von Redaktion IT-A…
Lesezeit
2 Minuten
Seite 2 - Der Faktor Mensch in der Cybersicherheit
BEC giert nach Gewinnen
Bei Business-E-Mail-Compromise handelt es sich beileibe um keine neue Bedrohungsform. Das FBI hatte sie bereits 2016 auf dem Radar, als sie auf Unternehmensseite bis dato weltweit schätzungsweise 3,1 Milliarden US-Dollar Schäden anrichtete. BEC ist aktuell für 44 Prozent aller Verluste im Bereich der Cyberkriminalität verantwortlich und kostete die Opfer allein im letzten Jahr fast 2 Milliarden US-Dollar.
Dieser deutliche Anstieg der geschätzten Verluste ist ein Indiz für einen sich abzeichnenden Trend: Die Angriffe nehmen nicht zwangsläufig an Umfang zu, aber sie werden gezielter – und die Cyberkriminellen haben es auf höhere Gewinne abgesehen. Bei aufwändigeren Angriffen fälschen die Täter die E-Mail-Adressen der Unternehmensführung, um die Opfer zur Überweisung großer Geldsummen zu bewegen. Dabei genügt es, wenn diese Vorgehensweise ein einziges Mal funktioniert, um den Angreifern einen nicht unerheblichen Gewinn zu bescheren.
Bedrohungen wie BEC, die keine Payload enthalten, lässt sich heute mittels dynamisch agierender Machine-Learning-Modelle begegnen. Um diese jedoch zu entwickeln und zu trainieren, sind nicht nur umfassende Datensätze zum Bedrohungstypus BEC vonnöten, auch die Entwickler selbst müssen über eine umfangreiche Expertise verfügen. Ziel der Modelle ist die zuverlässige Erkennung betrügerischer E-Mails und in der Folge ihre Blockierung, ohne dass legitime Nachrichten fälschlicherweise außen vor bleiben. Um gezielte Betrugsattacken via E-Mail abzuwehren, ist es daher ratsam, nach einem Tool zu suchen, das maschinelles Lernen mit umfangreichen Bedrohungsdaten und dem Fachwissen von Bedrohungsanalysten kombiniert – insbesondere, da auch diese Bedrohungen von ihren Hintermännern ständig weiterentwickelt werden.
Steganografie mit bloßem Auge kaum zu erkennen
Steganografie ist zwar eine vergleichsweise weniger verbreitete Angriffsform, was das Volumen anbelangt, aber hinsichtlich ihrer Erfolgswahrscheinlichkeit ist sie nahezu unschlagbar. Mehr als ein Drittel aller Personen, die im vergangenen Jahr Ziel von Steganografie-Angriffen wurden, klickten auf die gefährliche Payload. Dies stellt den höchsten Wert aller Angriffstechniken dar – eine Klickrate, auf die jeder Marketingspezialist stolz wäre, ganz zu schweigen von einem Cyberkriminellen.
Steganografie-Angriffe sind mit bloßem Auge nicht zu erkennen, da die Payload in JPEGs, MP3s und anderen Dateien versteckt sind. Um dieser Bedrohung vorzubeugen, sind umfassende Analysetools erforderlich, die den E-Mail-Verkehr auf anormale und gefährliche Daten hin untersuchen. Und ganz zweifelllos ist hier auch die Wachsamkeit und Vorsicht der Benutzer gefragt. Denn es sollte der Grundsatz gelten: Wenn es für die Arbeit nicht zwingend erforderlich ist, auf ein Bild oder eine Audiodatei zu klicken, dann sollte dies auch unterbleiben.
Sicherheitskultur muss Menschen in den Mittelpunkt stellen
So sehr der Mensch im Zentrum dieser immer häufigeren Angriffe steht, muss er auch im Mittelpunkt jeder wirksamen Verteidigungsstrategie stehen. So erfordert eine nachhaltige Cybersicherheitsstrategie heutzutage einen mehrgleisigen Ansatz. Einen Ansatz, der Menschen, Prozesse und technische Kontrollen kombiniert. So lassen sich durch eine technische Kombination aus E-Mail-Gateway-Regeln, fortschrittlicher Bedrohungsanalyse, E-Mail-Authentifizierung und Transparenz hinsichtlich der Cloudanwendungen die meisten gezielten Angriffe blockieren, bevor sie die Mitarbeiter erreichen.
Aber sich allein auf technische Kontrollen zu verlassen, wäre zu kurz gegriffen. Denn wie bereits dargelegt, handelt es sich bei Cyberbedrohungen um ein menschliches Problem. Und IT-Sicherheit bedarf einer kollektiven Verantwortung. Mitarbeiter aller Ebenen einer Organisation müssen folglich dazu befähigt werden, Sicherheitsvorkehrungen sowie riskanten Verhaltensweisen zu verstehen, die zu Sicherheitsvorfällen führen können. Schulungs- und Sensibilisierungsprogramme sind dabei von entscheidender Bedeutung. Allerdings gibt es hier keinen Ansatz, der sich auf alle Unternehmen gleichermaßen anwenden ließe. Grundsätzlich gilt es jedoch darauf zu achten, dass ein Security-Awareness-Programm auf der Perspektive des Anwenders beruht.
Da es die Menschen sind, die in die Sicherheitsmaßnahmen einer Organisation einbezogen werden müssen, sollten Unternehmen für sie eine einfache Möglichkeit schaffen, sich an das Security-Team zu wenden. Beispielsweise lassen sich Schaltflächen in E-Mail-Programme integrieren, damit Anwender mit nur einem Klick potenzielle Phishing-E-Mails automatisch zur Analyse an das Sicherheitsteam weiterleiten können.
Fazit
Während sich auf Unternehmensseite verstärkt herumzusprechen scheint, dass sich die Bedrohungslage für Organisationen in den letzten Jahren erheblich verschärft hat, ist vielen offenbar noch nicht hinlänglich bekannt, welche Rolle die Angestellten in puncto IT-Sicherheit spielen. Es gilt letztere jedoch nicht nur vor Cyberangriffen zu schützen, sondern sie aktiv in die Verteidigungsstrategie miteinzubeziehen, sodass sie zu einer tragenden Säule der IT-Sicherheit werden. Der Schlüssel hierzu ist die kontinuierliche Sensibilisierung und Schulung der Mitarbeiter auf Basis neuester Erkenntnisse zu den aktuellen Angriffstaktiken.
ln/Adenike Cosgrove, Cybersecurity Strategist bei Proofpoint
Bei Business-E-Mail-Compromise handelt es sich beileibe um keine neue Bedrohungsform. Das FBI hatte sie bereits 2016 auf dem Radar, als sie auf Unternehmensseite bis dato weltweit schätzungsweise 3,1 Milliarden US-Dollar Schäden anrichtete. BEC ist aktuell für 44 Prozent aller Verluste im Bereich der Cyberkriminalität verantwortlich und kostete die Opfer allein im letzten Jahr fast 2 Milliarden US-Dollar.
Dieser deutliche Anstieg der geschätzten Verluste ist ein Indiz für einen sich abzeichnenden Trend: Die Angriffe nehmen nicht zwangsläufig an Umfang zu, aber sie werden gezielter – und die Cyberkriminellen haben es auf höhere Gewinne abgesehen. Bei aufwändigeren Angriffen fälschen die Täter die E-Mail-Adressen der Unternehmensführung, um die Opfer zur Überweisung großer Geldsummen zu bewegen. Dabei genügt es, wenn diese Vorgehensweise ein einziges Mal funktioniert, um den Angreifern einen nicht unerheblichen Gewinn zu bescheren.
Bedrohungen wie BEC, die keine Payload enthalten, lässt sich heute mittels dynamisch agierender Machine-Learning-Modelle begegnen. Um diese jedoch zu entwickeln und zu trainieren, sind nicht nur umfassende Datensätze zum Bedrohungstypus BEC vonnöten, auch die Entwickler selbst müssen über eine umfangreiche Expertise verfügen. Ziel der Modelle ist die zuverlässige Erkennung betrügerischer E-Mails und in der Folge ihre Blockierung, ohne dass legitime Nachrichten fälschlicherweise außen vor bleiben. Um gezielte Betrugsattacken via E-Mail abzuwehren, ist es daher ratsam, nach einem Tool zu suchen, das maschinelles Lernen mit umfangreichen Bedrohungsdaten und dem Fachwissen von Bedrohungsanalysten kombiniert – insbesondere, da auch diese Bedrohungen von ihren Hintermännern ständig weiterentwickelt werden.
Steganografie mit bloßem Auge kaum zu erkennen
Steganografie ist zwar eine vergleichsweise weniger verbreitete Angriffsform, was das Volumen anbelangt, aber hinsichtlich ihrer Erfolgswahrscheinlichkeit ist sie nahezu unschlagbar. Mehr als ein Drittel aller Personen, die im vergangenen Jahr Ziel von Steganografie-Angriffen wurden, klickten auf die gefährliche Payload. Dies stellt den höchsten Wert aller Angriffstechniken dar – eine Klickrate, auf die jeder Marketingspezialist stolz wäre, ganz zu schweigen von einem Cyberkriminellen.
Steganografie-Angriffe sind mit bloßem Auge nicht zu erkennen, da die Payload in JPEGs, MP3s und anderen Dateien versteckt sind. Um dieser Bedrohung vorzubeugen, sind umfassende Analysetools erforderlich, die den E-Mail-Verkehr auf anormale und gefährliche Daten hin untersuchen. Und ganz zweifelllos ist hier auch die Wachsamkeit und Vorsicht der Benutzer gefragt. Denn es sollte der Grundsatz gelten: Wenn es für die Arbeit nicht zwingend erforderlich ist, auf ein Bild oder eine Audiodatei zu klicken, dann sollte dies auch unterbleiben.
Sicherheitskultur muss Menschen in den Mittelpunkt stellen
So sehr der Mensch im Zentrum dieser immer häufigeren Angriffe steht, muss er auch im Mittelpunkt jeder wirksamen Verteidigungsstrategie stehen. So erfordert eine nachhaltige Cybersicherheitsstrategie heutzutage einen mehrgleisigen Ansatz. Einen Ansatz, der Menschen, Prozesse und technische Kontrollen kombiniert. So lassen sich durch eine technische Kombination aus E-Mail-Gateway-Regeln, fortschrittlicher Bedrohungsanalyse, E-Mail-Authentifizierung und Transparenz hinsichtlich der Cloudanwendungen die meisten gezielten Angriffe blockieren, bevor sie die Mitarbeiter erreichen.
Aber sich allein auf technische Kontrollen zu verlassen, wäre zu kurz gegriffen. Denn wie bereits dargelegt, handelt es sich bei Cyberbedrohungen um ein menschliches Problem. Und IT-Sicherheit bedarf einer kollektiven Verantwortung. Mitarbeiter aller Ebenen einer Organisation müssen folglich dazu befähigt werden, Sicherheitsvorkehrungen sowie riskanten Verhaltensweisen zu verstehen, die zu Sicherheitsvorfällen führen können. Schulungs- und Sensibilisierungsprogramme sind dabei von entscheidender Bedeutung. Allerdings gibt es hier keinen Ansatz, der sich auf alle Unternehmen gleichermaßen anwenden ließe. Grundsätzlich gilt es jedoch darauf zu achten, dass ein Security-Awareness-Programm auf der Perspektive des Anwenders beruht.
Da es die Menschen sind, die in die Sicherheitsmaßnahmen einer Organisation einbezogen werden müssen, sollten Unternehmen für sie eine einfache Möglichkeit schaffen, sich an das Security-Team zu wenden. Beispielsweise lassen sich Schaltflächen in E-Mail-Programme integrieren, damit Anwender mit nur einem Klick potenzielle Phishing-E-Mails automatisch zur Analyse an das Sicherheitsteam weiterleiten können.
Fazit
Während sich auf Unternehmensseite verstärkt herumzusprechen scheint, dass sich die Bedrohungslage für Organisationen in den letzten Jahren erheblich verschärft hat, ist vielen offenbar noch nicht hinlänglich bekannt, welche Rolle die Angestellten in puncto IT-Sicherheit spielen. Es gilt letztere jedoch nicht nur vor Cyberangriffen zu schützen, sondern sie aktiv in die Verteidigungsstrategie miteinzubeziehen, sodass sie zu einer tragenden Säule der IT-Sicherheit werden. Der Schlüssel hierzu ist die kontinuierliche Sensibilisierung und Schulung der Mitarbeiter auf Basis neuester Erkenntnisse zu den aktuellen Angriffstaktiken.
ln/Adenike Cosgrove, Cybersecurity Strategist bei Proofpoint
