Eine moderne IT-Sicherheitsstrategie kommt nicht mehr ohne den Faktor Mensch aus. Denn während der Corona-Pandemie wurden Social-Hacking-Angriffe zahlreicher und erfolgreicher, wie aktuelle Studien belegen. So klickten 4 von 5 Empfängerinnen und Empfängern auf Phishing-Mails mit Corona- oder Homeoffice-Bezug.
Dynamite Phishing, Double Extortion, Crypto Miner – in den letzten Jahren hatten IT-Verantwortliche mit zahlreichen Herausforderungen zu kämpfen. Denn die Angreiferseite hat ihre Taktiken konstant weiterentwickelt. Lange Zeit standen hierbei technische Maßnahmen im Vordergrund. Neben Endpoint Protection, Secure Email Gateways & Co. stellen sich Expertinnen und Experten derzeit aber vor allem die Frage: Welche Rolle spielt der Faktor Mensch beim Aufbau von Cyber-Resilienz?
Bereits vor dem Ausbruch der Pandemie standen Social-Engineering-Taktiken wie Phishing und Ransomware im Fokus des Angriffsgeschehens. Mittlerweile ist Cybercrime eine professionalisierte Industrie, in der die Angreifenden einem Business Case folgen. Der Weg über die Mitarbeitenden ist mitunter der ressourcenschonendste Weg, um sich Zugang zu den Systemen von Unternehmen zu verschaffen. Ausgefeilte technische Barrieren lassen sich einfach umgehen, wenn man Mitarbeitende durch Social Engineering beispielsweise zur Eingabe von Daten manipuliert. Diese Lage hat sich durch Corona und den Wechsel ins Home-Office noch weiter verschärft. Doch was genau macht die aktuelle Situation für die Hacker so spannend? Die Analysen im „Human Risk Review 2021“ des Security-Awareness-Anbieters SoSafe geben Aufschluss über die Erfolgsaussichten von Social Engineering in der Coronakrise.
Social Engineering und das „New Normal”
Schon direkt nach dem Ausbruch der Pandemie konnte ein maßgeblicher Einfluss auf Social Engineering und Phishing beobachtet werden. Im Kern stand hierbei die hohe Bedeutung, die das Coronavirus auf uns alle hatte. Denn eine hohe Relevanz ist für die Angreifer auch einer der Faktoren, der den Erfolg einer Phishing-Kampagne begründet. Das Thema “COVID-19” ist daher der perfekte Anlass für die Entwicklung neuer Angriffstaktiken, was sich auch in einer stark erhöhten Phishing-Aktivität während des ersten Lockdowns äußerte. So berichtet die europäische Cybersicherheitsagentur ENISA von einer Zunahme von über 600% im Februar und März 2020.
Wie die SoSafe-Analysen zum Coronajahr 2020 zeigen, gibt es in der Tat einen klaren zeitlichen und inhaltlichen Effekt der Krise auf die Anfälligkeit der Mitarbeitenden für Social-Engineering-Angriffe. SoSafe greift hierbei auf 1,4 Millionen Datensätze simulierter Phishing-Angriffe zurück, die über die Awareness-Plattform durchgeführt wurden. Während des ersten Lockdowns im März 2020 stiegen somit die Klickraten auf simulierte Phishing-Mails deutlich an. Ein Grund dürfte neben der hohen Relevanz nicht zuletzt das gesteigerte Informationsbedürfnis in dieser Zeit des Wandels und der Verunsicherung gewesen sein. Dies lässt auch ein zentraler Befund des SoSafe-Reports vermuten: War in der Betreffzeile das Wort „Corona“ enthalten, erhöhte sich die Klickrate zusätzlich um mehr als 50%, sodass bis zu 4 von 5 Empfängerinnen und Empfängern auf die simulierten Phishing-Mails klickten.
Auch Angriffe, die auf mobile Arbeitsmodelle zielen, haben seit der Pandemie stark zugenommen. Im vergangenen Jahr wechselten viele Arbeitnehmerinnen und Arbeitnehmer ins Homeoffice und nutzten dadurch verstärkt digitale Kollaborationstools. Auch in Zukunft wird laut Bitkom-Prognosen[1] ein großer Teil der Angestellten von Zuhause aus arbeiten. Die SoSafe-Ergebnisse sind daher umso brisanter: Auch Angriffe im Kontext der Einführung neuer Remote Tools wie Microsoft Teams oder Slack weisen eine stark erhöhte Klickrate auf. Die Schlussfolgerung ist damit eindeutig: Der Sensibilisierung der Mitarbeitenden kommt im Zuge der Transformation hin zu Remote Work eine noch wichtigere Rolle zu als zuvor.
Jede Cyber-Security-Strategie muss mittlerweile auch die Mitarbeitenden berücksichtigen
Die Entwicklungen rund um Social Engineering haben Organisationen und IT-Verantwortliche zuletzt oft dazu veranlasst, die Mitarbeitenden als Schwachstelle in der sonst vermeintlich ausreichend geschützten IT-Infrastruktur zu betrachten. Das ist ein fataler Denkfehler, weiß Dr. Niklas Hellemann, Diplom-Psychologe und Geschäftsführer der SoSafe GmbH: „IT-Verantwortliche sollten die Kolleginnen und Kollegen gerade mit Blick auf die aktuellen Entwicklungen aktiv in die Sicherheitsstrategien miteinplanen und eher als Erfolgsfaktor sehen. Denn Klickraten auf Phishing-Mails können durch gut trainierte Mitarbeitende proaktiv und nachhaltig gesenkt werden. Wichtig dabei ist, dass solche Schulungen auf die Bedürfnisse der Lernenden und auch die der Organisation zugeschnitten sind, um sie passgenau für Cyberrisiken zu sensibilisieren.” Mit entsprechenden Awareness-Maßnahmen werden Mitarbeitende so vom vermeintlichen Risikofaktor zur „menschlichen Firewall”, welche die Organisation vor fatalen Cyberangriffen präventiv schützt.
Erfolgsfaktor Mensch in der IT-Sicherheit
Die gute Nachricht: Immer mehr Organisationen werden sich dieser Notwendigkeit zur Steigerung der Cyber Security Awareness bewusst. Befragte IT-Sicherheitsexpertinnen und -experten geben mehrheitlich (57,1%) an, ihre derzeitigen Maßnahmen in Zukunft erweitern zu wollen. Das ist nicht nur aufgrund der verschärften Cyber-Bedrohungslage wichtig, sondern auch mit Blick auf die durch Cybervorfälle entstehenden Kosten: Erfolgreiche Angriffe auf Mitarbeitende stellen ein hohes finanzielles Risiko dar. So zahlte etwa das ohnehin durch die Krise strauchelnde Reiseunternehmen CWT nach einer erfolgreichen Ransomware-Attacke im letzten Jahr mehrere Millionen US-Dollar Lösegeld. Zudem ist nicht davon auszugehen, dass Cyberkriminelle in naher Zukunft von derartigen Social-Engineering-Taktiken ablassen werden. Vielmehr werden sie ihre Angriffe durch den Einsatz weiterer Technologien fortlaufend weiterentwickeln. Eine cyberresiliente Kultur in Organisationen kann also nur dann entstehen, wenn der Faktor Mensch in der IT-Sicherheit berücksichtigt wird und Mitarbeitende kontinuierlich sensibilisiert werden.
Mehr Informationen zur aktuellen Bedrohungslage rund um den Faktor Mensch und wie Sie die Erfolgswahrscheinlichkeit menschenbasierter Angriffe minimieren, erfahren Sie im diesjährigen Human Risk Review.