Alle und alles hängen am Internet – in Casa wird erforscht, wie Sicherheit möglich bleibt.
© RUB, Marquard

IT-Sicherheit Wie Cyberangreifer die Corona-Epidemie ausnutzen

Sorgen und Sorglosigkeit in Zeiten der Corona-Verbreitung bieten Cyberkriminellen neue Angriffsstellen.

So eine Situation hat es noch nie gegeben: Durch das Coronavirus hat sich der Lebensalltag innerhalb weniger Tage komplett verändert. Es sind Zeiten, in denen Unsicherheit und Sorge herrschen: Um die Gesundheit von Familienangehörigen und Freunden, die wirtschaftliche Lage und das eigene Leben.

Diese existenziellen Ängste der Menschen und die vielerorts getätigte Umstellung der Arbeit auf das Homeoffice bieten Angriffspunkte, die Cyberkriminelle ausnutzen: Medien berichten von trügerischen Angeboten wie einer „Corona-Tracking-App“ oder angeblichen Live-Zahlen zur Verbreitung des Virus, hinter denen sich Schadsoftware verbirgt. Damit lesen die Angreiferinnen und Angreifer sensible Daten wie Passwörter und Kreditkartennummern aus oder blockieren kurzerhand das Smartphone, um Erpressungsgeld zu fordern.

Dies könnte erst der Anfang sein – denn die Umstellung vieler Unternehmen und Organisationen auf Heimarbeit steckt vielerorts noch in den Kinderschuhen. Wo dabei Schwachstellen liegen und worauf jetzt besonders geachtet werden muss, erklären Prof. Dr. Angela Sasse vom Lehrstuhl Mensch-Zentrierte Sicherheit und Prof. Dr. Thorsten Holz vom Lehrstuhl Systemsicherheit im Interview.

Herr Professor Holz, viele Unternehmen und Organisationen stellen derzeit auf Homeoffice-Betrieb um, Mitarbeiterinnen und Mitarbeiter nehmen ihre Laptops mit nach Hause oder nutzen ihr Privat-Equipment. Bieten sich Cyberangreifern durch diese Umstellung mehr Einfallstore?
Thorsten Holz: Die IT-Infrastruktur der Unternehmen wird nun anders genutzt, als sie von ihren Administratoren geplant war. Dies ermöglicht potenziell neue Angriffsvektoren. Beispielsweise sind IT-Systeme in einer Firma typischerweise hinter einer Firewall und durch zusätzliche Sicherheitslösungen geschützt, darüber hinaus werden die Systeme zentral administriert und insbesondere aktualisiert. Diese Mechanismen sind im Homeoffice nicht unbedingt gegeben, insofern muss dort umgedacht werden.

Welche technischen Lösungen wären da denkbar?
Holz: Durch VPN-Lösungen kann man sichere Verbindungen ins Firmennetz aufbauen, technisch kann man solche Probleme also adressieren. Eventuell müssen aber auch Firewalls oder Sicherheitslösungen umkonfiguriert oder privates Equipment genutzt werden, hier müssten weitere Schritte genauer überlegt werden.

Prof. Dr. Thorsten Holz leitet den Lehrstuhl für Systemsicherheit am Bochumer Horst-Görtz-Institut für IT-Sicherheit und ist einer der Sprecher des Exzellenzclusters Casa.
© Mareen Meyer
Thorsten Holz leitet den Lehrstuhl für Systemsicherheit am Bochumer Horst-Görtz-Institut für IT-Sicherheit.

Frau Professor Sasse, Sie erforschen den Faktor Mensch in der IT-Sicherheit. Worin sehen Sie weitere Probleme?
Angela Sasse: Änderungen von Arbeitsprozessen und innerbetrieblicher Kommunikation können Schwachstellen schaffen, die Angreifer durch Social-Engineering-Angriffe ausnutzen könnten: Ein Beispiel wäre eine gefälschte E-Mail des Unternehmens-Finanzchefs, mit dem Appell, Zahlungsprozesse aufgrund der Corona-Situation zu ändern. Darauf könnten Mitarbeiter anspringen. Wir wissen bereits, dass Unternehmen während Übernahmen oder Zusammenschlüssen besonders anfällig sind, wenn Mitarbeitern nicht klar ist, welche Regeln gelten, wer wofür zuständig ist – daher ist eine explizite Kommunikation über Zuständigkeit, Verantwortung und Regeln, über einen sicheren Kanal, sehr wichtig.

Warum sind Arbeitnehmer aktuell besonders anfällig für solche Angriffe?
Sasse: Viele Mitarbeiter sind zur jetzigen Zeit allgemein verunsichert, gestresst und besorgt um ihre Zukunft. Unter Stress machen wir eher Fehler, und in Zeiten der Verunsicherung sind wir eher anfällig für scheinbar attraktive Angebote, die meine Probleme lösen würden – zum Beispiel ein Sonderangebot für Bedarfsgegenstände, die im Supermarkt aktuell nicht erhältlich sind. Auch für Gerüchte in sozialen Netzwerken, zum Beispiel über die Zahlungsfähigkeit des Unternehmens, sind Mitarbeiter eher anfällig. Hinter solchen Informationen können sich jedoch Schadprogramme verbergen, die unbemerkt auf den Computer gelangen.

Wie können Unternehmen ihre Mitarbeiter an dieser Stelle unterstützen?
Sasse: Regelmäßige und ehrliche Kommunikation kann Mitarbeiter beruhigen, genauso wie die Möglichkeit, Fragen mit den Verantwortlichen diskutieren zu können. Dies trifft übrigens auch für technische Mitarbeiter zu, Support-Desks sind im Moment überlastet und mit mehr Anfragen und Forderungen von – manchmal sehr gestressten – Mitarbeitern konfrontiert. Aus meiner Sicht ist es am effektivsten, auf der unternehmenseigenen Website versuchte Angriffe und Falschinformationen darzustellen. Am Wichtigsten ist die Möglichkeit, Fragen zu stellen und sich bei Unklarheit melden zu können – da müssen die Kapazitäten vorhanden sein.

Angela Sasse leitet den Lehrstuhl für Mensch-Zentrierte Sicherheit am Bochumer Horst-Görtz-Institut für IT-Sicherheit.
© CASA

Es werden nun allerorts Tools genutzt, die das Arbeiten von zu Hause erleichtern sollen. Sind diese Programme sicher genug, um sensible Firmendaten zu tauschen?
Holz: Neue Tools bieten immer neue Angriffsflächen und haben potenziell Lücken. So wurde beispielsweise im September 2019 eine größere Sicherheitslücke in der populären Videokonferenz-Lösung Zoom entdeckt, die aber mittlerweile geschlossen ist. Außerdem verlassen die über solche Tools geteilten Daten das Firmennetz und werden auf potenziell im Ausland liegenden Servern dauerhaft gespeichert. Regeln zu Datenschutz und Datensicherheit sollte man weiterhin befolgen, kritische und sensible Daten sollte man besser nicht über solche Tools tauschen.

Sasse: Hier könnten Trainings zur Nutzung der Tools und klare Sicherheitsanweisungen helfen. Wenn beispielsweise festgelegt worden ist, dass Kundendaten nicht über einen bestimmten Kanal geschickt werden dürfen, müssen Führungskräfte sich ebenso daran halten wie die Mitarbeiter. Angreifer nutzen aber nicht nur neue Tools, sondern greifen auch über klassische Kanäle wie Telefon, SMS und E-Mail an – ihre Vorgehensweise ist gut durchdacht, sie setzen ihre Opfer zusätzlich unter Zeit- oder Autoritätsdruck.

Bekommen User es mit, wenn ihr Computer infiltriert worden ist?
Holz: Das Erkennen von Kompromittierungen ist nicht immer einfach, Angreifer setzen schließlich alles daran, unentdeckt zu bleiben. Mit Phishing-Mails werden User beispielsweise dazu gebracht, bösartige Programme unbemerkt zu installieren. Sobald der Angreifer die Schadsoftware auf dem Rechner des Opfers ausführen kann, versteckt er sich und sammelt im Hintergrund für ihn relevante Infos. Nur bei Ransomware läuft es anders: Hier verschlüsseln Angreifer Dateien auf dem Computer des Opfers, um ein Lösegeld zu erpressen. Dort fällt der Angriff natürlich auf.

Sasse: Hier ist es besonders wichtig, dass Mitarbeiter keine Angst davor haben, dem Unternehmen zu melden, dass sie ein Problem haben oder einen Fehler gemacht haben. Denn je schneller ein Problem gemeldet wird, desto besser können die Sicherheitsexperten darauf reagieren.

Was sollten Firmen und Organisationen jetzt leisten, um sich zu schützen?
Holz: Überlegungen zu IT-Sicherheit und Datenschutz dürfen vor Veränderungen im Betriebsablauf nicht vergessen werden, um potenzielle Angriffe gegen Firmennetze zu vermeiden sowie die Möglichkeit von zusätzlichen Angriffen zu minimieren. Darüber hinaus bietet die aktuelle Situation aber auch die Chance, neue Methoden zur Zusammenarbeit zu testen und das Arbeiten im Homeoffice zu ermöglichen. Viele Arbeitsvorgänge und Abstimmungsmechanismen werden in Zukunft digitalisiert.

Sasse: Die Mitarbeiter sollten durch regelmäßige Kommunikation und gezielte, relevante Schulungsmaßnahmen einbezogen werden. Sicherheit und Datenschutz sind dabei Bausteine für die digitale Fitness jedes einzelnen Mitarbeiters und des Unternehmens. Gerade im deutschsprachigen Raum gibt es dafür einige Anbieter erprobter IT-Sicherheitskompetenz-Konzepte und Schulungsangebote.

Veröffentlicht

Mittwoch
25. März 2020
09:55 Uhr

Von

Christina Scholten

Teilen