Anzeigen-Spezial

Ransomware

Wird mein Unternehmen bald erpresst?

17. Mai 2021 - 7 Min. Lesezeit

Social Hacker warten wie Spinnen darauf, dass ihnen einzelne Mitarbeiter ins Netz gehen. Sind sie einmal im System, können sie den kompletten Betrieb lähmen. Wie sich Unternehmen gegen erpresserische Attacken wehren und dauerhaft schützen können. 

Cyberkriminelle erfinden laufend neue Methoden, wie sie einzelne Mitarbeiter und ganze Unternehmen abzocken können. Derzeit besonders beliebt ist das „Pretexting“, mit dem die Hacker ihren sorgfältig recherchierten Opfern unter einem Vorwand (Pretext) sensible Informationen entlocken. Diese werden anschließend für Erpressungsversuche, Transaktionen oder Angriffe auf das Firmennetz verwendet oder einfach nur im Darknet verkauft. Eine besonders perfide Masche ist der aus dem privaten Umfeld bekannte „Enkel-Trick“: Dabei geben sich die Hacker als Enkelkinder aus, deren Geburtstag vergessen wurde. Von Schuldgefühlen heimgesucht übermitteln Omas und Opas nach wenigen Nachrichten prompt ihre Kreditkartennummer nebst Prüfziffer.

Pretexting ist auch im Unternehmensumfeld nur eine von vielen Betrugsmethoden aus dem Bereich des Social Engineering. Warum diese so of Erfolg haben, erklärt Giulia Vaccaro, Cybersecurity-Expertin beim IT-Dienstleister Atos: „Social Engineering spricht gezielt die emotionale Seite im Menschen an, um spontan und instinktiv zu einer Handlung zu bewegen.“ Die Hacker arbeiteten dafür mit Autorität, Vertrauen, Eile oder Druck, mit Neugier, Mitleid oder Sehnsüchten. Das Ziel sei aber stets das gleiche: der Zugriff auf sensible Daten, auf den Arbeitsrechner, auf das Firmennetz.

Mitarbeiter werden gezielt angesprochen

Die Methoden der Betrüger werden immer ausgefeilter. Anders als vor einigen Jahren, als sich Phishing-Mails noch durch ungelenke Formulierungen und Rechtschreibfehler selbst entlarvten, pickt sich das verbal perfektionierte „Spear-Phishing“ gezielt Personen aus den sozialen Netzwerken heraus. „Um möglichst authentisch mit ihren Opfern in Kontakt zu treten, mimen die Hacker Vorgesetzte, Admins, Singles, Freunde oder Verwandte“, berichtet Atos-Expertin Vaccaro, die selbst solche Attacken im Auftrag von Unternehmen durchführt und so als „White Hacker“ Sicherheitslücken aufdeckt. „Sie suchen Kontakt per E-Mail, Telefon, SMS oder direkt in den sozialen Medien und erbeuten im sich entspinnenden Dialog Antworten auf Sicherheitsfragen. Mit dem beiläufig herausgefundenen Namen des ersten Haustiers beispielsweise können persönliche Login-Informationen geändert und die Opfer erpresst werden.

Hacker kapern Facebook-Auftritt

Mit Social Engineering bekommen Kriminelle ohne nennenswertes Technikwissen einen Fuß in die Tür zum Firmennetz“, erklärt Giulia Vaccaro. „Dafür reicht ein Link zu einem ‚lustigen Video‘, der gedankenlos vom Arbeitsrechner aus angeklickt wird. Die stattdessen hinterlegte Schadsoftware verbindet sich zurück und eröffnet den Hackern einen Systemzugriff. Damit können sie beliebige Kontakte aus dem Adressbuch anmailen und ihrerseits zum Klicken eines Links bewegen.“

Ebenfalls im Trend bei den Social Hackern liegen sogenannte Evil Captive Portals, das sind Klone bekannter Log-in-Seiten, deren Namen in der Adresszeile kaum vom Original abweichen. Unter einem passenden Vorwand lassen sich Mitarbeiter dazu motivieren, etwa auf einer Fake-Seite von PayPal eine „unklare Überweisung“ zu prüfen und die Login-Daten für das Firmenkonto preiszugeben. Auch E-Mail-Portale oder Firmenseiten auf Facebook und Co. werden auf diese Weise gekapert. Giulia Vaccaro berichtet von einer befreundeten Designerin, die auf diese Weise nach einer fingierten Anfrage durch ein Modelabel kurzzeitig die Kontrolle über ihren Instagram-Account und damit den Kontakt zu ihren Followern verlor.

Erfolgreiche Erpressungsversuche

Unternehmen müssen wissen, dass alle Informationen im Social Web gegen sie verwendet werden können, sagt Giulia Vaccaro. Wer den Hackern auf den Leim geht, wird erpressbar. Häufig drohen die Betrüger damit, den Verstoß gegen Firmenrichtlinien offenzulegen oder arbeitsfremde Aktivitäten zu melden und verlangen Schweigegeld. Nicht selten zahlen die Opfer aus Angst oder Scham. Haben die Cyberkriminellen erst einmal Zugang zum Firmennetz, können sie noch größere Geschütze auffahren, indem sie eine Erpressersoftware, englisch: Ransomware, einschleusen. Schadprogramme dieser Art vervielfältigen sich über alle Benutzer und Systeme hinweg und verschlüsseln Festplatten, zentrale Kundendatenbanken und Back-up-Server. Die Freigabe der Daten wird jeweils gegen Zahlung von Lösegeld in Aussicht gestellt.

Die Dimension der mit Ransomware verbundenen Schäden zeigt eine Analyse der Allianz-Industrieversicherungstochter AGCS, die für das vergangene Jahr weltweit fast eine halbe Million Vorfälle registrierte. Die geforderte Lösegeldsumme beläuft sich auf mindestens 6,3 Milliarden US-Dollar. Noch deutlich höher lagen allerdings die geschätzten Gesamtkosten zur Bewältigung der erfolgreichen Attacken mit weit über 100 Milliarden US-Dollar.

Manchmal schränken Ransomware-Angriffe sogar das öffentliche Leben ein. Mitte Mai stellte die wichtigste Benzin-Pipeline zwischen Texas und New York wegen eines Erpressungs-Trojaners vorübergehend ihren Betrieb ein, wodurch es in mehreren Bundesstaaten zu Benzinknappheit kam. In Deutschland registrierte die Bundesregierung für das Jahr 2020 über 170 erfolgreiche Angriffe auf Einrichtungen der kritischen Infrastruktur, darunter Krankenhäuser, Energie- und Wasserversorger, Banken und Versicherungen.

Bloß nicht zahlen!

Doch was tun, wenn einzelne Mitarbeiter oder ganze Unternehmen erpresst werden? Der US-Pipelinebetreiber soll Medienberichten zufolge fast fünf Millionen US-Dollar Lösegeld gezahlt haben. Die daraufhin von den Erpressern übermittelte Entschlüsselungs-Software sei jedoch so langsam gewesen, dass es schneller war, Backups einzuspielen. Niemals dürfe man die Forderungen der Hacker erfüllen und ihnen die Hoheit überlassen, rät Atos-Expertin Vaccaro. Stattdessen empfiehlt sie, die infizierten Systeme sofort herunterzufahren und alle betroffenen Personenkreise proaktiv zu informieren: Mitarbeiter, Kunden, Partner, gegebenenfalls auch die Öffentlichkeit. Das gebiete schon der Datenschutz. Fachliche Hilfe erhielten betroffene Unternehmen zudem von sogenannten „Incident Response Teams“. Diese spezialisierten Einsatzgruppen helfen den Unternehmen, ihre Daten und Systeme wiederherzustellen und die Angreifer zu finden. Jedes Unternehmen müsse unbedingt geeignete Prozesse entwickeln, um im Ernstfall schnell und angemessen reagieren zu können, sagt Giulia Vaccaro.

Wer Social-Engineering-Attacken dauerhaft den Nährboden entziehen möchte, sollte seine Mitarbeiter regelmäßig sensibilisieren und die Homeoffice-Praxis sicher gestalten. Einer im Mai vorgestellten Studie zufolge stieg das Volumen der weltweiten Cyber-Angriffe während der Pandemie um 238 Prozent – wohl auch, weil Büroarbeiter im Homeoffice stärker ihre Büro-Hardware auch privat nutzen. Privates und Betriebliches seien daher strikt zu trennen, Verbindungen zum Firmennetz zu sichern und öffentliche Drahtlosnetze ohne Passwortabfrage zu meiden. Außerdem ist es unerlässlich, die aktuelle Bedrohungs- und Sicherheitslage zu kennen und regelmäßig zu prüfen. Als idealen Rhythmus für das „Penetration-Testing“ von externen und mobilen Webseiten empfiehlt Vaccaro drei bis vier Monate, gegebenenfalls auch größere Abstände. Das Gesamtpaket müsse zum tatsächlichen Bedarf passen, so die Atos-Expertin.

Die Entwicklung im Social Engineering läuft rasant. Nahezu täglich lernen Giulia Vaccaro und ihre Teamkollegen von Atos neue Methoden kennen, mit denen Cyberkriminelle die emotionale Seite des Menschen gezielt für ihre Zwecke ausnutzen. Umso wichtiger ist es für Unternehmen, am Ball zu bleiben und ihr Firmennetz laufend zu testen und abzusichern. Nicht nur gegen Angriffe von außen, sondern auch von innen.

Atos ist ein weltweit führender Anbieter für die digitale Transformation mit über 110.000 Mitarbeitern in 73 Ländern und einem Jahresumsatz von mehr als 12 Milliarden Euro. Als europäischer Marktführer für Cloud, Cybersecurity und High Performance Computing bietet die Atos Gruppe ganzheitliche Lösungen für Orchestrated Hybrid Cloud, Big Data, Business-Anwendungen und Digital Workplace. Der Konzern ist der weltweite Informationstechnologie-Partner der Olympischen und Paralympischen Spiele und firmiert unter den Marken Atos, Atos|Syntel und Unify. Atos ist eine SE (Societas Europaea) und an der Pariser Börse als eine der 40 führenden französischen Aktiengesellschaften (CAC40) notiert. Das Ziel von Atos ist es, die Zukunft der Informationstechnologie mitzugestalten. Atos Fachwissen und Services fördern Wissensentwicklung, Bildung sowie Forschung in einer multikulturellen Welt und tragen zu wissenschaftlicher und technologischer Exzellenz bei. Weltweit ermöglicht die Atos Gruppe ihren Kunden und Mitarbeitern sowie der Gesellschaft insgesamt, in einem sicheren Informationsraum nachhaltig zu leben, zu arbeiten und sich zu entwickeln.