SECURITY19. April 2018

Proofpoint veröffentlicht neue Studie zum Faktor Mensch in der IT-Sicherheit

SW-EviL / Bigstock.com

Das Cybersecurity-Unternehmen Proofpoint hat sich in einer Studie zum Thema IT-Sicherheit mit dem Faktor Mensch befasst. Darin wird detailliert aufgezeigt, wie Cyber-Kriminelle aktiv versuchen, den Menschen anstelle von technischen Sicherheitslücken auszunutzen, um monetäre Gewinne zu generieren oder Informationen zum Zwecke der Spionage beziehungsweise für zukünftige Angriffe zu stehlen. Der Bericht basiert auf der Analyse von bereits erfolgten Angriffsversuchen bei mehr als 6.000 Unternehmenskunden weltweit im letzten Jahr. Daraus lassen sich aktuelle Angriffstrends ableiten, die derzeit die Sicherheit bei der Nutzung von E-Mail, Cloud-Anwendungen und sozialen Medien gefährden. Deutlich wird dabei auch, dass gerade bei weniger IT-affinen Mitarbeitern Aufklärung zwar der erste Schritt sein muss, aber oft nicht ausreichen wird.

Dieses als Social Engineering bekannte Phänomen ist nicht neu, wurde aber in der Vergangenheit eher anekdotisch beschrieben, beispielsweise durch den amerikanischen Hacker und Sicherheitsberater Kevin Mitnick. Bei der Studie von Proofpoint handelt es sich dagegen um eine Analyse von Angriffen bei Unternehmen.

Cyber-Kriminelle finden immer wieder neue Wege, um unsere natürliche Neugierde, Hilfsbereitschaft oder unseren Zeitdruck auszunutzen, um uns zum Klicken zu bewegen. Unsere Untersuchungen belegen, dass es keine Alternative dazu gibt, Bedrohungen zu stoppen, bevor sie die Benutzer via E-Mail, Cloud-Anwendungen oder soziale Netzwerke erreichen. Je weniger potenziell gefährliche Inhalte den Nutzer erreichen, desto geringer ist das Risiko für Unternehmen, einen Verlust vertraulicher Daten, eine Betriebsunterbrechung oder einen direkten finanziellen Schaden zu erleiden.“

Werner Thalmeier, Senior Director Systems Engineering EMEA bei Proofpoint

Die Ergebnisse der Studie im Überblick

Einige der Ergebnisse sind besonders bemerkenswert und zeigen, wie gut organisiert offenbar die entsprechenden kriminellen Gruppen arbeiten. So genannte „Advanced persistent threats“ (also fortgeschrittene, andauernde Bedrohungen – APTs) sind im Falle von Regierungsorganisationen und der Rüstungsindustrie (40 Prozent aller dokumentierten Angriffsversuche) weitaus wahrscheinlicher – kein Industriezweig war jedoch davon ausgenommen.

Die E-Mail bleibt für Angreifer nach wie vor der bevorzugte Angriffsvektor – sicherlich auch, weil dieses Medium leichter zugänglich ist als etwa interne Kommunikationsnetze wie Slack oder Collaboration Tools. Als bester Köder entpuppten sich laut der Studie betrügerische E-Mails mit einem Bezug zu Dropbox – mit weitem Abstand vor den anderen Angriffsarten. Bei der Häufigkeit der geklickten Mails (Klickrate) übertraf ein Begriff dennoch alle anderen: E-Mails mit einem Bezug zu DocuSign erhielten die höchsten Klickraten aller Phishing-Mails.

Mehr als 80 Prozent der bösartigen E-Mails verteilten Ransomware und Banktrojaner. Dadurch gehören diese Schadsoftware-Kategorien zu den am weitest verbreiteten Malware-Familien. Mehr als 30 Prozent aller gefährlichen E-Mails in Europa, Japan und Australien enthielten Banktrojaner. Inhalte von E-Mails wurden darüber hinaus im Vergleich aller untersuchten Regionen in Japan am häufigsten heruntergeladen. Und die klassische CEO-Fraud-Methode ist immer noch en vogue: Rund 80 Prozent der Unternehmen waren mit Angriffsversuchen mit der sogenannten CEO-Betrugsmasche (Business Email Compromise – BEC) konfrontiert. Die Zahl betrügerischer E-Mails, die einen Bezug zu Rechtsberatung oder -praktiken in der Betreffzeile aufwiesen, stieg im Jahresvergleich um 1.850 Prozent.

Krypto-Währungs-Botnets, Cloud-Anwendungen und Co.

Und es gibt noch ein paar weitere Erkenntnisse, die Unternehmen alarmieren sollten: „In“ sind gerade im letzten Jahr auch Betrugsversuche im Zusammenhang mit Krypto-Währungen gewesen. Zwischen September und November 2017 stieg der Netzwerk-Traffic von Krypto-Währungs-Botnets um fast 90 Prozent an (entsprechend der Entwicklung der Bitcoin-Bewertungen). Besonders fahrlässig gaben sich die Nutzer von Cloud-Services: 60 Prozent der Nutzer von Cloud-Services hatten kein sicheres Passwort oder verwendeten keine Multi-Faktor-Authentifizierung.

Im Falle großer Unternehmen kann die Anzahl der mutmaßlich für betrügerische Aktivitäten registrierten Domains die Anzahl der tatsächlichen Marken-Domains um den Faktor 20 übersteigen. Das hat zur Folge, dass potenzielle Opfer von Phishing-Angriffen dazu neigen, Tippfehler in der URL und verdächtige Domains mit ihren legitimen Pendants zu verwechseln. Betrug auf sozialen Netzwerken schließlich hat meist das Ziel, legitime Kundenanfragen für kriminelle Zwecke „abzufangen“. Dabei zielen 55 Prozent der Attacken auf Kunden von Finanzdienstleistern ab.

Die Studie von Proofpoint „Der Faktor Mensch 2018“ steht zum kostenlosen Download bereit.tw

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert