicherheit ihrer Daten zu gewährleisten.

  • Bitcoin-Boom: Auch Cyberkriminelle profitieren

    Der Run auf Kryptowährungen wie Bitcoin, Monero, Zcash und Ethereum wirft auch für Cyberkriminelle reichlich Gewinn ab. Nach einem aktuellen Report von Digital Shadows steigt die Anzahl an Services und Tools, die es Hackern ermöglicht, den Boom um die digitalen Währung auf illegalem Weg auszunutzen. Mit mehr als 1.442 im Netz verfügbaren Kryptowährungen und wöchentlich neuen "alternativen Münzen" (Altcoins) wächst das potentielle Betätigungsfeld für Cyberkriminelle rasant. Dabei profitieren sie von fehlenden Kontrollmechanismen, Sicherheitsproblemen und der Anonymität im Netz. Zu den beliebtesten Betrugsmaschen zählen Krypto Jacking, Mining Fraud und Account-Übernahmen durch Phising oder Credential Stuffing. Auch direkte Attacken auf Kryptowährungsbörsen (ICOs, Initial Coin Offerings) nehmen zu. Die japanische Kryptowährungsbörse Coincheck gab erst kürzlich einen Diebstahl ihrer Kryptowährung NEM im Wert von knapp 429 Millionen Euro bekannt. Von den Angreifern fehlt bislang jede Spur, die Art des Angriffs ließ sich nicht nachverfolgen.

  • Backdoor für Datendiebstahl

    Digitale Erpressung hat sich laut den Sicherheitsforschern von Trend Micro zum erfolgreichsten und effizientesten Erwerbsmodell für Cyberkriminelle entwickelt. Angriffe werden zunehmend vielseitiger und ausgeklügelter. Digitale Erpressung stellt auch künftig für Firmen und öffentliche Organisationen ein erhebliches Risiko dar. Wie Trend Micro bereits in den Sicherheitsvorhersagen 2018 dargelegt hat, werden Cyberkriminelle vor allem Unternehmen ins Visier nehmen und dort Schäden anrichten.