IT-Sicherheit

Vernetzung ist gut, kann aber auch gefährlich werden

Götz Schartner17. März 2017
Internetbetrüger nutzen oft psychologische Tricks, um ans Ziel zu kommen und setzen darauf, dass das Opfer selbst etwaige Sicherheitsvorkehrungen außer Kraft setzt.
Ob im börsennotierten Großkonzern, im kleinen kommunalen Betrieb oder in der Stadt- und Gemeindeverwaltung: Arbeiten ohne digitale Kommunikation ist heute undenkbar. Immer schneller schreitet die Vernetzung voran. Gemeinsame Datenbanken mit Personen- und Verwaltungsdaten werden aufgesetzt, nicht nur deutschland-, sondern europaweit. Doch je tiefer die Vernetzung in den Systemen implementiert wird, desto höher ist auch die Gefahr durch Hacker und Cyber-Kriminelle.

Deutschland ist das Ziel von Cyber-Attacken. Das ist inzwischen hinreichend bekannt und nicht nur Unternehmen, sondern auch Staat und Behörden arbeiten an geeigneten Sicherheitskonzepten, um für den Ernstfall gerüstet zu sein. Seit einigen Jahren existiert daher die Informationssicherheitsleitlinie, ein Grundsatzdokument, in dem der Stellenwert, die verbindlichen Prinzipien sowie das anzustrebende Niveau der Informationssicherheit in Institutionen festgeschrieben werden. Diese einheitlichen Sicherheitsstandards sind wichtig, denn bei stark vernetzten Strukturen und Datenbanken reicht unter Umständen bereits ein Sicherheitsverstoß an nur einer Stelle aus, um das gesamte System zu kompromittieren – frei nach dem Motto „Die Kette ist nur so stark wie ihr schwächstes Glied“. Ein weiterer Grund, warum übergreifende Standards sinnvoll sind, ist die Verschlüsselung der Kommunikation zwischen Institutionen. Nur wenn alle Teilnehmer die gleichen Algorithmen nutzen, ist eine reibungslose und schnelle Kommunikation möglich. Und noch einen Vorteil bietet die Einführung von gemeinsamen Sicherheitsstandards, denn durch klare und vorher festgelegte Abläufe lassen sich die Reaktionszeiten im Schadensfall deutlich verkürzen.

Gravierende Schwachstelle Mensch

Doch noch hakt es an vielen Stellen, insbesondere an den bundesland- und behördenübergreifenden Datenbanken, und auch wenn die technischen Schutzmechanismen immer größere Fortschritte machen, lässt sich eine gravierende Schwachstelle nicht völlig absichern: Der Mensch als Nutzer der IT-Systeme mit all seinen potenziellen Schwächen wie Neugier, Naivität oder Bequemlichkeit. Eines der größten Probleme ist derzeit der verstärkte Einsatz von Social Engineering. Sowohl die Fake-President-Masche, auch CEO-Betrug genannt, als auch der etwas weniger aufwendige Payment-Diversion-Fraud, bei dem ursprünglich legitime Zahlungsströme auf andere Konten umgeleitet werden, sind häufiger geworden. Beide Vorgehensweisen nutzen psychologische Tricks, um ans Ziel zu kommen und setzen darauf, dass das Opfer selbst etwaige Sicherheitsvorkehrungen außer Kraft setzt.

Bei einem typischen Fake-President-Betrug geben sich die Betrüger als hochrangige Manager aus, die das anvisierte Opfer nun mit der Abwicklung einer streng vertraulichen Transaktion betrauen möchten. Die Kontaktaufnahme erfolgt per E-Mail, bei der sowohl die Absenderadresse als auch die Signatur und die Ausdrucksweise auf den ersten Blick einwandfrei sind. Nicht selten wird das Opfer nicht nur vom vermeintlichen Vorgesetzten kontaktiert, sondern auch von einem scheinbar bekannten Dritten, etwa einem Anwalt. Per E-Mail und Telefon wird das Opfer bearbeitet, zum Stillschweigen verpflichtet und gezielt unter Druck gesetzt. Schließlich wird es dazu aufgefordert, unter strikter Geheimhaltung einen hohen Betrag auf ein Konto im Ausland zu überweisen. Heimlichtuerei ist integraler Bestandteil der Masche.

Betrug mit Blick auf Zahlungsströme

Deutlich einfacher laufen so genannte „Payment-Diversion-Frauds“ ab. Diese Form des Betrugs hat es auf die Zahlungsströme zwischen Geschäftspartnern abgesehen, mit denen häufig  schon seit Jahren zusammengearbeitet wird. Die Betrüger geben sich als Partnerunternehmen oder Lieferanten aus und erreichen durch gefälschte Mitteilungen, dass sich die bisher vereinbarten Bankverbindungen geändert haben, sodass die Bezahlung für Waren oder erbrachte Dienstleistungen auf abweichende Konten erfolgt. Viele Geschädigte werden erst stutzig, wenn Zahlungsaufforderungen für bereits bezahlte Rechnungen ins Haus flattern.

Während bei Fake-President-Maschen meist große Summen im Raum stehen, liegen die Beträge beim Payment-Diversion-Fraud deutlich niedriger. Allerdings ist auch der Aufwand geringer und so sind beide Modelle gleichermaßen beliebt. Technisch können sich Unternehmen kaum vor derartigen Betrügereien schützen, da es beim Social Engineering darum geht, die Mitarbeiter und nicht die IT-Infrastruktur zu manipulieren. Daher empfehlen sich Awareness-Kampagnen, um in der Belegschaft ein Bewusstsein für die Gefahr zu schaffen. Auch ein verpflichtendes Vier-Augen-Prinzip oder weitere Freigabestufen bei Überweisungen können Schutz bieten.

Massenangriff über E-mails

Gegen eine weitere große Gefahr können zumindest teilweise technische Maßnahmen getroffen werden. Sogenannte Kryptotrojaner oder auch Ransomware verschlüsseln die Daten auf infizierten Rechnern oder unterbinden den Zugang zum System komplett. Um das wieder zu ändern, muss der Nutzer ein Lösegeld, englisch „ransom“, zahlen, meist in der Cyber-Währung Bitcoin, die anonyme Zahlungsströme ermöglicht. Die Angriffe erfolgen eher ungezielt als Massenangriff über E-Mails mit kompromittierten Anhängen oder als Drive-by-Exploit auf infizierten Webseiten. Das perfide an Kryptotrojanern: Über vernetzte IT-Strukturen können die Schädlinge von einzelnen Rechnern auf das gesamte Netzwerk übergreifen und so zu gewaltigen Schäden führen. Daher betrifft das Problem Unternehmen, Privatpersonen und Kommunen gleichermaßen. Das gilt übrigens auch für die in den letzten Monaten viel diskutierten Botnetze, die über die gleichen Kanäle verbreitet werden.

Die Digitalisierung macht vieles einfacher, doch das gilt nicht nur für die legitimen Nutzer der vernetzten Strukturen, denn wir beobachten, dass sich auch Kriminelle die Vorteile zunutze machen. Ein vollständiger Schutz ist fast unmöglich zu erreichen, doch es gibt viel, was Unternehmen, Behörden und Privatleute tun können, um es Angreifern aus dem Netz so schwer wie möglich zu machen. Doch während der erste Schritt, nämlich die technische Absicherung, in den meisten Fällen inzwischen gut funktioniert, bleibt der Faktor Mensch als Sicherheitsrisiko. Aufklärungskampagnen und Awareness-Programme schaffen hier Abhilfe und zeigen Mitarbeitern und Verantwortlichen, dass es auf jeden Einzelnen ankommt, wenn es um die Sicherheit von IT-Systemen geht.

weiterführender Artikel