Aufrufe
vor 1 Monat

Netzwoche 09/2021

  • Text
  • Wwwnetzmediench
  • Google
  • Informationen
  • Digitale
  • Schweiz
  • Swiss
  • Hacker
  • Angriffe
  • Mitarbeitenden
  • Netzmedien
  • Unternehmen

34 Technology Focus

34 Technology Focus Social Engineering vernebelt unser rationales Denken Social Engineering umgibt uns tagtäglich, ob im netten Gespräch im Buchladen oder in einem Verkaufsgespräch. Es geht darum, über die Gefühlsebene an sensible Informationen zu kommen oder uns zu Handlungen zu verführen. Diese psychologischen Mechanismen setzen auch Cyberkriminelle erfolgreich ein. DER AUTOR Sascha Pult Kompetenzcenterleiter für Cybersecurity am Institut für Management und Digitalisierung (IMD) der Kalaidos Fachhochschule in Zürich Den Beitrag finden Sie auch online www.netzwoche.ch Es ist kurz vor Weihnachten und ein Hauch von Lebkuchen liegt in der Luft. Mike bearbeitet die offenen Unterlagen im Rechnungseingang für den kommenden Abschluss, als sein Telefon klingelt. In der Leitung ist eine junge Frau, die ihm schildert, dass sie vergessen habe, die Unterlagen für die Rechnungen in die Post zu geben. Es wäre ihr peinlich, damit zu ihrem Chef zu gehen, da sie gerade erst aus dem Mutterschutz zurückgekommen sei und sich keinen Fehler leisten wolle. Daher würde sie sich vertrauensvoll direkt an ihn wenden. Im Laufe des Gesprächs willigt Mike dann hilfsbereit ein, dass sie die Daten vorab als PDF bereitstellen könne. Kurz darauf bekommt er die avisierte Mail mit einem Link zum Download der Daten, den Mike auch sogleich beginnt. Das psychologische Momentum im Social Engineering Was wir in einem privaten Gespräch nutzen, damit wir unserem Gegenüber einige interessante und pikante Details entlocken können, wird auch von Cyberkriminellen manipulativ ausgenutzt. Sie sprechen unsere Gefühlsebene an und appellieren an unsere Hilfsbereitschaft, Scham oder Gier. Sie bauen intime Nähe auf und schmeicheln unserem Ego. Oder sie üben Druck aus über eine vorgegaukelte Autorität im Unternehmen, eine notwendige Geheimhaltung, oft gepaart mit zeitlicher Kritikalität des Anliegens. Durch perfide Kombinationen dieser Manipulationen sollen unsere Sinne als Zielperson vernebelt werden. Unser rationales Denken soll reduziert oder ganz ausgeschaltet werden, um uns dann zu einer verhängnisvollen, gefühlsgesteuerten Handlung zu verleiten. Dieses Momentum ausnutzend, starten mehr als 90 Prozent der Cyberangriffe mit Social Engineering. Schutz vor Social Engineering Social Engineering nutzt den persönlichen Kontakt, das Telefon oder Mails als Kommunikationsmedium. In der heutigen, digitalisierten Arbeitswelt ist es die Aufgabe von Mitarbeitenden, E-Mails zu lesen und Dokumente zu verarbeiten. In der Vergangenheit wurde regelmässig wiederholt, dass die Mitarbeitenden das schwächste Glied in der Kette seien. Daher wurde viel Augenmerk auf Awareness- Kampagnen gelegt. Natürlich kann sich jeder Einzelne schützen, indem er auf die entsprechenden Signale achtet. Da das rationale Denken allerdings versucht wird zu reduzieren oder auszuschalten, hilft das allein meist nicht aus. Hier sind Unternehmen gefordert, technische Massnahmen für einen wirksamen Schutz zu ergreifen. Zum Beispiel kann der Austausch von Dokumenten in ein sicheres Portal ausgelagert werden. Die Betriebssysteme können heute so konfiguriert werden, dass nur zugelassene Programme ausgeführt werden. Auch organisatorische Massnahmen sind hilfreich. Mit einem einfachen Rückruf können zum Beispiel Mitarbeitende die Identität validieren und die Authentizität des Anliegens prüfen. Das Gute zum Schluss Im Falle von Mikes Hilfsbereitschaft ist nichts weiter passiert. Zum einen hatte sein Unternehmen technische Massnahmen zum Schutz ergriffen, die einen Cyberangriff abgemildert hätten. Zum anderen führte der Link des Downloads zu keinem böshaften Schadcode. Social Engineering zielt auf das ab, was uns menschlich macht. Dabei besteht die Herausforderung, die positiven Fälle zuzulassen und die negativen zu erkennen und abzufangen. 93 Prozent der Cyberangriffe starten mit Social Engineering über Telefon, E-Mail oder einen persönlichen Kontakt. Autorität Vertrauen Angst Kritikalität Scham Ego 93% Neugier Schmeichelei Gier Spass Hilfsbereitschaft 09 / 2021 www.netzwoche.ch © netzmedien ag

Technology Focus 35 Cyberbedrohungen und die Rolle des Nationalen Zentrums für Cybersicherheit Cyberangriffe können sowohl Privatpersonen als auch Unternehmen treffen. Die Folgen eines Cyberangriffs können verheerend sein und in Einzelfällen sogar zum Konkurs führen. Das Nationale Zentrum für Cybersicherheit NCSC ist erste Anlaufstelle für Bevölkerung und Wirtschaft in Zusammenhang mit Cyberbedrohungen und Cyberangriffen. Betrugsversuche, Verschlüsselungstrojaner, DDoS-Angriffe (Angriffe auf die Verfügbarkeit von Onlinediensten): Die Liste von Cyberangriffen liesse sich beliebig verlängern. Um den wachsenden Bedrohungen auf nationaler Ebene noch besser gewachsen zu sein, ist das Nationale Zentrum für Cybersicherheit (NCSC) seit dem 1. Juli 2020 operativ tätig. Es ist im Eidgenössischen Finanzdepartement (EFD) angesiedelt und steht unter der Leitung des Delegierten des Bundes für Cybersicherheit, Florian Schütz. Die im NCSC tätigen Spezialistinnen und Spezialisten leisten täglich einen wesentlichen Beitrag zur Erhöhung der Cybersicherheit in der Schweiz. Melden Sie Cybervorfälle Das NCSC stellt unter anderem für Betroffene von Cybervorfällen jeglicher Art ein Online-Meldeformular auf seiner Website www.ncsc.admin.ch zur Verfügung. Meldende erhalten beim Schutz vor Cyberbedrohungen sowie bei der Behebung von Cyberangriffen Unterstützung. Die eingegangenen Meldungen wertet das NCSC seit dem 1. Januar 2020 statistisch aus und publiziert die Grafiken, wie auch einen Wochenrückblick mit konkreten Cybervorfällen, jeweils Anfang der Woche auf seiner Website. Wie die Grafik zeigt, ist die Anzahl der Meldungen an das NCSC angestiegen: Die meisten Meldungen betreffen Betrugsversuche. Eine sehr heimtückische Form dieser Art ist der so genannte CEO Fraud. Betrug im Namen des Chefs Bei einem CEO Fraud versuchen Angreifer im Namen des Chefs, die Mitarbeitenden zu einer dringenden Zahlung zu bewegen. In einem ersten Schritt überlegen sich die Angreifer, welches Unternehmen für sie finanziell lohnenswert ist. Um sich ein erstes Bild zu verschaffen, besuchen die Angreifer oft die Internetseiten von potenziellen Opfern. In erster Linie suchen sie nach Informationen über die Finanzkraft des entsprechenden Unternehmens. Hier liefern beispielsweise öffentlich zugängliche Jahresberichte wertvolle Informationen. Ausserdem suchen die Angreifer nach dem Namen eines Mitglieds der Geschäftsleitung sowie einer Person, die in der Finanzabteilung arbeitet. Mit diesen Informationen navigieren die Angreifer auf Businessnetzwerke wie Xing oder Linkedin, um sich über den Schreibstil des Mitglieds der Geschäftsleitung zu informieren. Ziel ist es, im Namen dieser Person eine E-Mail an die Finanzabteilung zu senden mit dem Auftrag, dringend eine vertrauliche Zahlung vorzunehmen. Selbstverständlich dürfe mit niemandem über diesen Vorgang gesprochen werden, um das vermeintliche Ziel, etwa die Übernahme eines Konkurrenzunternehmens, nicht zu gefährden. Das erste in der Schweiz bekannt gewordene Opfer dieser Betrugsform war ein KMU im Kanton Freiburg, das dadurch eine Million Schweizer Franken verloren hatte. Sensibilisierung ist das A und O Ob CEO Fraud oder andere Cyberbedrohungen: Der grösste Teil der Cyberangriffe erfolgt per E-Mail, oft mit infizierten Anhängen. Deshalb spielt beim Schutz vor Cyberrisiken ausser den technischen und organisatorischen Vorkehrungen auch die Sensibilisierung der Mitarbeitenden eine sehr wichtige Rolle. Auf der Website www.ncsc.ch finden Sie zahlreiche Anleitungen, wie Sie Ihr Unternehmen vor Cyberangriffen schützen können. 2500 2000 1500 1000 500 0 ANZAHL MELDUNGEN AN DAS NCSC PRO MONAT Januar Februar März April Mai Juni Juli August September DER AUTOR Oktober Max Klaus Stv. Leiter Operative Cybersicherheit OCS, Nationales Zentrum für Cybersicherheit NCSC Den vollständigen Artikel finden Sie online www.netzwoche.ch November 2020 2021 Dezember Quelle: NCSC www.netzwoche.ch © netzmedien ag 09 / 2021

Archiv