eco - „Angreifer machen sich menschliches Verhalten zunutze"

19.11.2016
Während „normale“ Malware mit gängiger Software gut beherrschbar ist, nehmen fortgeschrittene Bedrohungen wie Ransomware und Social Engineering wie beim CEO-Fraud zu.
eco - Verband der Internetwirtschaft e.V.

Oliver Dehning, Leiter der eco Kompetenzgruppe Sicherheit, erklärt im folgenden Interview die Entwicklung und beschreibt Gegenmaßnahmen der Sicherheitsindustrie.

Herr Dehning, was versteht man unter „Advanced Threats“?

„Advanced Threat“ ist eine Verkürzung von „Advanced Persistent Threat“. Damit sind, wie der Name sagt, fortgeschrittene, länger andauernde Bedrohungen gemeint. Genau genommen sind das Angriffe, die sehr gezielt auf Organisationen oder Personen zugeschnitten sind. Solche Angriffe erfordern aufseiten der Angreifer Planung, das Sammeln von Informationen, genaue Analyse dieser Informationen und in der Regel mehrere Angriffsschritte, die aufeinander abgestimmt sind.

Die in letzter Zeit gehäuft auftretenden Fälle von CEO-Fraud sind solche Angriffe: Die Angreifer informieren sich über Details der Zielorganisation, identifizieren exponierte Personen und versuchen dann, diese so zu beeinflussen, dass beispielsweise Überweisungen mit zum Teil sehr großen Beträgen auf Konten des Angreifers erfolgen.

In der IT-Security-Branche hat sich zudem der Begriff „Advanced Threat Protection“ (ATP) eingebürgert. „Advanced“ sind hier nicht notwendigerweise die Angriffe, vielmehr ist die verwendete fortgeschrittene Technologie zur Erkennung gemeint. ATP schützt vor Advanced Persistent Threats genauso wie vor herkömmlichen Angriffen, wie beispielsweise Virenwellen, die per E-Mail massenhaft verbreitet werden. Durch die verwendete Technik, beispielsweise „Sandboxing“, kann Advanced Threat Protection auch Schutz vor bis dahin unbekannten Angriffen und Viren bieten, anders als herkömmliche, signaturbasierte Erkennungsverfahren.

Eine solche Erkennung „ab dem ersten Virusexemplar“ hat zunehmende Bedeutung erlangt, da verschickte Viren immer schneller ihre Gestalt beziehungsweise ihr Aussehen verändern (sogenannte polymorphe Viren). Signaturbasierte Verfahren können der Geschwindigkeit der Änderung nur schwer folgen und viele Exemplare polymorpher Viren passieren herkömmliche Filter deshalb anstandslos.

Wie ist Ihre Beobachtung: Nimmt Ransomware gegenüber der „normalen“ Malware an Bedeutung zu?

Oliver Dehning, Leiter der eco Kompetenzgruppe SicherheitAbsolut. Das Phänomen ist eigentlich schon recht alt – erste Exemplare solcher Viren wurden 1989 bekannt. Mittlerweile sind allerdings komplette Softwarekits verfügbar, mit denen Angreifer mit relativ wenig Aufwand Angriffe mit Ransomware-Viren starten können. Das hat dazu geführt, dass seit etwa einem Jahr die Zahl der Attacken drastisch zugenommen hat.

Wir sehen das bei Hornetsecurity deutlich an der Zahl der erkannten Virenmails. Man erfährt aber auch aus Gesprächen, dass praktisch jeder jemanden kennt, der Opfer einer solchen Attacke geworden ist. Über etliche spektakuläre Fälle wurde ja auch in den Medien breit berichtet.

Wie erklären Sie sich, dass Social Engineering – und speziell CEO-Fraud – immer wieder funktioniert?

Die Angreifer machen sich menschliches Verhalten zunutze. Unsere Gemeinschaft funktioniert grundsätzlich auf der Basis von Vertrauen. Es ist angebracht, in bestimmten Situationen misstrauisch zu sein – würde man aber alles hinterfragen und prüfen, wäre jede Art der Zusammenarbeit ausgeschlossen. Auch Ängste von Mitarbeitern spielen eine Rolle – die Angst davor, etwas falsch zu machen, oder die Angst davor, dumm auszusehen, weil man zu oft nachgefragt hat.

Der technische Schutz gegen die Cyberganoven ist nur eine Komponente. Was empfehlen Sie Unternehmen, um einen ganzheitlichen Schutz sicherzustellen?

Technischer Schutz ist wichtig, vor dem Einsatz jeglicher Schutzmaßnahmen sollte aber eine Bedrohungsanalyse durchgeführt werden. Welche Werte im Unternehmen sind eigentlich besonders schützenswert? Welche Daten und Systeme müssen besonders geschützt werden, welche sind vielleicht weniger wichtig? Die Ergebnisse dieser Analyse ermöglichen erst einen effizienten Mitteleinsatz. Bei den Maßnahmen selbst sind dann neben technischen Schutzeinrichtungen immer wieder die Mitarbeiter wichtig.

Technische Schutzmaßnahmen helfen nicht, wenn sie umgangen werden, beispielsweise durch Schatten-IT. Die IT muss aber auch die Bedürfnisse der Mitarbeiter ernst nehmen. Diese umgehen Schutzmaßnahmen nämlich meist, weil sie dann ihre Arbeit schneller und effizienter erledigen können. Auch eine offene Unternehmenskultur hilft – so nutzen beispielsweise bei CEO-Fraud Angreifer gezielt die Angst von Mitarbeitern vor ihren Chefs, um zu verhindern, dass sie zu viele Fragen stellen.

Quelle: eco - Verband der Internetwirtschaft e.V.


© copyright @ Bachert Datentechnik GmbH 2018