Wie Sie sensible Unternehmensdaten vor Hacker-Angriffen schützen
Angriffe aus dem Internet sind eine alltägliche Bedrohung © Denys Rudyi — Adobe Stock

Wie Sie sensible Unternehmensdaten vor Hacker-Angriffen schützen

Phishing Mails, Social Engineering oder herumliegende USB-Sticks mit Schadsoftware: Angriffe aus dem Internet sind eine alltägliche Bedrohung. Wie Hacker an sensible Unternehmensdaten gelangen und wie man sich dagegen schützt.

Beim „Phishing“ werden klassischerweise per E-Mail, aber auch via Social Media oder sogar per Telefon emotionale Köder ausgeworfen, in der Hoffnung, dass jemand „anbeißt“. Und das ist in Ausnahmesituationen wie einer weltweiten Pandemie viel wahrscheinlicher. „Cyber-Kriminelle nutzen die Verunsicherung und das allgemeine Bedürfnis nach Schutz und Informationen gezielt aus“, heißt es vom Bundesamt für Sicherheit in der Informationstechnik, das seit Beginn des vergangenen Jahres einen hohen Anstieg an Phishing-Mails mit Corona-Bezug zu verzeichnen hat.

Drei Viertel aller Unternehmen sind betroffen

Das Cybersicherheitsunternehmen Proofpoint erstellt jährlich einen „State of the Phish“-Bericht. Darin beleuchtet der Security-Spezialist die aktuelle Situation von Unternehmen in Sachen Phishing und wirft einen detaillierten Blick auf die Sensibilisierung für dieses Thema. Mehr als 75 Prozent der befragten Sicherheitsexperten gaben im Rahmen der Untersuchung an, dass ihr Unternehmen im Jahr 2020 mit breit angelegten Phishing- Angriffen konfrontiert wurde.

„Cyberkriminelle auf der ganzen Welt haben es weiterhin mit ausgeklügeltem und überzeugendem Social Engineering auf Menschen als Schwachstelle abgesehen. Sie setzen dabei vor allem auf E-Mail als Transportmedium für ihren Betrug. Damit bleibt die E-Mail der zentrale Bedrohungsvektor“, erläutert Michael Heuer, Vice President DACH bei Proofpoint. Die Zeiten, in denen Pishing-Mails bereits anhand der vielen Rechtschreibfehler zu entlarven waren, sind lange vorbei. Heute sind sie sehr authentisch aufgemacht und von echten Mails immer schlechter zu unterscheiden.

Der sicherste Schutz vor Phishing-Attacken ist, alle E-Mails, in denen Sie zu etwas aufgefordert werden, genauer unter die Lupe zu nehmen: Ist das wirklich die richtige Absenderadresse, oder ist da bei genauerem Hinsehen ein Buchstabendreher zu finden? Wo führen die Links beim Überfahren mit der Maus wirklich hin? Womöglich sind im Verlauf der E-Mail bereits gestohlene Mails aufgeführt, um so eine schon existierende Kommunikation aufzugreifen und so den vermeintlichen Grad der Authentizität zu erhöhen.

Neuer Trend: QR-Codes abfischen

In einem Hackerforum wurden 2021 die Daten von 533 Millionen Facebook-Usern, darunter sechs Millionen deutsche, gratis veröffentlicht. Frei verfügbar sind in den Datensätzen unter anderem Telefonnummern, vollständige Namen, eine Historie der Wohnorte, Geburtsdaten und E-Mail-Adressen. Facebook verweist zwar darauf, dass die Daten nicht aktuell seien, für das sogenannte Social-Engineering eignen sie sich dennoch. Glaubwürdige E-Mails für das Phishing lassen sich damit sehr leicht erstellen. Und die Angriffsszenarien der Hacker sind noch längst nicht an einem Ende angekommen. Wer das Internet nutzt, muss sich stets auf Neues einstellen. Phishing von QR-Codes ist zum Beispiel so ein neuer Trend.

„Das ist etwas, das seit der Schaffung von QR-Codes eher eine theoretische Bedrohung darstellt. Aber im Laufe des Jahres 2020 konnten wir die Zunahme von QR-Codes beobachten“, berichtet Perry Carpenter, Innovations- und Strategiebeauftragter bei KnowBe4, einem Anbieter für Security Awareness Training und Phishing-Simulationen. „Weil QR-Codes immer häufiger eingesetzt werden und unsere Smartphone-Kameras automatisch die in den QR-Code eingebetteten Websites aufrufen, können wir sehen, dass dies ein attraktiver Bedrohungsvektor werden wird.“

Bei Phishing-Attacken hilft eine gute Antiviren-Software nur bedingt weiter. Zwar kann sie beispielsweise auf gefährliche Links und Anhänge in E-Mails hinweisen. Doch Phishing zielt tatsächlich gar nicht auf technische Sicherheitslücken ab, sondern auf den Menschen, der hinter dem Rechner sitzt oder ein Smartphone in der Hand hält. Damit wird es zur einfachsten Art des Cyberangriffs, aber auch zur gefährlichsten. Da heißt es leider, stets aufmerksam zu bleiben und nicht jedem Link und jeder Aufforderung einfach zu folgen.