BSI-Lagebericht 2017: Finanzbranche als Ziel raffinierter Cyber-Attacken – mehr als ‘nur’ Spear-Phishing

Firewall und Betriebssysteme sind auf dem neuesten Stand, die Mitarbeiter nehmen das Thema Informationssicherheit ernst und dennoch finden Cyber-Kriminelle Einfallstore: Laut des jetzt veröffentlichten Lageberichts des Bundesamts für Sicherheit in der Informationstechnik (BSI) verwenden Angreifer immer raffiniertere Methoden, um die Mitarbeiter von Finanzdienstleistern und Versicherern im großen Stil zu täuschen. Doch Unternehmen können sich schützen.

von Carsten Maßloff, Geschäftsführer Ceyoniq Technology

Die Zeiten sind vorbei, in denen die kriminelle Intention sogenannter Phishing-Mails leicht zu erkennen war. Heute betreiben Cyber-Kriminelle beim deutlich ausgefeilteren Spear-Phishing großen Aufwand, um die Mails täuschend echt wirken zu lassen. Die Angriffsmethode ist dabei bildlich an einen Speer angelehnt und meint eine präzise, zielgerichtete Attacke. Dadurch sind die Empfänger leichter geneigt, Anhänge zu öffnen oder auf gefährliche Links zu klicken. Als Folge kann Schadsoftware in das Unternehmen gelangen oder die Angreifer erbeuten die Zugangsdaten des Opfers. Vor allem im zweiten Fall lässt sich selbst ein vermeintlich unüberwindbares IT-Sicherheitssystem leicht aushebeln.

Das BSI konnte eine Welle derartiger Angriffe vermehrt im Juni 2017 auf die privaten E-Mail-Accounts von Führungskräften aus der Finanz- und Versicherungsbranche beobachten.”

Das schlägt sich auch finanziell nieder. Die Zahlen sind besorgniserregend, wie die aktuelle „Cost-of Cybercrime“-Studie des Outsourcing-Dienstleisters Accenture aus Dublin zeigt, bei der 2.000 Sicherheits- und IT-Verantwortliche aus sieben Ländern befragt wurden. Laut Accenture stiegen die durch Cyber-Attacken verursachten Kosten für deutsche Unternehmen im Jahr 2017 um 42 Prozent auf durchschnittlich 11,2 Millionen Dollar jährlich.

Eine weitere Häufung gab es bei einer Angriffsmethode, die das BSI als “CEO-Betrug” bezeichnet. Was auf den ersten Blick abwegig erscheint, führt dennoch aus Sicht der Kriminellen häufig zum Erfolg und verursacht bei den betroffenen Unternehmen immense wirtschaftliche Schäden. Die Angreifer geben sich aufwändig inszeniert als Vorgesetzter des Opfers aus und veranlassen dieses dazu, Geldbeträge zu überweisen. Das BSI führt in seinem Lagebericht das Beispiel einer Landesbehörde an. Dort erhielt eine Mitarbeiterin vom Präsidenten des Amtes per Mail den persönlichen Auftrag, eine „vertrauliche Finanztransaktion“ in Höhe von 961.000 Euro durchzuführen. Der Mail-Verkehr wurde durch den Anruf einer angeblichen Anwältin begleitet, um der Aufforderung Nachdruck zu verleihen. Ob die Mitarbeiterin das Spiel durchschaute, lässt das BSI offen. Doch die Zahlen, die das Bundesamt in diesem Zusammenhang nennt, sind alarmierend genug: Alleine für das erste Halbjahr 2016 liegen dem BSI Meldungen über 50 Fälle von CEO-Betrug vor. Der potenzielle Schaden betrug 20 Millionen Euro.

BSI: Unter dem Radar von Firewalls und Co.

Dass man mit Mails unbekannter Herkunft vorsichtig umgehen sollte, dürfte inzwischen allgemein bekannt sein. Doch was gilt für Geschäftsbereiche, die häufig Mails von fremden Absendern erhalten? Angreifer nutzen dieses Dilemma verstärkt aus. Vornehmliches Ziel sind dabei Mitarbeiter, die oft Mails von fremden Personen erhalten und zu deren täglichen Aufgaben das Überweisen von Geldern auf externe Konten zählt. Zudem sammeln die Kriminellen umfangreiche Informationen über das jeweilige Unternehmen und das ausgewählte Opfer. So gelingt es ihnen, authentisch anmutende Mails mit vermeintlich logischen Handlungsanweisungen zu verfassen. Begleitende Inszenierungen wie der Anruf der Anwältin im obigen Beispiel verleihen der Täuschung noch einmal zusätzlich Glaubwürdigkeit.

Das Vorgehen der Kriminellen, sich auf Mitarbeiter als potenzielle Opfer zu fokussieren, kann als Reaktion auf die Bemühungen von Unternehmen gesehen werden, ihre IT-Systeme aus technischer Sicht immer besser gegen Cyber-Angriffe zu rüsten. Denn: Der Faktor Mensch bleibt ein Sicherheitsrisiko, ganz gleich wie modern und ausgereift die technischen Systeme sein mögen. Deshalb müssen geeignete Schutzmaßnahmen gegen die neue Strategie der Cyber-Kriminellen einen ganzheitlichen Ansatz verfolgen. Dabei gilt es, Verhaltensregeln zu etablieren und das Bewusstsein der  Mitarbeiter  für die Gefahr zu fördern.

ISMS – ein Konzept zum ganzheitlichen Schutz

Die Implementierung eines sogenannten Informationssicherheits-Managementsystems (kurz: ISMS), kann das Gefahrenpotenzial nachhaltig senken. Bei der Umsetzung eines ISMS gilt es nicht nur, die eigenen IT-Systeme einer kritischen Analyse und anschließenden Optimierung zu unterziehen. Auch die Sensibilisierung der Mitarbeiter in Form von Schulungen und Audits spielt dabei eine entscheidende Rolle. Hinzukommt eine umfassende Managementbewertung von externen Auditoren. Auch die Schaffung einer unternehmenseigenen Sicherheitsmarke kann helfen, die Awareness bei den Mitarbeitern zu steigern.

Ferner sollten Unternehmen eine eigene Meldestelle für Verletzungen der IT-Sicherheit einrichten, um dem BSI entsprechende Vorfälle zu übermitteln. Dieses kann dann zentral vor der neuen Bedrohungssituation warnen. Die Betreiber kritischer Infrastrukturen (KRITIS), zu denen auch Finanzdienstleister und Akteure der Versicherungsbranche gehören, sind im Rahmen des IT-Sicherheitsgesetzes sogar verpflichtet, dem BSI bis Dezember 2017 eine solche Meldestelle anzuzeigen. Außerdem sollten Unternehmen die folgenden Empfehlungen beachten:

1. Geschäftliche Inhalte haben in privaten Postfächern nichts zu suchen.
2. E-Mail-Kommunikation muss verschlüsselt sein.
3. Anwender sollten eine Zwei-Faktor-Authentifizierung nutzen.
4. Mitarbeiter sollten niemals betriebliche Passwörter auf Webseiten eingegeben, die aus Mails heraus verlinkt wurden.
5. Keine Geheimhaltung: Mails mit krimineller Intention sollten gemeldet werden.

Den Schaden eindämmen

Zwar konzentrieren sich die Täuschungsversuche gegenüber Mitarbeitern auf das vermeintlich schwächste Glied in der Sicherheitskette, dennoch können Unternehmen auch auf technischer Ebene vieles tun, um den Schaden vielleicht nicht in erster Instanz zu verhindern, aber wenigstens einzudämmen. So kann der im Rahmen der ISMS-Implementierung obligatorische Penetrationtest bereits wertvolle Erkenntnisse darüber liefern, welches potenzielle Schadensausmaß durch ein gekapertes Benutzerkonto droht. Die Folgen einer Attacke lassen sich beispielsweise minimieren, wenn das digitale Benutzerverzeichnis nach dem Prinzip der minimalen Rechtevergabe arbeitet. Sollte ein Mitarbeiter Opfer einer Phishing-Attacke werden und die Angreifer erbeuten sein Konto, lässt sich so verhindern, dass die Kriminellen das infiltrierte Konto nutzen, um weitere Bereiche innerhalb der Unternehmens-IT zu infiltrieren. Der potenzielle Schaden bleibt also auf die Befugnisse des einen Mitarbeiterkontos begrenzt. In diesem Zusammenhang sollten Unternehmen auch ihre im Falle eines Angriffs bedrohten Assets kennen und sie einer umfassenden Risikoanalyse unterziehen – auch dies sind obligatorische Schritte beim Aufbau eines ISMS.

918 weitere KRITIS-Einrichtungen in die Pflicht genommen

Gerade die Finanz- und Versicherungsbranche ist naturgemäß besonders attraktiv für Cyber-Attacken. Immerhin können die Angreifer schnell erhebliche Geldbeträge erbeuten. In diesem Sinne erschreckt vielleicht die kriminelle Energie hinter den neuen Strategien, aber sie überrascht nicht. Insofern sollten Unternehmen auch in Zukunft auf die Empfehlungen von Experten für Informationssicherheit und den staatlichen Stellen wie dem BSI achten. Nur so können sie dem wachsenden Einfallsreichtum der Cyber-Kriminellen sowohl technisch als auch in Bezug auf den Wissensstand ihrer Mitarbeiter einen Schritt voraus sein. In diesem Zusammenhang sei noch einmal darauf hingewiesen, dass der Gesetzgeber mit gutem Grund das IT-Sicherheitsgesetz im Mai 2017 ausgeweitet und damit 918 weitere KRITIS-Einrichtungen in die Pflicht genommen hat – darunter auch Unternehmen aus der Finanz- und Versicherungsbranche.aj