Trend-Schau

CEO-Phishing.

Auch Topmanager klicken in ihren E-Mails bisweilen auf unbekannte Links. Dies bietet Cyberkriminellen ganz besonders leicht zugängliche Ansatzpunkte, um in Unternehmen sensible Informationen auszuspähen oder sogar zu manipulieren.   

Cyberkriminelle rüsten ihr Angriffspotential auf: Experten haben herausgefunden, dass sie nun auch die sozialen Medien wie Facebook & Co. nutzen, um die Gewohnheiten dieser hochkarätigen Zielgruppe besser zu verstehen.

Das konkrete Vorgehen beschreibt Andy Green vom IT-Sicherheitsanbieter Varonis so: «Nehmen wir an, das potentielle Opfer interessiert sich für eine Sportart wie Kricket. Dann konzipiert der Hacker eine E-Mail-Nachricht, die sich auf genau dieses Kricket-Match bezieht. Die Absenderadresse ist so manipuliert, dass sie von einem Geschäftspartner zu kommen scheint; in Wirklichkeit befördert sie aber eine schädliche Fracht direkt in den Post-eingang der betreffenden Führungskraft. Sozusagen die Business Class-Variante des gemeinen Phishing-Angriffs.»

 

Big Fish: Die Gefahr durch «Whaling»
Dieses Abgreifen potentiell besonders wichtiger und sensibler Daten wird unter Fachleuten allgemein als «Whale Phishing» oder auch «Whaling» bezeichnet – in Anlehnung an das Fangen eines besonders großen Fischs. Interesse haben die Online-Angreifer in aller Regel vor allem am wertvollen geistigen Eigentum und hochvertraulichen Daten zu Geschäftsprozessen, Schlüsselkunden und -kontakten, aber auch an geheimen Finanzdaten oder persönlichen E-Mails mit kompromittierenden Inhalten. «Genau die Art von Informationen, die sich an die Konkurrenz verkaufen lässt oder die sich besonders gut für eine Ransomware-Attacke mit einer entsprechend hohen Lösegeldforderung eignet», behauptet Varonis-Experte Green.

Ob das wirklich immer so schlimm kommen muss, sei dahingestellt. Fest steht indes, dass ein Phishing-Angriff desto besser funktioniert, je mehr der Kriminelle über das potentielle Opfer weiß. Green: «Auf welchen Link würden Sie wohl eher klicken: auf den in einer E-Mail des nigerianischen Finanzministers, bei der es um eine Geldanweisung geht, oder doch eher auf den, der von der eigenen, lokalen Bankfiliale zu kommen scheint und in dem man Sie um eine Klärung bezüglich ihres Kontos bittet (und Sie dazu das angehängte PDF öffnen müssten)?» Sicher wird der angebliche Link zur Bankfiliale den Vorzug bekommen. 

Laut einer Studie von Digitalis, einem Forschungsinstitut für Online-Reputation, verhalten sich Führungskräfte, was den Schutz ihrer Privatsphäre beispielsweise auf Facebook oder in anderen (sozialen) Netzwerken angeht, nicht umsichtiger als der Durchschnitt: Weniger als die Hälfte der von Digitalis befragten Führungskräfte schränken die Zahl derer ein, die ihr gesamtes Profil einsehen können. Nur 36 Prozent gehen sorgsamer mit ihren Einstellungen zur Privatsphäre um. Sollten Topmanager also besser gänzlich darauf verzichten, soziale Medien zu nutzen?

Damit wäre die Gefahr aber noch längst nicht gebannt: Es gibt sogar Experten, die davon ausgehen, dass in diesem Fall Hacker die Arbeit für sie erledigen und mit Hilfe einer gefälschten Identität selbst ein Konto anlegen. «Dies ist eine Methode, die das Potential für ausgefeilte Phishing-Angriffe hat», betont Experte Green. 

Deshalb sei es empfehlenswert, dass sich Führungskräfte selbst um ihre Identität in sozialen Medien kümmerten. Allerdings sollten sie, wie jeder andere Mensch auch, nicht mehr Daten als unbedingt nötig preisgeben. Topleader sollten grundsätzlich auf Einstellungen wie «jeder» oder «alle» komplett verzichten und den Kreis der Berechtigten auf «Freunde» beschränken. 

 

Spezieller IT-Sicherheitsdienst für Spitzenmanager.
Auch die Unternehmens-IT ist gefordert: Nach Greens Meinung sollte sie sämtliche Dateiaktivitäten von Führungskräften mit besonderem Augenmerk unter die Lupe nehmen. Sind indes derartige Schnüffeleien auf der Topetage wirklich nötig? Der Experte bejaht und geht noch weiter: «In Großunternehmen und Konzernen bietet es sich sogar an, einen speziellen ‚Sicherheitsdienst’ innerhalb der IT-Abteilung für genau diesen Zweck abzustellen.» 

 Inwieweit Unternehmen nun diesem Rat folgen und entsprechende organisatorische Maßnahmen einleiten, muss im Einzelfall entschieden werden. Fest steht jedenfalls: Jeder Alarm und sämtliche Benachrichtigungen, die E-Mail-Konten von Topmanagern betreffen, müssen sehr ernst genommen werden. Die IT-Abteilung darf keinen einzigen Vorfall routinemäßig als «False positive» (falschen Alarm) einordnen. Jeder Verdacht muss verfolgt werden – zum Wohl des gesamten Unternehmens.  

 

 

Quelle: BUSINESS INTELLIGENCE MAGAZINE, www.bi-magazine.net 
© ProfilePublishing Germany GmbH 2016. Alle Rechte vorbehalten. 
Vervielfältigung nur mit Genehmigung der ProfilePublishing Germany GmbH

Business Intelligence Magazine: Springe zum Start der Seite