Von einer Form der Onlinekriminalität Namens Phishing hat wohl jeder schon mal gehört – und sich gewünscht, nie zum Opfer eines Phishingversuchs zu werden. Es ist zugegeben weniger wahrscheinlich, dass eine professionelle IT-Kraft zu ihrem Opfer wird. Aber auf Kundenseite hat das Phänomen weit größere Erfolgsaussichten. Dazu steht die Entwicklung nie still und Onlinebetrüger oder Saboteure arbeiten weiter an verbesserten Methoden, um eine Kernvoraussetzung ihres Wirkens zu perfektionieren: Die Tarnung und Vertrauenserschleichung. Versagt hier die Phishing-Strategie, hat der Kriminelle bereits verloren. Unser Hauptaugenmerk liegt also darauf, die Anbahnung der Zugangsbeschaffung in einem abgesicherten Bereich möglichst früh zu erkennen und abzuwehren. Das Werkzeug dazu ist die Aufklärung.

 

Täuschung ist Schlüssel

 

Es ist klar, dass Remote Verbindungssoftware für das Managen von Kundennetzwerken und damit das Geschäftsmodell von Atera nicht unberührt von der Thematik des Phishings bleiben kann. Die Interaktion mit IT-Netzwerken durch ein zentrales IT-Management muss geradezu das Ziel von Phishingversuchen wie anderen Angriffsarten werden, da sich hier der Kriminelle Möglichkeiten verspricht, einzudringen und sich zu bereichern oder zu zerstören, je nach Intention des Angriffs. Die RMM Software kann dagegen Maßnahmen ergreifen und unterhalten, aber der Schwachpunkt, den wir nie ganz beseitigen können, ist der User selbst. Über die Fehler eines Users oder Kunden hofft der Kriminelle in einen gesicherten Bereich einzudringen.

 

Das Erschleichen von Vertrauen oder das Vorspielen einer Berechtigung (über eine angenommene Identität) sind dabei maßgebliche Mittel. Das Phishing wird von Profis planmäßig betrieben und nicht etwa planlos mit der Gießkanne eingesetzt, schon gar nicht in den weiteren Stufen fortgeführt. Neben den Phishing Aktionen gegen Kunden von Banken und Inhaber von Konten bei Versandhäusern o.ä., wobei es eigentlich nur darum geht, Zugangsinformationen abzugreifen und für die eigene Bereicherung einzusetzen, gibt es Formen des Phishing, die weniger bekannt sind. Diese richten sich gegen Unternehmen. Hier finden wir auch weniger direkte Ziele wie die Selbstbedienung aus einem Onlinekonto, sondern Wirtschaftskriminalität auf einem höheren Level.

 

Schwachstellen werden erschnüffelt

 

Das Phishing, das ein ganzes IT-Netzwerk infiltrieren will, hat weiter gesteckte Ziele. Es kann darum gehen, Daten zu stehlen und weiterzuverkaufen. Es kann darum gehen, das Unternehmen zu sabotieren, entweder im Auftrag eines Konkurrenten, oder, um gegen Zahlung von Lösegeld den Zugang zur Struktur und der Datenbank wiederzuerlangen. Es kann sich ebenso um einen politisch motivierten Angriff handeln, der ein bestimmtes Unternehmen abstrafen möchte und dazu auf Zerstörung setzt. Nicht zuletzt gibt es Hacker, die solche Dinge einfach aus Geltungssucht und als Sport der Herausforderung unter ihresgleichen betreiben. Eigentlich ist es zweitrangig, was bezweckt wird, denn es geht immer zu Ihren Lasten. Wichtig ist, den Zugang von Anfang an zu versperren.

 

Denn in der Anfangsphase wird ein potentieller Phisher seine Möglichkeiten ausloten, ins Firmennetzwerk einzudringen. Kommt er hier nicht weiter, hat die Cybersicherheit bereits gewonnen. Der Angreifer schaut sich nach einem möglichen Angriffsobjekt um; je ahnungsloser und leichter zu knacken, desto besser. Bei sehr zielgerichteten Attacken ist das Objekt natürlich schon vorbestimmt, etwa bei einem politisch motivierten Angriff. Es werden alle möglichen Infos gesammelt. Die verwendete Sicherheitsstruktur am Ziel wird in Erfahrung gebracht – daraus ergibt sich, was dagegen mit Aussicht auf Erfolg eingesetzt werden könnte. Kann durchaus sein, dass dazu die Tarnung als Geschäftspartner, Kunde oder Mitarbeiter angenommen wird. Gleichfalls könnte ein echter Mitarbeiter kompromittiert und umgedreht werden, um für die Angreifer zu arbeiten. Oder er wird einfach bestochen. Damit sind wir bereits bei einer Variante des Schwachpunkts Mensch in einer Sicherheitsstruktur angelangt.

 

Der Moment des Zuschlagens

 

Ist die Aufklärungsphase abgeschlossen und der Angriffspunkt wurde bestimmt, geht der nächste Schritt in medias res, der Phisher nutzt seine Informationen dazu einzudringen. Im Idealfall vermag er seine virtuelle Präsenz im IT-Netzwerk auszuweiten und sich umfassend umzuschauen, um weitere Ziele ins Visier zu nehmen oder seinen angestrebten Effekt zu potenzieren. Es wird von ihm angestrebt, sich höhere Privilegien zu besorgen, um in der Hierarchie der Zugangsberechtigungen aufzusteigen – womit auch sein Schadenspotential bei Missbrauch dieser gekaperten Berechtigungen steigt. In der finalen Eskalationsphase schlägt er unumwunden zu. Es hängt von seiner Intention ab, wie das aussehen würde. Er kann sämtliche Daten stehlen, Sabotage betreiben oder einen Ransomware-Angriff durchführen, um gegen Lösegeld freizugeben. Unsere Fantasie reicht nicht aus, sich alle Schadensszenarios vorzustellen.

 

Glücklich, wer wenigstens Vorkehrungen getroffen hat, mittels Backups seine Daten unerreichbar zu sichern und zurückzuerlangen – ohne Lösegeld zu bezahlen. Die Anleitung dazu ist hier zu finden. Wer seine Mitarbeiter sowie Kunden sensibilisiert hat, wird davon hoffentlich nie Gebrauch machen müssen. Die Kernaufgabe ist und bleibt, den Zugang zu verwehren. Wer den Fuchs erstmal im Stall hat, hat mit Schadensbegrenzung bereits alle Hände voll zu tun.

 

Atera ist nicht Teil des Problems, sondern der Lösung

 

An dieser Stelle muss mal gesagt werden, dass die Behauptung, jede Remote Verbindungssoftware für das Management von IT-Netzwerken bei Kunden wäre ein Einfallstor für die Umgehung des Digitalen Signaturchecks von Microsoft (durch Eindringlinge wie Phisher), falsch ist. Es ging dabei um das Verfahren, mittels RMM eine ständige Verbindung zu einem ungesicherten Netzwerk zu unterhalten und kriminell zu nutzen. Die Methode an sich mag zutreffend beschrieben sein, jedoch bedeutet das nicht, dass Atera mit seinen Services gehackt oder irgendwie als Unternehmen involviert wäre. Dafür gibt es ein offizielles Statement. Das wäre ohnehin unvereinbar mit dem Funktionsumfang, zu dem unter anderen Leistungen die Überwachung, Sicherheit und Backups der Netzwerke von KMU gehören. Es muss abschließend darauf hingewiesen werden, dass menschliche Fehler wie Sorglosigkeit das größte Risiko ausmachen, um Unbefugten ein Einfallstor in das IT-Netzwerk zu bieten.

 

Man kann gar nicht oft genug darauf hinweisen, dass mit E-Mails vorsichtig umgegangen werden muss und ein Grundsortiment von Verhaltensregeln immer, auch unter Stress, zu beachten ist. Natürlich wird nicht auf irgendwelche Links in irgendwelchen Mails geklickt, wenn über Direkteingabe im Browser die Zieladresse verlässlicher gefunden werden kann. Abgleichen von angeblichen Informationen über alternative Kommunikationswege (wie das Telefon) lassen ebenso Täuschungsversuche in sich zusammenfallen. Angebotene Downloadlinks, Dateianhänge öffnen und unverschlüsselte Verbindungen sind tabu. Ist allgemein bekannt? Ja, schon. Aber wieso wird trotzdem immer wieder der Anfängerfehler gemacht?

 

Fazit: Eine Welt ohne Phishing ist möglich

 

Wir stehen beileibe nicht der Onlinekriminalität und den Phishingversuchen hilflos gegenüber. Nicht, wenn die Aufmerksamkeit und ein gesundes Grundmisstrauen niemals erlahmen. Die Vorsicht darf nicht unter Eile oder wenn man müde ist, ausnahmsweise vernachlässigt werden. Der Phishingangreifer seinerseits ist hellwach und leistet sich diese Schwächen nicht. Es geht ihm um alles. Aber Sie – haben mehr zu verlieren.

War das hilfreich?

Weitere Artikel

Der ultimative MSP-Preisleitfaden von Atera

Jetzt lesen

IT Audit – Das alles muss unbedingt rein!

Jetzt lesen

Wie entwickeln KMU eine digitale Roadmap?

Jetzt lesen

Wie lange hält eine Tastatur?

Jetzt lesen

Stärken Sie Ihr IT-Team mit KI-gestützter IT

Nutzen Sie die Leistung der KI, um Ihre IT-Effizienz zu 10-fachen. Befreien Sie Ihr Unternehmen von den Einschränkungen der gestrigen IT-Tools.