Social Engineering, Phishing & Ransomware: über ausgefeilte Angriffstechniken der Cyberkriminalität

Interview:

Veröffentlicht 08.04.2022 09:10, Dagmar Finlayson

In Zusammenhang mit Phishing-Mails hört man oft Aussagen wie: „Das weiß man doch. Wer klickt auf solche Links?“ Die Erfahrung zeigt: Irgendjemand tut es immer. Für den Senior Consultat René Decker gehören Begriffe wie Phishing und Ransomware zum Alltag. Der 34-Jährige hat 2017 aus privatem Interesse heraus in die IT-Welt gewechselt und ist heute im Technikteam der TÜV TRUST IT unter anderem für technische Sicherheitsprüfungen zuständig. Im Interview gibt er einen Einblick in seinen Berufsalltag und erklärt, warum Ransomware eine solch große Bedrohung darstellt.


Herr Decker, Sie sind als Quereinsteiger in die IT-Branche eingestiegen. Wie kam es dazu?

Ja, genau. Eigentlich habe ich Geschichte und Englisch studiert, war privat aber immer schon an Informationstechnik interessiert. Zu meinem jetzigen Job bin ich schließlich über einen Freund gekommen, der bei der TÜV TRUST IT Prüfungen von mobilen Apps durchgeführt hat. Noch während meines Studiums hat er mich in dem Bereich angelernt. Nach meinem Staatsexamen im Sommer 2018 habe ich dann in Vollzeit als Security Consultant angefangen.

Und Sie sind geblieben. Was gefällt Ihnen besonders an Ihrem Job und der Branche?

Vor allem, dass es so abwechslungsreich ist. Die IT-Welt unterliegt ja einem ständigen Wandel, IoT- Geräte sind immer mehr im Kommen. Gerade im Hinblick auf moderne, immer ausgefeiltere Angriffstechniken ist das ein sehr spannendes Feld. Social Engineering ist hier ebenfalls ein großes Thema; also Angriffe, die sich nicht unmittelbar gegen Computersysteme richten, sondern Menschen dazu bewegen sollen, etwas zu tun, was den Angreifern nützt.

Gibt es spezielle Schulungen für Unternehmen gegen diese Angriffstechniken?

Ja, die gibt es. Unser Portfolio beinhaltet Awareness-Kampagnen, zu denen auch Schulungen und Workshops mit unterschiedlichen Schwerpunkten gehören. Das Schöne ist, dass wir dabei nicht die
„Guten“ sind, sondern in die Rolle der Angreifer schlüpfen. Das heißt, wir schreiben Phishing E-Mails, versuchen an Passwörter zu gelangen und sprechen mit den Kunden verschiedene Angriffsszenarien durch. Im Anschluss erhält die Firma eine anonymisierte Statistik darüber, wie viele Mitarbeiter beispielsweise auf Links in unseren Mails geklickt haben.

Das BSI bezeichnet Ransomware als derzeit größte Bedrohung für Unternehmen. Wie bewerten Sie diese Aussage?

Ransomware stellt definitiv eine signifikante Bedrohung dar, ist jedoch bereits seit mehr als einem Jahrzehnt ‚in Mode‘. Die Angreifer verschlüsseln in der Regel Daten auf den Rechnern ihres Opfers und nutzen dies als Erpressungsgrundlage. Das gefährliche daran ist, dass im schlimmsten Fall nicht nur einzelne Rechner betroffen sind, sondern das ganze Netzwerk. Bei „WannaCry“ 2017 war das der Fall. Zum Glück ist es jedoch nicht die Regel. Im Anschluss daran bieten die Angreifer den Betroffenen an, die Erpressung gegen eine Lösegeldzahlung aufzuheben. Grundsätzlich bietet ein gutes Backup-System bei gewissen Arten von Ransomware Schutz, um Erpressern nicht vollständig ausgeliefert zu sein. Hat man das nicht, sind die Unternehmen oft in der Zwickmühle. Ransomware ist für Cyberkriminelle vor allem deshalb so lukrativ, weil E-Mails mit entsprechenden Anhängen in großer Zahl und mit verhältnismäßig geringem Aufwand verschickt werden können.

Haben Sie das Gefühl, dass Unternehmen sich dessen bewusst sind?

Das ist etwas von der Branche abhängig. Je neuer eine Branche und je jünger die Unternehmen desto größer ist oft das Bewusstsein. Zum einen, weil jüngere Menschen oft mehr über IT-Themen wissen und nicht so schnell auf alles klicken, wozu sie aufgefordert werden. Zum anderen aber auch, weil die Hardware und vor allem Software in älteren Unternehmen häufig sehr veraltet ist. Neben der Schulung von Mitarbeitern ist es also auch sehr wichtig, dafür zu sorgen, dass die Unternehmen technisch gut aufgestellt sind. Es ist also durchaus sinnvoll, sich über eine umfassende Security-Strategie mit mehreren Ebenen Gedanken zu machen und diese umzusetzen.
 Und wenn es doch zum Ernstfall kommt: Wie macht sich eine Infektion bemerkbar und was kann man dagegen tun?
Ist ein System infiziert, geht es erst einmal darum, die Ausbreitung zu verhindern. Ein Shutdown des gesamten Systems stoppt die Verschlüsselung, sofern sie rechtzeitig erkannt wird. Das ist je nach Abhängigkeit von anderen Systemen aber nicht immer ohne Verluste zu realisieren. Unternehmen sollten darauf achten, dass immer die aktuellen Patches aufgespielt sind und auch Monitoring- Software kann dabei helfen, schneller zu reagieren. Ein neueres Modell in dem Zusammenhang nennt sich „Zero Trust“. Das Netzwerk wird unter der Prämisse aufgebaut, dass absolut niemand vertrauenswürdig ist. Oft sind ältere Firmennetzwerke zum Beispiel gar nicht segmentiert. Jeder erreicht hier von jedem System aus alle anderen. Das ist natürlich ein Sicherheitsrisiko. Hier kann man viel optimieren und dabei unterstützen wir auch gern.

Wir haben schon über Awareness-Kampagnen gesprochen. Welche Angebote gibt es darüber hinaus?

Wir bieten ein breites Portfolio an Dienstleistungen an, die wir individuell an die Bedürfnisse des jeweiligen Unternehmens anpassen können. Das beginnt bei einer allgemeinen Prüfung der Systeme in Bezug auf die Netzwerksicherheit und einer Auflistung der gefundenen Schwachstellen über das Aussprechen bedarfsgerechter Empfehlungen und reicht bis zu den vielen Möglichkeiten unserer Social Engineering Kampagnen. Am sinnvollsten ist es meiner Ansicht nach, wenn Unternehmen sowohl in technischer Hinsicht in die Sicherheit ihrer Computersysteme investieren und als auch in die Schulung ihrer Belegschaft. Dass niemand jemals auf Phishing-Attacken hereinfällt, ist schwer zu gewährleisten. Jedoch dazu beitragen, dass immer weniger MitarbeiterInnen auf Links klicken oder gefährliche Anhänge öffnen, können wir definitiv. Wird dieses Engagement kombiniert mit technischen Maßnahmen, lässt sich ein vernünftiges Sicherheitsniveau aufbauen.

Vielen Dank für das Interview, Herr Decker!


Über die TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA
Von den Standorten Köln und Wien aus ist die TÜV TRUST IT Ihr unabhängiger Partner für Beratungs- und Zertifizierungsleistungen rund um die Themen Informationssicherheit und Datenschutz. Unsere Mission: Wir unterstützen Unternehmen beim Schutz ihrer Informationswerte – und bieten unseren Kunden qualitativ hochwertigste Leistungen, ausgeführt durch erfahrene Experten und Auditoren. Die Kompetenzen der TÜV TRUST IT wurden durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit der Zertifizierung zum IT-Sicherheitsdienstleister für die Geltungsbereiche IS-Revision, IS-Beratung und die Durchführung von Penetrationstests bestätigt.
www.it-tuv.com de.tuvaustria.com

In Zusammenhang mit Phishing-Mails hört man oft Aussagen wie: „Das weiß man doch. Wer klickt auf solche Links?“ Die Erfahrung zeigt: Irgendjemand tut es immer. Für den Senior Consultat René Decker gehören Begriffe wie Phishing und Ransomware zum Alltag. Der 34-Jährige hat 2017 aus privatem Interesse heraus in die IT-Welt gewechselt und ist heute im Technikteam der TÜV TRUST IT unter anderem für technische Sicherheitsprüfungen zuständig. Im Interview gibt er einen Einblick in seinen Berufsalltag und erklärt, warum Ransomware eine solch große Bedrohung darstellt.

Herr Decker, Sie sind als Quereinsteiger in die IT-Branche eingestiegen. Wie kam es dazu?

Ja, genau. Eigentlich habe ich Geschichte und Englisch studiert, war privat aber immer schon an Informationstechnik interessiert. Zu meinem jetzigen Job bin ich schließlich über einen Freund gekommen, der bei der TÜV TRUST IT Prüfungen von mobilen Apps durchgeführt hat. Noch während meines Studiums hat er mich in dem Bereich angelernt. Nach meinem Staatsexamen im Sommer 2018 habe ich dann in Vollzeit als Security Consultant angefangen.

Und Sie sind geblieben. Was gefällt Ihnen besonders an Ihrem Job und der Branche?

Vor allem, dass es so abwechslungsreich ist. Die IT-Welt unterliegt ja einem ständigen Wandel, IoT- Geräte sind immer mehr im Kommen. Gerade im Hinblick auf moderne, immer ausgefeiltere Angriffstechniken ist das ein sehr spannendes Feld. Social Engineering ist hier ebenfalls ein großes Thema; also Angriffe, die sich nicht unmittelbar gegen Computersysteme richten, sondern Menschen dazu bewegen sollen, etwas zu tun, was den Angreifern nützt.

Gibt es spezielle Schulungen für Unternehmen gegen diese Angriffstechniken?

Ja, die gibt es. Unser Portfolio beinhaltet Awareness-Kampagnen, zu denen auch Schulungen und Workshops mit unterschiedlichen Schwerpunkten gehören. Das Schöne ist, dass wir dabei nicht die

„Guten“ sind, sondern in die Rolle der Angreifer schlüpfen. Das heißt, wir schreiben Phishing E-Mails, versuchen an Passwörter zu gelangen und sprechen mit den Kunden verschiedene Angriffsszenarien durch. Im Anschluss erhält die Firma eine anonymisierte Statistik darüber, wie viele Mitarbeiter beispielsweise auf Links in unseren Mails geklickt haben.

Das BSI bezeichnet Ransomware als derzeit größte Bedrohung für Unternehmen. Wie bewerten Sie diese Aussage?

Ransomware stellt definitiv eine signifikante Bedrohung dar, ist jedoch bereits seit mehr als einem Jahrzehnt ‚in Mode‘. Die Angreifer verschlüsseln in der Regel Daten auf den Rechnern ihres Opfers und nutzen dies als Erpressungsgrundlage. Das gefährliche daran ist, dass im schlimmsten Fall nicht nur einzelne Rechner betroffen sind, sondern das ganze Netzwerk. Bei „WannaCry“ 2017 war das der Fall. Zum Glück ist es jedoch nicht die Regel. Im Anschluss daran bieten die Angreifer den Betroffenen an, die Erpressung gegen eine Lösegeldzahlung aufzuheben. Grundsätzlich bietet ein gutes Backup-System bei gewissen Arten von Ransomware Schutz, um Erpressern nicht vollständig ausgeliefert zu sein. Hat man das nicht, sind die Unternehmen oft in der Zwickmühle. Ransomware ist für Cyberkriminelle vor allem deshalb so lukrativ, weil E-Mails mit entsprechenden Anhängen in großer Zahl und mit verhältnismäßig geringem Aufwand verschickt werden können.

Haben Sie das Gefühl, dass Unternehmen sich dessen bewusst sind?

Das ist etwas von der Branche abhängig. Je neuer eine Branche und je jünger die Unternehmen desto größer ist oft das Bewusstsein. Zum einen, weil jüngere Menschen oft mehr über IT-Themen wissen und nicht so schnell auf alles klicken, wozu sie aufgefordert werden. Zum anderen aber auch, weil die Hardware und vor allem Software in älteren Unternehmen häufig sehr veraltet ist. Neben der Schulung von Mitarbeitern ist es also auch sehr wichtig, dafür zu sorgen, dass die Unternehmen technisch gut aufgestellt sind. Es ist also durchaus sinnvoll, sich über eine umfassende Security-Strategie mit mehreren Ebenen Gedanken zu machen und diese umzusetzen.


 

 

 

 

Und wenn es doch zum Ernstfall kommt: Wie macht sich eine Infektion bemerkbar und was kann man dagegen tun?

Ist ein System infiziert, geht es erst einmal darum, die Ausbreitung zu verhindern. Ein Shutdown des gesamten Systems stoppt die Verschlüsselung, sofern sie rechtzeitig erkannt wird. Das ist je nach Abhängigkeit von anderen Systemen aber nicht immer ohne Verluste zu realisieren. Unternehmen sollten darauf achten, dass immer die aktuellen Patches aufgespielt sind und auch Monitoring- Software kann dabei helfen, schneller zu reagieren. Ein neueres Modell in dem Zusammenhang nennt sich „Zero Trust“. Das Netzwerk wird unter der Prämisse aufgebaut, dass absolut niemand vertrauenswürdig ist. Oft sind ältere Firmennetzwerke zum Beispiel gar nicht segmentiert. Jeder erreicht hier von jedem System aus alle anderen. Das ist natürlich ein Sicherheitsrisiko. Hier kann man viel optimieren und dabei unterstützen wir auch gern.

Wir haben schon über Awareness-Kampagnen gesprochen. Welche Angebote gibt es darüber hinaus?

Wir bieten ein breites Portfolio an Dienstleistungen an, die wir individuell an die Bedürfnisse des jeweiligen Unternehmens anpassen können. Das beginnt bei einer allgemeinen Prüfung der Systeme in Bezug auf die Netzwerksicherheit und einer Auflistung der gefundenen Schwachstellen über das Aussprechen bedarfsgerechter Empfehlungen und reicht bis zu den vielen Möglichkeiten unserer Social Engineering Kampagnen. Am sinnvollsten ist es meiner Ansicht nach, wenn Unternehmen sowohl in technischer Hinsicht in die Sicherheit ihrer Computersysteme investieren und als auch in die Schulung ihrer Belegschaft. Dass niemand jemals auf Phishing-Attacken hereinfällt, ist schwer zu gewährleisten. Jedoch dazu beitragen, dass immer weniger MitarbeiterInnen auf Links klicken oder gefährliche Anhänge öffnen, können wir definitiv. Wird dieses Engagement kombiniert mit technischen Maßnahmen, lässt sich ein vernünftiges Sicherheitsniveau aufbauen.

Vielen Dank für das Interview, Herr Decker!

 

 

Über die TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA

Von den Standorten Köln und Wien aus ist die TÜV TRUST IT Ihr unabhängiger Partner für Beratungs- und Zertifizierungsleistungen rund um die Themen Informationssicherheit und Datenschutz. Unsere Mission: Wir unterstützen Unternehmen beim Schutz ihrer Informationswerte – und bieten unseren Kunden qualitativ hochwertigste Leistungen, ausgeführt durch erfahrene Experten und Auditoren. Die Kompetenzen der TÜV TRUST IT wurden durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit der Zertifizierung zum IT-Sicherheitsdienstleister für die Geltungsbereiche IS-Revision, IS-Beratung und die Durchführung von Penetrationstests bestätigt.

www.it-tuv.com de.tuvaustria.com


Lesen Sie mehr zum Thema "IT-Sicherheit & Kritis"

Ausschreibungen und Fahndungstreffer 2023 deutlich gestiegen
IT-Sicherheit & Kritis
"Gegenstand der Informationstechnologie"
Cyberagentur vergibt Vorstudie nach Berlin
IT-Sicherheit & Kritis
Studie

Lesen Sie hier die neuesten Beiträge

InformMe wird Teil der medavis Gruppe
Aus dem Markt
Übernahme
Diese Webseite verwendet Cookies.   Mehr Info.      oder