Phishing, Malware-Dateianhänge und Ransomware
Wie Sie sich effektiv davor schützen können
Ein Blick in die Zeitungen zeigt: Immer wieder sind Kommunalverwaltungen und Institutionen wie Krankenhäuser von Ransomware, Malware und Phishing betroffen. Die Allianz-Versicherung schätzt, dass die Angriffe im ersten Halbjahr 2021 im Vergleich zum Vorjahreszeitraum um 125 % zugenommen haben.
Immer häufiger werden auch Großunternehmen und Behörden Ziel der Cyberattacken. Die Liste der IT-Vorfälle 2021 ist entsprechend lang. Bedeutende Ereignisse betrafen unter anderem einen Pipeline-Betreiber in den USA, den irischen Gesundheitsdienst, die Uni Leipzig, MediaSaturn und den Landkreis Anhalt-Bitterfeld. Das Bundesamt für Informationssicherheit berichtet für das Jahr 2021: • Die Zahl allein an Data-Leak-Seiten im Internet hat um 360 % zugenommen. • Die Anzahl von Schadprogramm-Varianten stieg um 22 % auf nun 144 Millionen. • 13 Tage lang konnte ein Universitätsklinikum nach einem Ransomware-Angriff keine Notfallpatienten aufnehmen. Besonders besorgniserregend: Es sind immer häufiger auch sogenannte KRITIS-Unternehmen und -Institutionen betroffen. KRITIS definiert die „kritischen Infrastrukturen“ wie Energieversorger, Krankenkassen, Krankenhäuser und auch Stadtwerke, die für Verund Entsorgung zuständig sind. Angriffe auf diese Organisationen haben in der Regel weitreichende Folgen auf die öffentliche Infrastruktur.
Komplexes, mehrschichtiges Vorgehen
Um an die erforderlichen Daten zu gelangen, die solche Erpressungen erst möglich machen, haben Cyberkriminelle hochkomplexe, vielschichtige Angriffs- und Aufklärungsverfahren entwickelt. Besonders tückisch sind die Methoden des Social Engineering, bei der Kriminelle Betroffene manipulieren, um Zugangsdaten und andere organisationsinterne Informationen zu erhalten. Die bekanntesten Betrugsmaschen sind:
Malware-Anhänge
sind angehängte Dateien, in denen Schadsoftware versteckt ist. Diese kann Ransomware aus dem Internet herunterladen, die Zugangsdaten an einen fremden Server übermitteln oder andere Schadaktionen auslösen. Die dazugehörigen E-Mails sind ebenfalls täuschend echt nachgeahmt und mit dringlichen Aufforderungen verbunden, den Anhang zu öffnen.
Phishing
beschreibt ein Vorgehen, mit dem Kriminelle die Log-in-Daten von Betroffenen erbeuten. Dies passiert auf vielfältigen Wegen, aber primär durch E-Mails, die z. B. Bank-, Unternehmens- und Behörden-E-Mails täuschend echt nachahmen. Diese E-Mails sollen Anwenderinnen und Anwender zur Eingabe ihrer Zugangsdaten animieren. Dabei wird die Dringlichkeit der Anwenderreaktion stark betont. Ziel ist, die Zugangsdaten (Credentials) zu erlangen. Diese können dann im Internet gewinnbringend veräußert oder zur Umsetzung von Erpressungs- und anderen Angriffen verwendet werden.
Ransomware (Erpressungssoftware)
ist Schadsoftware, welche die Datenbestände der Betroffenen verschlüsselt und somit unbrauchbar macht. Die Betroffenen werden dann aufgefordert, teils einen sehr hohen Betrag in einer Kryptowährung zu zahlen, um die Entschlüsselung vornehmen zu können. Neben den Datenbeständen werden auch wichtige Systembestandteile bis zur Entschlüsselung unbrauchbar gemacht.
Mail-Spoofing
ist eine Täuschungsmethode, bei welcher der Absender der E-Mail gefälscht wird, um Anwenderinnen und Anwender – sowie eingerichtete E-Mail-Filter – zu täuschen. Empfängerinnen und Empfänger sollen die E-Mail für echt halten und die darin geforderten Aktionen vornehmen. Kriminelle täuschen dafür häufig Mails von Vorgesetzten vor, die eine dringende Handlung der Anwenderin oder des Anwenders erzwingen sollen.
Es beginnt mit einem schleichenden Angriff aus dem Hinterhalt
Ein solcher Angriff beginnt immer sehr harmlos – und meistens im E-Mail-Posteingang einer Anwenderin oder eines Anwenders in der Organisation des Angriffsziels. Diese Person öffnet in gutem Glauben eine E-Mail mit einem Word-Dokument im Anhang. Unbemerkt wird ein Script ausgeführt, das die eigentliche Schadsoftware aus dem Internet herunterlädt. Diese Schadsoftware verschlüsselt im Hintergrund alle erreichbaren Datenträger – und das Unheil ist angerichtet. Als Nächstes erhalten die Betroffenen nur noch die Zahlungsaufforderung und nichts geht mehr.
Problematische und zum Teil meldepflichtige Vorfälle
Cyberkriminalität ist ein Straftatbestand und gegebenenfalls auch dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Ein Systemausfall in einer exponierten Situation – Krankenhäuser, Kommunalverwaltungen, Stromversorger – findet zudem immer den Weg in die Medien.
Erheblicher Schaden droht auch kleinen Gemeinden
Neben dem damit verbundenen Reputationsverlust sind vor allem die anderen Folgen eines erfolgreichen Phishing-Angriffs mit Verschlüsselung durch Ransomware schwerwiegender. Die Betroffenen sind arbeitsunfähig, wichtige Daten sind nicht zugreifbar, das Wiederanfahren der IT-Infrastruktur ist schwierig und mit hohen Kosten verbunden – wenn denn die dafür notwendigen Spezialisten überhaupt verfügbar sind. Im schlimmsten Szenario droht der Totalverlust der IT-Infrastruktur.
Auch mögliche Schadenersatzforderungen aus Vertragsstrafen drohen. Erbeuten die Angreifer personenbezogene Daten, ist dies ein DSGVO-Vorfall, der ebenfalls Schadenersatz zur Folge haben kann.
Die Annahme, dass man als kleine Gemeinde kein Angriffsziel darstellt, ist und bleibt falsch – auch aufgrund der zunehmenden Professionalisierung dieses Zweigs der Cyberkriminalität. Die Angreifer suchen sich die Ziele nach der Einfachheit der Angreifbarkeit.
Gegenmittel: DSGVO-konforme Advanced E-Mail-Security
Da die E-Mail von außen das häufigste Einfallstor der ersten Welle eines mehrstufigen Angriffs ist, kann ein ausreichender Schutz Schlimmeres verhindern.
Die ITEBO-Unternehmensgruppe bietet nun auch den Service „Advanced E-Mail Security“ auf Basis eines vom Analystenhaus Gartner prämierten E-Mail-Sicherheitsprodukts für ihre Kundinnen und Kunden an. Dieser Service kann auch für E-Mail-Postfächer bereitgestellt werden, die über die Cloud-Services von Microsoft betrieben werden. Die prämierten Sicherheitslösungen wie Endpoint Security™ von Sophos, die den Arbeitsplatzrechner und Server sichert, und Anti-Spam von Barracuda™, mit dem unerwünschte E-Mails (Spam) ausgefiltert werden, hat die ITEBO-Unternehmensgruppe nach wie vor im Programm.
Weltweite IT Security Operations Center
gezielten Angriffen durch Neutralisierung von Malware-Anhängen (Office, PDF, HTML-Mail, Archive),
Anwendertäuschung durch manipulierte Geschäfts-E-Mails (u. a. via DKIM),
Entfernung gefährlicher Links in den E-Mails (Content Disarm),
Antivirus durch weitreichende Inhaltsanalyse der Mails,
Erkennung und Abwehr von Malware-Mails durch Herkunftsanalyse, GeoChecking und GeoBlocking,
vom Kunden einstellbares Black- und Whitelisting von Absenderinnen und Absendern (DMARC),
Sandboxing – E-Mail-Anhänge und Links werden in geschützter Umgebung technisch geöffnet, ggf. auftretende Schadauswirkungen erkannt und die Anhänge bzw. die Schadauswirkung entfernt,
umfangreiches Reporting über die Analyse-/Bereinigungsergebnisse sowie die erkannte Bedrohungslage.
zwei mögliche Konfigurationen
1. ITEBO Advanced E-Mail Security wird dem E-Mail-Server der Kundin oder des Kunden vorgeschaltet und übergibt die Mails nach Prüfung und Entschärfung an den Mailserver.
2. ITEBO Advanced E-Mail Security wird dem E-Mail-Gateway – für die ITEBO-Kundinnen und -Kunden ist dies das ITEBO E-MailGateway – vorgeschaltet. Das E-Mail-Gateway prüft ebenfalls und sendet die E-Mails anschließend an den Mailserver.
Die Stärke des Service liegt im zugrunde liegenden High-End-E-Mail-Sicherheitsprodukt, dessen technischer Architektur und dem Betrieb durch die Spezialisten der ITEBO. Das zugrunde liegende High-End-E-Mail-Sicherheitsprodukt ist in die weltumspannende IT-Security-Infrastruktur des Gartner-prämierten Herstellers für IT-Sicherheitssysteme eingebunden und wird gestützt von dessen IT Security Operations Centern.
Diese analysieren rund um die Uhr die weltweite Bedrohungslage, bewerten diese und versorgen – auch rund um die Uhr – die IT-Sicherheitssysteme von mehr als 500.000 Kundinnen und Kunden weltweit mit Lageinformationen, Warnmeldungen und weiteren taktischen Informationen wie Virus-Signaturen.
Implementiert wird dieser Service durch eine Cloud-Appliance in einem DSGVO-konformen Rechenzentrum in Frankfurt und wird in Hoheit der ITEBO und durch die ITEBO-Spezialisten betrieben. Technisch wird dieser Service an strategisch wichtiger Stelle in den Mail-Fluss via Änderung der DNS-MX-Records eingeklinkt (Relay).
Wichtig: Die kommunalen Organisationen sind gesetzlich verpflichtet, ihren Mailverkehr in die behördeninternen Bundesund Landesnetze zu routen. Zur Erfüllung dieser gesetzlichen Anforderung steht die ITEBO-Unternehmensgruppe ebenfalls gern zur Verfügung.
Sensibilisierung der Verantwortlichen sowie der Anwenderinnen und Anwender durch Awareness-Schulungen, denn wirksame IT-Sicherheit besteht immer aus mehreren Ebenen
Ergänzend zur technischen Abwehr ist immer eine Awareness-/Sensibilisierungsschulung angeraten und erforderlich.
Die ITEBO-Mitarbeiterinnen und -Mitarbeiter vermitteln dabei die Themen IT-Sicherheit und Datenschutz mit besonderem Fokus auf die DSGVO. Dabei legen sie Wert darauf, dass Angestellte den Inhalten wirklich folgen können und dadurch Bedrohungen erkennen und umgehen können.
Mit ITEBO lära steht hierzu ein Online-Schulungstool bereit, das beide Themen abdeckt. Diese kann auf Wunsch auf die Organisation der Kundin oder des Kunden gebrandet werden. Darüber hinaus kann die Schulung auch um weitere, eigene Inhalte erweitert werden.
Container for the dynamic page
(Will be hidden in the published article)