Sie sind hier: HomeTelekommunikation

Credential Phishing: Autorisierter Feind

Wie kann der Diebstahl von Zugangsdaten verhindert werden? Wie reagiert man im Ernstfall angemessen und welche technologischen Lösungen gibt es?

Cybersicherheit Bildquelle: © Błażej Łyjak-123rf

Cyberkriminelle stehlen immer häufiger Zugangsdaten und verwenden diese für ihre Zwecke. Sicherheitsexperten sprechen von „Credential Phishing“. Bei den meisten Sicherheitsvorfällen in Unternehmen ist mittlerweile Passwortdiebstahl in einem bestimmten Stadium des Angriffslebenszyklus beteiligt. Indem sie die Identität von legitimen Benutzern annehmen, können Eindringlinge auf sensibelste Informationen zugreifen. Mit dem erschlichenen Zugang zu den im Normalfall nur Mitarbeitern vorbehaltenen Ressourcen können sie sich weiter im Netzwerk vorarbeiten. Sie sind auf der Suche nach wertvollen Vermögenswerten in Form von Daten, der in Untergrundbörsen höchst attraktiven Währung der modernen Wirtschaft. Die Angreifer können zudem immensen Schaden anrichten, indem sie Daten auf Servern löschen und Server so manipulieren, dass sie nicht booten können beziehungsweise andere schädliche Aktionen ausführen. Oder sie verlangen, wie im Fall von Ransomware-Angriffen, Lösegeld für die Entschlüsselung verschlüsselter Daten oder die Freigabe gesperrter Systeme.

Einfaches Phishing
Die Mehrheit der Unternehmen setzt weiterhin auf einfachen Passwort-basierten Zugang zu geschäftskritischen Systemen, aufgrund der komplexeren Implementierung der Multi-Faktor-Authentifizierung. Deswegen ist es für viele Angreifer oft einfacher, Passwörter zu stehlen, als Schwachstellen zu suchen und ein System zu hacken oder Sicherheitsmaßnahmen erfolgreich zu umgehen. Um an die vertraulichen Daten zu gelangen, greifen sie für gewöhnlich auf Phishing zurück, da es kostengünstig durchführbar und leider auch effizient ist. Die Wirksamkeit beruht darauf, Mitarbeiter mittels sogenannter Social-Engineering-Taktiken zu täuschen, im Gegensatz zu technischen Angriffsmethoden mittels Malware und Exploits.

Der Diebstahl von geschäftlichen Zugangsdaten erfordert in der Regel eine gewisse Vorarbeit der kriminellen Akteure. Sie durchforsten Business-Websites wie LinkedIn, suchen nach Benutzern mit bestimmten Rollen im Unternehmen, von deren Anmeldeinformationen sie sich Zugriff auf wertvolle Daten erhoffen. Die Phishing-E-Mails und -Webseiten für Geschäftsanwender sind weitaus anspruchsvoller als die oft verdächtig unprofessionellen Täuschungsversuche, die auf Privatanwender abzielen. Die Angreifer investieren einiges, um ihre Köder fast identisch mit legitimen Unternehmensanwendungen und realer Geschäftskommunikation zu machen.

In dieser Angriffsphase spielt das Sicherheitsbewusstsein der Mitarbeiter eine entscheidende Rolle. Leider gibt es trotz Sensibilisierung keine Garantie, dass die Mitarbeiter jeden Phishing-Versuch mit 100-prozentiger Sicherheit identifizieren werden. Dabei geht es nicht immer um Zugangsdaten, sondern auch um sehr direkte Betrugsversuche durch die Ausnutzung von Hierarchien wie beim sogenannten „CEO Fraud“. Egal wie dreist die Masche ist, die Rechnung geht immer wieder auf für die Trickbetrüger. Der jüngste spektakuläre Fall ereignete sich in München, wo eine Buchhalterin des Öko-Backbetriebs Hofpfisterei „auf Geheiß von oben“ pflichtbewusst 1,9 Millionen Euro nach Hongkong überwies.