Es ist immer dringend: "Bitte reagieren Sie sofort!" Oder: "Der Link ist nur 48 Stunden gültig!" Oder: "Bitte geben Sie umgehend Ihre Daten hier ein!" Bei allen drei Varianten – und es gibt noch zahlreiche weitere Versionen – geht es im Kern nur darum, persönliche Daten und Passwörter abzufischen. Eben Phishing, wie das Kunstwort aus "Passwort" und "Fishing" (englisch für fischen) zeigt.
Wer auf die Aufforderung reagiert und auf den Link in der E-Mail oder der Handy-Nachricht klickt, ist schon in den Fängen der Betrüger. Diejenigen, die in das Formular noch ihre Daten eingeben, sind schnell ihr Geld los und das in der Regel ohne jede Chance, es wiederzubekommen.
Zitat"Die Bürgerinnen und Bürger müssen wissen, welche Angriffsmöglichkeiten real bestehen und wie sie im Ernstfall reagieren können." Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI)
Gründe für den Anstieg von Cyberangriffen
Opfer sind aber nicht nur Privatpersonen, sondern immer häufiger Unternehmen. Die Zahl der Versuche, sie durch Ransomware, wie die Erpressungstrojaner oder Erpressersoftware heißt, finanziell auszunehmen, steigt deutlich an. Das liegt vor allem daran, dass Täter heutzutage auf dem Markt entsprechende Tools und Dienstleistungen kaufen können. Cyberkriminelle haben durch die Spezialisierung Zeit und Geld, ihre Schadsoftware schneller zu verbessern. Schließlich zahlen ihre Nutzer, die Affiliates, wie deren kriminellen Anwender genannt werden, einen Teil der Beute als Provision an die Entwickler. Auch sie nutzen häufig Leichtgläubigkeit oder raffinierte Täuschungsversuche als Einfallstor für ihre Software, die anschließend die Daten verschlüsselt und erst gegen Zahlung den Zugriff wieder frei gibt.
Cyberkriminelle suchen sich mittlerweile nicht mehr die Opfer nach der Höhe des möglichen Lösegelds, sondern nach rationaler Kosten-Nutzen-Relation, wie der Lagebericht zur IT-Sicherheit in Deutschland 2023 des Bundesamts für Sicherheit in der Informationstechnik (BSI) beschreibt. "So wurden vermehrt kleine und mittlere Unternehmen sowie Behörden der Landes- und Kommunalverwaltungen, wissenschaftliche Einrichtungen sowie Schulen und Hochschulen Opfer von Ransomware-Angriffen", so der Bericht.
"Cyberresilienz ist daher das Gebot der Stunde."
In den Januar-Nachrichten war es ein großes Thema, dass nach zwei Monaten in Südwestfalen Bürger endlich wieder ihre Behördengänge in Sachen Personalausweise oder Kfz erledigen konnten. Solange hatte eine Ransomware die IT der Kommunen lahmgelegt, weil sie das Lösegeld nicht zahlen wollten.
Die Datendiebe setzen in der Regel auf die Leichtgläubigkeit der Empfänger, vor allem im Privatbereich. Sie geben vor, vom Logistik-Dienstleister, der Bank oder einer anderen bekannten Institution zu sein, um unter dem Deckmantel der Seriosität der angeblichen Absender persönliche oder Firmendaten abzugreifen. Das reicht von einfachen persönlichen Daten über die Kreditkarte und PIN der Bankkonten bis hin – als Vorbereitung von Cyberangriffen – zu Passwörtern der Firma.
Nie vorschnell handeln
Die gute Nachricht ist: Auch noch so gut gemachte Phishing-Versuche lassen sich erkennen und entgegen der scheinbaren Dringlichkeitsaufforderung sollte man einen kühlen Kopf bewahren. Erstens: Von offizieller Seite, wie etwa der Bank, sind nie umgehende Handlungen erforderlich – und wichtige Informationen kommen immer noch per Post. Zweitens sollten Empfänger, wenn der Absender tatsächlich die eigene Bank oder der bevorzugte Paketlieferant zu sein scheint, erst einmal nachdenken, ob das Anliegen berechtigt ist und ein Paket aussteht oder Zahlungen erledigt werden müssen. "Für eine stärkere Resilienz von Bürgerinnen und Bürgern haben wir zwei Ziele: Sie müssen wissen, welche Angriffsmöglichkeiten real bestehen und wie sie im Ernstfall reagieren können – gerade auch bei einer sich so rasant entwickelnden Technologie wie KI," sagt daher Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Denn die Versuche kommen täglich: Jede zweite verschickte E-Mail fällt in die Kategorie Spam, also unerwünschte Nachrichten, von der Potenzmittelreklame über den Prinzen aus Nigeria bis hin zu völlig einfachen Krediten, Phishing-Nachrichten miteingeschlossen. Allein für Juni 2023 (neuere Daten gibt es noch nicht) listet das Statistische Bundesamt 306.847 neu entdeckte Phishing-Webseiten auf – und das sind nur die, die dem internationalen Konsortium Anti-Phishing Working Group gemeldet wurden.
Tatsächlich hat schon jeder vierte Surfer persönliche Erfahrungen mit Cyberkriminalität gemacht, wie der kurz vor Weihnachten veröffentlichte Cybersicherheitsmonitor des BSI belegt. Die bundesweite Umfrage unter mehr als 3.000 Befragten ab 16 Jahren im Juni 2023 offenbarte auch, dass 65 Prozent Angst vor Fälschungen und Manipulationen von Dokumenten und Medien haben, 60 Prozent Angriffe von Cyberkriminellen fürchten oder die Sicherheit ihrer persönlichen Daten in Gefahr sehen (58 Prozent). Als Schutz setzen sie in der Regel auf ein aktuelles Virenschutzprogramm, sichere Passwörter, eine aktuelle Firewall und die Zwei-Faktor-Authentifizierung (siehe unten "Schutz vor Phishing"). Sie wollen sich vor allem vor finanziellen Schäden schützen, was immerhin schon 18 Prozent der Befragten passiert ist.
2022 traf es 50.000 Firmen
Firmenseitig hat es nach der im Juni 2023 vorgestellten TÜV-Cybersecurity-Studie im Jahr 2022 mehr als jedes zehnte Unternehmen, exakt elf Prozent, getroffen. Die Studie basiert auf einer Umfrage von etwas mehr als 500 Unternehmen mit mehr als zehn Mitarbeitern. Hochgerechnet heißt das Ergebnis, dass es allein 2022 bundesweit rund 50.000 Fälle gegeben hat. "Sowohl die weltpolitischen Spannungen als auch technologische Trends wie die Verbreitung Künstlicher Intelligenz sind eine Gefahr für die Cybersicherheit der Unternehmen in Deutschland", sagte Dr. Johannes Bussmann, Präsident des TÜV-Verbands. "Neben kriminellen Hackern verstärken staatliche Akteure ihre Aktivitäten, um an sensible Daten zu gelangen, Geld zu erpressen oder Unternehmen zu sabotieren."
In mehr als jedem zweiten Unternehmen fürchten die Verantwortlichen organisierte Hacker, in jedem vierten sehen sie Gefahren durch Wirtschaftsspionage oder politisch motivierte Akteure. "Da sich Cyber-Kriminelle konsequent professionalisieren und gleichzeitig die Angriffsfläche unserer digitalen Systeme immer größer wird, ist Cyber-Sicherheit eine Daueraufgabe mit höchster Priorität", warnt daher BSI-Vizepräsident Dr. Gerhard Schabhüser. "Unternehmen und Organisationen dürfen zu keiner Zeit nachlassen im Bemühen, ihre IT-Netzwerke zu schützen."
Generative KI-Anwendungen und Phishing
Auch für Unternehmen geht die größte Gefahr von Phishing aus. Noch sind gefälschte E-Mails leicht zu erkennen, etwa durch eine allgemeine Ansprache (Lieber Kunde), eine seltsame Absender-Adresse (die sich im E-Mail-Header identifizieren lässt), sprachliche und Rechtschreibmängel, aber auch etwa durch die Ausschreibung von Umlauten (ae statt ä). Nur: "Phishing bekommt mit generativen KI-Anwendungen wie ChatGPT eine neue Dimension", so Bussmann. "Wegen Fehlern oder holpriger Formulierungen leicht erkennbare Phishing-Mails wird es bald nicht mehr geben."
Erst an zweiter Stelle folgen Cyberattacken durch Ransomware, gefolgt von dem sogenannten Social Engineering, etwa durch Fake-Anrufe eines IT-Supports oder das Erschleichen des Vertrauens über Social Media. Und in jedem fünften Unternehmen gab es bereits Passwort-Angriffe, also Versuche, die Zugangsdaten zum System zu hacken. Immerhin investieren die Firmen in ihre IT. Jedes zweite Unternehmen hat die Ausgaben für Cybersicherheit in den letzten zwei Jahren schon erhöht, drei von vier Betrieben halten Hard- und Software auf aktuellem Stand und zwei von drei Firmen haben die Sicherheit vernetzter Maschinen und Anlagen verbessert. Und, noch viel wichtiger: Die Firmen holen sich externes Berater-Know-how ins Haus und schulen ihre Mitarbeiter.
Checkliste: Schutz vor Phishing
Phishing ist der Versuch, durch manipulierte E-Mails oder SMS (auch "Smishing" genannt) das Vertrauen und damit persönliche Daten zu erschleichen. Die oft im holprigen Deutsch formulierten Nachrichten werden dank KI und ChatGPT immer schwerer erkennbar, weshalb stets gilt: ganz genau hinschauen.
- Auf jeden Rechner gehören Antivirenprogramme, die Computerschädlinge in der Regel schnell erkennen.
- Aktualisierungen von Software und Betriebssystemen sollte jeder auf allen Geräten sofort durchführen, weil sie Fehler und anfällige Stelle der Vorgängerversion korrigieren.
- Vorsicht bei Mails oder SMS von unbekannten Personen; eine Verifizierung des Absenders und/oder des Anliegens sollte erfolgen.
- Nie persönliche Daten, insbesondere Passwörter oder Pins, über einen mitgeschickten Link ändern – weder Banken, Dienstleister oder Behörden bitten per E-Mail um eine Aktualisierung.
- Bestehen Zweifel an der Echtheit einer E-Mail, sollte jeder sich diese vom Absender telefonisch bestätigen lassen – aber nicht mit der Telefonnummer aus der E-Mail selbst, sondern selbst heraussuchen.
- Haben Dateien Anhänge mit Formaten wie .exe oder .scr, diese nie anklicken, weil sich so Schadsoftware direkt selbst installiert; gleiches gilt auch für Dateien mit Doppelendungen wie .pdf.exe.
- Für Account-Zugänge sollte jeder möglichst eine Zwei-Faktor-Authentisierung einsetzen, weil durch die zweite Stufe der Identifizierung Kriminelle selbst dann nicht auf Ihre Daten zugreifen können, wenn sie bereits Ihr Passwort erbeutet haben.
(Quelle: BSI)
Checkliste: Was Firmen bei einem IT-Notfall tun können
Hat trotz aller Prävention ein Cyberangriff Erfolg, gilt es vor allem, nicht in Panik zu verfallen und besonnen zu reagieren. Die folgenden Maßnahmen sind nur sehr allgemein und müssen an das jeweilige Unternehmen oder die jeweilige Institution angepasst werden. (Quelle: BSI)
Checkliste: Organische Prüf- und Aktionsmaßnahmen
- Alle IT-Verantwortlichen inklusive Datenschutzbeauftragte und IT-Mitarbeiter, aber auch die Geschäftsleitung informieren, gegebenenfalls weitere interne Stellen.
- Verantwortlichkeiten für Entscheidungen klären und Aufgaben, wer was wann erledigt, verteilen
- Analyse des Vorfalls: Was ist passiert, wie ist es aufgefallen (intern oder gar extern?), welche Folgen hat der Vorfall?
- Kann die Produktion weiterlaufen oder gibt es zeitlichen Spielraum?
- Ist eine Strafverfolgung vorgesehen, was automatisch eine Beweissicherung und damit aufwändigeres Vorgehen beinhaltet?
- Wirkt sich der Vorfall auf Kunden, Partner oder die Öffentlichkeit aus und muss zum Beispiel mit PR-Maßnahmen reagiert werden?
- Ist das Unternehmen gezieltes Opfer oder "nur" eines von vielen Opfern?
- Intern alle Mitarbeiter informieren und gegebenenfalls Sprachregelungen vorgeben.
- Den Fall auf der Meldeseite des BSI der Allianz für Cyber-Sicherheit melden; im Falle einer Meldepflicht die entsprechende Stelle informieren.
- Im Bedarfsfall sollte sich jeder externe Hilfe holen.
- Ist der Vorfall behoben, sollte eine Analyse für künftige Sicherheitsmaßnahmen erfolgen.
Checkliste: Technische Prüf- und Aktionsmaßnahmen
- Wer hat Zugriff etwa mit Benutzerkonten mit unnötigen Rechten?
- Wer hat solche Konten angelegt und vor allem, wann?
- Alle betroffenen Systeme identifizieren und nicht nur oberflächlich darauf schauen.
- Betroffene Systeme vom Internet und dem internen Netzwerk trennen; am besten das Netzkabel ziehen.
- Rechner bei einer beabsichtigten technischen Analyse nicht herunterfahren oder ausschalten und im Zweifel ein forensisches Speicherabbild zur Beweissicherung anfertigen.
- Erst nach der Analyse mit Antiviren-Programmen arbeiten.
- Grundsätzlich gilt: Immer das komplette System ebenso wie nach der Störung gespeicherte Daten als verunreinigt ansehen und im Zweifel eine Neuinstallation vornehmen. Ist das Active Directory – also das "Telefonbuch" oder Verzeichnis für alle IT-Angelegenheiten – betroffen, dann das komplette Netzwerk als kompromittiert betrachten.
- Mit Netzwerk-Monitoring und Logging lassen sich andauernde Angriffe oder Datenabflüsse identifizieren und anschließend blockieren.
- Jeder sollte prüfen, ob aktuelle, saubere, integre Backups vorliegen. Diese sollten offline vorliegen, weil Online-Sicherungen zufällig oder bewusst kompromittiert sein könnten.
DHB jetzt auch digital!Einfach hier klicken und für das digitale Deutsche Handwerksblatt (DHB) registrieren!
Text:
Stefan Buhren /
handwerksblatt.de
Kommentar schreiben