„Die Qualität und Anzahl der Cyberangriffe wird deutlich steigen, die Erkennung von Angriffen wird immer schwerer.“ Davor warnt Kriminalhauptkommissar Andreas Bauer vom Bayerischen Landeskriminalamt (BLKA) beim Webinar „Prävention eines Cyberangriffs & E-Mail-Sicherheit“ der IHK Schwaben. Dem müsse man durch eine geschärfte Aufmerksamkeit und einem sicherheitsbewussten Verwalten durch Zwei-Faktorauthentifizierung, sichere Passwörter und regelmäßige Updates begegnen. Gegebenenfalls müsste Firmen ihre Prozesse und Berechtigungen überprüfen.
„Menschliches Fehlverhalten ist nach wie vor die häufigste Ursache für erfolgreiche Cyberangriffe“, so Bauer weiter. Fehler von Mitarbeitern führten im weiteren Sinn zu technischen Mängeln, wie fehlende Backups und Updates, unverschlüsselte Kommunikation sowie fehlendem oder veraltetem Virenschutz. Im engeren Sinn zeige sich das Fehlverhalten etwa bei schwachen Passwörtern, Neugierde z.B. bei gefundenen USB-Sticks oder zu viel Autoritätsrespekt.
Der Cyber-Ermittler illustriert das Vorgehen bei einem solchen Zahlungsbetrug (Payment Fraud) an einem realen Beispiel. Demnach habe sich der vermeintliche Chef per E-Mail von einer Messe in China in der Buchhaltung gemeldet. Ein Mitarbeiter sollte kurzfristig einen Betrag an einen potentiell neuen Geschäftspartner überweisen und erstmal nicht darüber sprechen. Der Messebesuch war durch Social Media-Posts kein Geheimnis, der Schaden ging in die Millionenhöhe.
Bei einer anderen Masche wurde eine gefälschte Mail eines wirklichen Geschäftspartners an 100 Mitarbeiter des Partnerunternehmens gesendet – in der berechtigten Hoffnung, „einer klickt auf den Link“. Über den Link gelangte der Mitarbeiter auf eine gefälschte Microsoft-Site und wurde erfolgreich aufgefordert, Benutzername und Passwort einzugeben. Auf diese Weise konnte sich der Cybertäter bei Microsoft einloggen und Rechnungsvorlagen mit dem Firmenlogo stehlen. „Der Mitarbeiter hatte intern überdimensionierte Zugriffsrechte“, betont der BLKA-Experte. Hier bestehe bei manch einem Unternehmen Handlungsbedarf, die Benutzerrechte sollten so stark wie möglich begrenzt werden. Denn mit den erbeuteten Daten des gehackten Mitarbeiters wurden in seinem Namen Rechnungen mit einer geänderten IBAN an einen Kunden gesendet, von denen drei auch begleichen wurden. Erst nach 28 Tagen wurde der Angriff bemerkt, nach 35 Tagen wurde die Polizei eingeschaltet. „Da sind die Täter bereits über alle Berge.“
Beim diesen sogenannten Phishing versuchen Angreifer aus dem Cyberraum, sensible Daten, wie Passwörter oder Bankdaten zu stehlen. Das funktioniere nicht nur per Mail, sondern auch etwa per SMS, weiß Bauer aus seiner Praxis. Nicht so häufig sei das Kryptojacking, bei dem Firmenrechner gekapert werden, um mit der Rechenleistung beispielsweise Bitcoins schürfen, also zu produzieren. Bei einem Angriff mit Ransomware versuchen die Cyberkriminellen etwa durch gefälschte Mails einen Download der Schadsoftware zu verursachen. Einmal auf öffnen geklickt, verbreitet sich die Malware im ganzen System. Sind die Daten verschlüsselt, wird von dem Unternehmen oder der Einrichtung Geld erpresst.
Spoofing – gefälschte Mail-Absender
Eine kriminelle Mail zu erkennen, ist dabei gar nicht so einfach. Durch das sogenannte Spoofing lassen sich Absender-Namen relativ leicht fälschen. Oder die Angreifer arbeiten mit bekannten Unternehmensnamen, wie etwa Amazon, und ersetzen das „o“ durch eine Null. Andere Tricks sind ein Buchstabendreher im Namen, den der Empfänger vermeintlich kennt. Oder der Firmenname wird mit einem Zusatz in der Mail verwendet, so das beispielsweise ein Absender wie @paypal-sicherheit.de auf den ersten Blick fälschlicherweise als vertraut ausschaut.
„Die E-Mail ist einer der größten Angriffsvektoren“, warnt Bauer. Man sollte immer einen prüfenden Blick auf Inhalt und Absender werfen. Das gilt auch für Anhänge, wie PDF oder Doc-Dokumente, bei denen sich Schadsoftware in den Markos der Dateien verbergen können. Eine Datei, die auf .exe endet steht immer für ein ausführbares Programm. Zip-Dateien sind immer eine „Black Box“, hier sollte man im Zweifelsfalle den Absender kontaktieren. Rechtschreibfehler und falsche Grammatik sind zwar nach wie vor ein gutes Indiz für eine kriminelle Mail. Allerdings hat der Einzug der Künstlichen Intelligenz (KI) hier völlig neue Möglichkeiten geschaffen. „Eine KI wie Chat GPT schreibt für Chinesen eine glaubhafte E-Mail.“ Der Vormarsch der KI erlaubt auch Deepfakes, die einen Geschäftsführer am Telefon oder in einem Video ziemlich glaubhaft imitieren können.