Die plötzliche Umstellung auf Homeoffice bietet Cyberkriminellen einen neuen Tummelplatz. Vor allem wenig sensibilisierte Nutzer öffnen Lücken, die hemmungslos attackiert werden. Verzeichnete das Nationale Zentrum für Cybersicherheit (NCSC) Anfang des Jahres etwa 120 Angriffe pro Woche, hatten sich die Zahlen gegen Ende April mehr als verdreifacht und aktuell werden immer noch rund 240 Attacken gemeldet. Die Chancen der Cyberkriminellen ergeben sich einerseits daraus, dass die privaten Infrastrukturen der Mitarbeitenden oft schlechter geschützt sind als die professionell betriebenen Unternehmensnetze. Anderseits mussten viele Unternehmen in der Krise interne Policies teilweise lockern. Entsprechend haben die Angreifer Tausende von Domains registriert, die mit Begriffen wie Pandemie, Covid, Corona, WHO und ähnlichen Seriosität vortäuschen, um gezielt Phishing-Kampagnen durchzuführen.
Die neue Lage verlangt den Beschäftigten mehr Eigenverantwortung ab. Gleichzeitig breitet sich schleichend ein Prozess des «Unbossing» aus und mit den insgesamt grösseren Freiheiten taucht auch das leidige Thema «Schatten-IT» wieder auf. Nicht selten aus der Not geboren, werden zur Arbeit daheim mit Ad-hoc-Lösungen die Securityrichtlinien des Unternehmens umgangen. Zudem stellen sich Risiken ein, wenn zu Hause genutzte Firmengeräte auch anderen Familienmitgliedern zugänglich sind oder über private Rechner auf Firmendaten zugegriffen wird. Plötzlich wirken sich auch ganz neue Fehlerquellen und Stressfaktoren auf die Arbeit aus, wenn das heimische Office mit den Kindern geteilt werden muss.
Nur schon dieser Abschnitt zeigt den hohen Stellenwert, den die Sensibilisierung der Belegschaft gegenwärtig besitzt. Das Training wie auch die Security Awareness der Mitarbeitenden – dem schwächsten Glied fast aller Securitymassnahmen – sind wichtiger denn je und gehören genauso auf die Agenda wie der Umgang mit sensiblen Daten. Ein besonderer Fokus gilt der Endpoint-Sicherheit, da sie als neuer Perimeter der Homeoffice-Realität zunehmend an Bedeutung gewinnt, wie Cyrill Peter erklärt. Darüber hinaus steht es für den Leiter der B2B Security Services bei Swisscom ausser Zweifel, dass heute alle Unternehmen das ganze Geflecht ihrer traditionellen Präventionslösungen zum Schutz der Applikationen, Netzwerke, Daten und der Cloud-Nutzung à jour halten müssen. Zu den zentralen Sicherheitsmassnahmen zählen sowohl die Multi-Faktor-Authentifizierung (MFA) für die Nutzung von Applikationen als auch sichere VPN-Lösungen.
Das Problem: Mit präventiven Schutzmassnahmen allein können Unternehmen der heutigen Professionalität von Cyberkriminellen nicht mehr standhalten. Stellt sich doch laut Peter nicht mehr die Frage, ob, sondern nur noch wann ein Unternehmen angegriffen wird – und ob man das bemerkt. Deshalb hätten Security-Verantwortliche heute davon auszugehen, dass sich Angreifer bereits im Netz befinden. Ergo müssen sie die IT-Security in ihrem Unternehmen so erhöhen, dass sie erfolgreiche Attacken kontern kann. Zentral dafür ist laut dem Swisscom Spezialisten die sogenannte «Detection & Response». Sie umfasst neben automatisierten Massnahmen zum Erkennen und Blockieren bösartigen Netzwerkverkehrs auch zahlreiche manuelle Methoden, wie Peter erklärt.
Teilweise sind die Angriffsmuster so komplex, dass ein automatisiertes Vorgehen nicht ausreicht. Hier sind zusätzliche Hilfsmittel und insbesondere die Informationsbeschaffung gefragt.
Abgesehen vom Austausch mit anderen Security-Spezialisten gelte es zudem Securityblogs und Wissensdatenbanken ebenso wie Diskussionsforen im Darknet zu analysieren. Denn erst wenn die Indikatoren für einen Angriff überhaupt bekannt sind, lassen sie sich auch in der unternehmenseigenen Infrastruktur aufspüren, weiss Peter.
Darauf angemessen zu reagieren, müsse nicht nur rasch und agil – also der effektiven Situation angepasst – erfolgen, sondern es müsse vielmehr einem klar definierten Vorgehen gefolgt und idealerweise nach Best-Practice-Ansätzen gehandelt werden. Auch hier, so betont Peter, kombiniert man zahlreiche technische und kommunikative Massnahmen. Bei Swisscom habe sich bewährt, ein sogenanntes Computer-Security-Incident-Response-Team (CSIRT) zu bilden, das mit IT-Security-Spezialisten besetzt ist, die über fundiertes Fachwissen verfügen.
Interessant ist, dass Peter in diesem Zusammenhang mit Bug-Bounty-Programmen zum Ermitteln von Schwachstellen in Applikationen einen weiteren ungewöhnlichen Aspekt der Cybersicherheit ins Spiel bringt. Er spricht von einer wichtigen Ergänzung bei der Jagd nach Lücken, die insbesondere bei der Cloud-Transformation hilfreich sei, weil auch sie die Angriffsfläche für Cyberkriminelle erheblich erhöhe. Entsprechend helfe die Beteiligung sogenannter «White Hat Hacker» beim Erkennen und Beheben von Softwareschwachstellen. Dadurch können ansonsten unbemerkt bleibende «Einfallstore» aufgedeckt werden, resümiert Peter seine Erfahrungen mit dem hauseigenen Bug-Bounty-Programm.
E-MAIL-ADRESSE
Winkt ein grosses Erbe oder kennt ein Betrüger die Namen von Vorgesetzten oder Freunden? Prüfen Sie E-Mails immer auf deren Plausibilität und klären Sie gegebenenfalls telefonisch, wer sie gesendet hat.
ZEITDRUCK
«Dringend!», «Schnäppchen!»: Phishing-E-Mails arbeiten oft mit Zeitdruck. Sie verlangen persönliche Daten wie PIN oder Passwörter. Hier ist Skepsis geboten.
ANREDE
Phishing-E-Mails haben meist keine personalisierten oder falschen Anreden. Aber Achtung: In gezielten Angriffen verwenden Betrüger persönliche Anreden.
RECHTSCHREIBUNG
Gefälschte E-Mails können teilweise haarsträubende Rechtschreibfehler enthalten. Dennoch werden diese unter dem Einfluss des Zeitdrucks oft überlesen.
LINKS
Das reine Öffnen verdächtiger E-Mails infiziert ein Gerät noch nicht. Gefährlich sind Links und Anhänge. Darum: Absenderadresse genau mit der URL im Link vergleichen und keine Anhänge öffnen, deren Absender man nicht kennt.
Informations- und Cyber-Security-Beratung für Ihr Unternehmen: Hier mehr erfahren