Social-Engineering-Angriffstaktiken wie Phishing fordern nicht nur technische Vorsichtsmaßnahmen, sondern auch ein entsprechendes Risikobewusstsein auf Seiten der potenziellen Opfer. Ihr Verhalten kann größeren Schaden verhindern, sollte es zu einem Angriff kommen, der technische Schutzmaßnahmen umgeht. Leider hält sich in Belegschaften mitunter hartnäckig der Glaube, die Unternehmensdaten könnten für Cyberkriminelle keine interessante Beute sein.
Dazu trägt vor allem eine Fehleinschätzung des Gegenübers bei. Die Vorstellung von Hackern ist in der breiten Masse der Bevölkerung von einem Stereotyp geprägt: Der talentierte Programmierer, der als Einzelgänger Ziele aussucht, um sein Können zu erproben. Ein Bild, das in den frühen Zeiten des Internets entstanden ist und nicht zuletzt mit Hilfe der Popkultur bis heute nicht ganz aus den Köpfen verschwunden ist.
In den vergangenen Jahrzehnten jedoch hat sich die Cyberkriminalität stark professionalisiert. Im digitalen Zeitalter sind Daten sind zu einem wertvollen Gut geworden, für das ein großer Markt existiert. Und es gibt zahlreiche Akteure, die von der Nachfrage profitieren möchten, notfalls auch jenseits des legalen Geschehens. Es überrascht daher wenig, dass das Dark-Web sich in den vergangenen Jahren zu einem immer größeren Datenumschlagplatz entwickelt hat. Dies geht aus einer aktuellen Studie von Bitglass hervor. Dazu wurde ein falscher Datenhoneypot über das Dark-Web geteilt und die Zugriffe und Weiterleitung der Daten mit eigener Wasserzeichentechnologie verfolgt. Die Ergebnisse liefern einen Einblick in die Beschaffenheit des Dark-Webs und den Umgang mit illegalen Datensätzen:
• Anonymität vereinfacht finstere Machenschaften: Das Dark-Web wird immer mehr zum Raum der Anonymität. 2015 waren bereits 67 Prozent der Besucher anonym unterwegs, 2021 waren es 93 Prozent. Dabei waren im Einzelhandel 36 Prozent der Klicks anonym, auf Seiten von Behörden waren es 31 Prozent.
• Daten aus dem Einzelhandel und aus Regierungskreisen besonders beliebt: Die größte Aufmerksamkeit der anonymen Dark-Web-Nutzergemeinde erlangten vermeintliche Daten aus dem Einzelhandel (36 Prozent) und von der US-Regierung (31 Prozent).
• Cyberkriminalität ist international: Während die Aufmerksamkeit häufig auf cyberkriminelle Handlungen von östlichen Nationalstaaten gelenkt wird, zeigt sich, dass IP-Adressen von mutmaßlichen Hackern auch aus US-Bundesstaaten, Schweden Belgien und auch Deutschland stammen.
• Gestohlene Daten haben eine große Reichweite und schnelle Verbreitung: Gelangen Daten ins Dark-Web, können sie weite Kreise ziehen. Binnen 24 Stunden wurden die bereitgestellten Datensätze 1100-mal aufgerufen. Im Jahr 2015 dauerte es noch zwölf Tage, um diese Marke zu erreichen. Zudem wurden die gesichteten Daten elfmal schneller über alle fünf Kontinente hinweg verbreitet.
Verglichen mit den Ergebnissen des Experiments aus dem Jahr 2015 lässt sich eine klare Entwicklung feststellen: Der illegale Handel mit Daten floriert und die anonymen Nutzer, die daran Interesse zeigen oder sich gar beteiligen, werden immer mehr. Ergänzt wird dies durch einen weiteren beunruhigenden Trend: Die Cyberkriminalität rekrutiert eifrig Nachwuchs und nutzt moderne Technologien, um programmieraffinen Neulingen den Einstieg in die finstere Branche zu erleichtern. Die rekrutierten Personalkapazitäten werden wiederum gebündelt, angeleitet und strategisch eingesetzt.
Strategien und Angriffsmotivationen identifizieren
Derartige Erkenntnisse sollten Unternehmen nutzen, um ihren Mitarbeitern ein realistisches Bild von Cyberkriminellen zu vermitteln. Sie können dabei helfen, die Motivation und die Strategie hinter Cyberangriffen zu verstehen und im Ernstfall die Risikoeinschätzung zu treffen. Folgende Lektionen sind in diesem Zusammenhang wichtig:
1. Unternehmen und deren Daten können ein Primärziel sein: Dies ist in der Regel das erste Szenario, das man für möglich hält. Industriespionage ist ein klassischer Beweggrund hinter derartigen Angriffen. Mit der Professionalisierung der Cyberkriminalität gibt es auch dafür neue Möglichkeiten: Beispielsweise können Wettbewerber Akteure aus dem Dark-Web mit einem Hack oder dem Entwenden bestimmter Unternehmensdaten beauftragen, so dass auch diese künftig häufiger auftreten können.
2. Die Datenausbeute hat nicht immer unmittelbaren monetären Wert: Manche Betriebe sind für Hacker nur deshalb interessant, weil sie in Geschäftskontakt mit größeren Unternehmen, also lukrativeren und entsprechend schwierigeren Angriffszielen, stehen. Mit Angriffen auf Dienstleister und Zulieferer versuchen Cyberkriminelle durch Entwendung von Daten Wege zu finden, übergeordnete Ziele zu infiltrieren. Der E-Mailaustausch zwischen authentischen Ansprechpartnern kann bereits helfen, um eine glaubhafte Betrugskampagne gegen ein Partnerunternehmen aufzusetzen.
3. Hacker nutzen breite Sammelkampagnen: Darüber hinaus gibt es auch breit angelegte Datendiebstahl-Kampagnen, die nicht speziell auf einzelne Unternehmen zugeschnitten sind, sondern lediglich auf eine vielfältige Datenausbeute abzielen. Geeignete Datensätze aus derartigen Kampagnen werden in der Regel an Akteure weitergegeben, die für kriminelle Projekten mit größerem Umfang Verwendung dafür haben könnten.
Verständnis schaffen für den richtigen Umgang mit einer diffusen Bedrohung
Hackerangriffe sind für Unternehmen seit jeher eine diffuse Bedrohung. Um eine Zero-Trust-Sicherheitsstrategie möglichst wirksam zu etablieren, sollten Unternehmen ihren Mitarbeitern helfen zu verstehen, welche Zielsetzungen hinter einem Datendiebstahl stecken können und welche Angriffstaktiken dafür genutzt werden. Mit einem derartigen umfassenden, realistischen Bild der Angreifer sind Mitarbeiter wachsamer gegenüber möglichen Risiken und reflektieren ihr eigenes Verhalten kritischer. Im Falle eines Angriffs, der auf Social-Engineering-Taktiken setzt, können sie so mit größerer Wahrscheinlichkeit die richtige Entscheidung treffen und Schäden abwenden.
Von Anurag Kahol, CTO, Bitglass