Vor einigen Tagen fand die European Conference on Information Systems (ECIS) in Marrakesch statt. Dort wurden zahlreiche neue IT-Trends besprochen und Studien vorgestellt, unter anderem eine Studie der Universität Darmstadt zur Anfälligkeit von Mitarbeitern für Phishing-Attacken.
In dieser wurde festgestellt, dass Arbeitnehmer, die mehr Zeit auf Social Media verbringen, anfälliger für Attacken sind.
Phishing wird schon seit Jahrzehnten genutzt um private Informationen wie Passwörter und Bankdaten von ahnungslosen Opfern zu bekommen. Bei Phishing werden meist E-Mails oder andere private Nachrichten mit gefährlichen Links oder Anhängen verschickt, die angeblich vertrauenswürdige Websites und Dokumente beinhalten. Mit diesen soll das Opfer dazu gebracht werden vertrauensvolle Daten freiwillig an den oder die Täter weiterzugeben.
Da solche Mails und Websites sehr einfach und kostengünstig zu erstellen sind und Phishing sehr einfach skaliert werden kann, ist es eine sehr beliebte Methode, um schnell an möglichst viele private Daten zu gelangen. Phishing kann sowohl gezielt auf bestimmte Unternehmen oder Privatpersonen als auch ungezielt auf zufällige Nutzer stattfinden.
Mehr Informationen für bessere Erfolgsquote
Phishing funktioniert umso besser, umso mehr Informationen der Angreifer über sein potenzielles Opfer hat. Denn umso individueller die E-Mail oder Nachricht gestaltet ist, desto höher ist die Wahrscheinlichkeit, dass das Opfer bereit dazu ist Daten von sich selbst freizugeben. Falls jemand z.B. eine E-Mail der Volksbank bekommt, aber da gar kein Kunde ist, wird er sie wahrscheinlich ignorieren. Wenn er eine Mail der Sparkasse bekommt, dort ein Konto hat, mit vollem Namen adressiert wird und auch sein Geburtsdatum und sein Geburtsort erwähnt werden, wird er die Mail wahrscheinlich sehr ernst nehmen und gegebenenfalls private Daten weitergeben.
Social Media Nutzer sind deshalb besonders gefährdet. Denn besonders junge Menschen, die ihren Instagram Abonnenten regelmäßig mitteilen, wo sie Urlaub machen, welche Hobbys sie verfolgen und wo sie am liebsten online shoppen, bieten so eine große Angriffsfläche für böswillige Attacken. Durch das Ausspionieren eines Facebook oder Instagram Profils gelangen Angreifer oftmals an genügend persönliche Informationen, um eine maßgeschneiderte E-Mail an ihr Opfer zu versenden.
Coronapandemie und Datenleaks verstärken Phishing-Attacken
Als Folge mehrerer Lockdowns durch Covid-19 verlagerten viele Erwerbstätige ihre Arbeit vom Büro an den Heimrechner. Das Fehlen von unternehmensinternen Sicherheitsmaßnahmen, sowie die technische Unerfahrenheit vieler Arbeitnehmer, welche plötzlich gezwungen waren sich zu digitalisieren, führten 2020 zu einer Erhöhung von Phishing-Angriffen und anderen Cyberattacken auf Mitarbeiter. Multinationale Großkonzerne waren dabei genauso betroffen wie KMU.
Gleichzeitig kam es zu mehreren größeren Hackerangriffen auf LinkedIn und Facebook, in deren Folge mehr als eine Milliarde Nutzerdaten veröffentlicht wurden. Kurz darauf kam es weltweit vermehrt zu Phishing-Attacken, besonders in Form betrügerischer SMS, da durch die Datenleaks zahlreiche Telefonnummern veröffentlicht wurden. Doch nicht nur Hacker, sondern auch Social Media Nutzer sind in zahlreichen Fällen selbst an Attacken auf sich schuld. Seit Beginn der globalen Impfkampagne ist es fast schon zum Trend geworden, Zertifikate und vertrauliche Dokumente als Beweis für eine erfolgreiche Impfung öffentlich zu posten. Auf diesen Dokumenten sind dann oftmals Geburtsdatum, -ort und Vor- und Nachtname zu erkennen. Solche Daten allein bringen einem Cyberkriminellen noch nichts, können aber in Verbindung mit Phishing genutzt werden, um das Vertrauen des Opfers zu bekommen.
Unvorsichtige Mitarbeiter sind Angriffspunkt für Unternehmen
Doch Kriminelle nutzen längst nicht mehr nur traditionelle soziale Netzwerke wie Instagram und Facebook zur Informationsbeschaffung. Auch LinkedIn, Kununu und Glassdoor werden genutzt, um Arbeitnehmer zu erreichen die nicht oder nur sehr wenig auf Social Media unterwegs sind. Informationen dieser Mitarbeiter können dann genutzt werden, um mit Phishing-Mails oder Social Engineering an die internen Daten von Unternehmen zu gelangen. In den Zeiten von Industrie 4.0 hat dies selbst bei Beschäftigten von KMU hohe Erfolgschancen für den Angreifer, da durch auch kleinere Unternehmen oftmals Daten von großen Dienstleistern hinterlegt haben.
Attacken sollten nicht unterschätzt werden
In der Regel sind die meisten Phishing-Angriffe amateurhaft ausgeführte Versuche von Kriminellen in Entwicklungsländern wie Indien oder Bangladesch, um relativ schnell an Geld von technisch unerfahrenen, meist älteren, Menschen zu gelangen. Diese landen meist ohne Umwege im Spam-Ordner. Doch gerade deshalb wirken professionelle, gut recherchierte und individuell zusammengestellte Phishing-Mails, die kaum von legitimen E-Mails zu unterscheiden sind, oftmals sehr überzeugend.
Phishing führte 2019 bei 23 % aller deutschen Unternehmen zu einem Schaden. Denn nach einer erfolgreichen Phishing-Attacke müssen Passwörter ausgetauscht, Daten vernichtet und ganze Systeme neu eingerichtet werden. 75 % aller Betriebe waren von Cyberkriminalität betroffen und die Dunkelziffer liegt vermutlich bei etwa 90 %, da viele Attacken unbemerkt stattfanden. Auch in Zukunft werden Phishing und Cyberkriminalität insgesamt nicht ab-, sondern viel mehr zunehmen. Um diese zu verhindern, benötigt es neben neuartigen Sicherheitsvorkehrungen mit KI und Blockchain vor allem eins: technisch versierte Mitarbeiter, die potenzielle Angriffe erkennen können und entsprechend reagieren.