Kürzlich ist eine neue Studie über Cyberangriffe auf Industrieunternehmen erschienen, der zufolge Unternehmen der Fertigungsbranche in den vergangenen sechs Monaten am häufigsten mit Spear-Phishing-Angriffen attackiert worden sind. Ganze 41 Prozent aller „True-Positive“-Alarmmeldungen der Branche entfielen auf diesen Angriffstyp.
Spear Phishing-Angriffe erfolgen, im Gegensatz zu einfachen Phishing-Angriffen, zielgerichtet auf einzelne Personen oder Organisationen. Sie ermöglichen es dem Angreifer, seine Kampagne zu individualisieren, angepasst an sämtliche, ihm zur Verfügung stehenden Informationen über sein jeweiliges Opfer. Ziel des Angriffes ist es, das Opfer so weit zu manipulieren, dass es zur Preisgabe persönlicher Daten, zum Beispiel der eigenen Credentials, oder einer, mit seiner Rolle im Unternehmen in Zusammenhang stehenden, Handlung bewegt werden kann.
Im Fall der Fertigungsbranche, so die Studie, haben die Kampagnen meist die Erschleichung von Geldern zum Ziel. Spear Phishing-E-Mails werden versandt, die das Opfer zur Begleichung einer ausstehenden Rechnung auffordern. Der Absender gibt sich dabei als Lieferant aus. Häufig tauchen in der Betreffzeile Wörter wie ‚Anfrage‘, ‚Konto‘, ‚Rechnung‘, ‚Zahlung‘ oder ‚Aktion‘ auf.
Die Urheber der Studie gehen davon aus, dass sich solche und ähnliche Spear Phishing-Angriffe auf die Fertigungsbranche bis 2025 nahezu verdoppelt haben werden. Ein Grund: Phishing-Kits geraten zunehmend in Umlauf. Sie ermöglichen es auch Angreifern mit begrenzten Phishing-Kenntnissen, erfolgreiche Angriffskampagnen umzusetzen. Allein im vergangenen Jahr, so die Studie, konnte ein Anstieg der Phishing-Kit-bezogener Chats in Diskussionsforen um 136 Prozent festgestellt werden. Ein weiterer Grund: weltweit nehmen die geopolitischen Spannungen weiter zu – und damit auch die Aktivitäten halbstaatlicher und staatlicher Akteure im cyberkriminellen Umfeld, die bereit sind, eine größere Summe Geld zu bezahlen um, zum Beispiel, an geheime Informationen aus der Verteidigungs-, Luft- oder auch Raumfahrt-Industrie eines Landes zu gelangen.
Doch was, wenn die Angreifer ihren Spear Phishing-Angriffsfokus verschieben? Weg von Fake-Zahlungsaufforderungen und hin zu Versuchen, an die Credentials für den Zugang zu OT-Systemen zu gelangen? Schon heute haben Cybersicherheitsabteilungen von Fertigungsunternehmen im Durchschnitt nur einen Bruchteil der OT ihres Unternehmens wirklich im Blick und im Griff – Tendenz sinkend. Die Verzahnung von IT, OT, IoT und IIOT nimmt zu, macht die Absicherung der Produktion zu einer immer komplexeren Angelegenheit. Kein Wunder, dass die Zahl der Sicherheitsvorfälle seit Jahren steigt.
Wollen IT-Entscheider der Fertigungsbranche hier effektiv – und effizient – gegensteuern, werden sie deshalb schon vorher ansetzen müssen – am eigentlichen Ansatzpunkt der Angreifer selbst. Sie werden ihr Risiko, Opfer eines Phishing- oder Spear Phishing-Angriffs zu werden, aktiv reduzieren müssen. Das wird ihnen nur gelingen, wenn sie die ‚Human Risks‘, die Risiken, denen die Unternehmens-IT und -OT naturgemäß jeden Tag durch die eigenen Mitarbeiter ausgesetzt sind, endlich umfassend in den Blick bekommen und zu managen beginnen. Menschliche Risiken müssen, genau wie die technischen ja auch, kontinuierlich überwacht, analysiert und ausgewertet, gemanagt und auf das absolute Minimum zurückgefahren werden.
Die eigenen Mitarbeiter, wie in den vergangenen Jahren in vielen Unternehmen vielfach geschehen, nur von Zeit zu Zeit einer Anti-Phishing-Trainingseinheit zu unterziehen, genügt nicht mehr. Human Risk Management muss professioneller, zielgerichteter, kontinuierlicher erfolgen.
Längst lassen sich Phishing-Trainings, -Schulungen und -Tests, KI sei Dank, personalisieren, zugeschnitten auf die individuellen Schwachstellen jedes einzelnen Mitarbeiters, und automatisiert – eben kontinuierlich – zum Einsatz bringen. Moderne Anti-Phishing-E-Mail-Lösungen kombinieren KI mit Crowdsourcing, um so selbst neueste Zero Day-Bedrohungen frühzeitig aufspüren und rechtzeitig abwehren zu können – so dass sie gar nicht erst in die Posteingänge der Mitarbeiter gelangen. Mit solchen und ähnlichen Lösungen wird es Unternehmen auch in Zukunft gelingen, die unzähligen Human-Risks, die jedem Unternehmen nun einmal naturgemäß innewohnen, im Blick zu behalten und bestmöglich zu reduzieren.
Von Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4
#KnowBe4
