Spoofing, Phishing, Pharming: Wenn Cyber-Kriminelle ihre Identität verschleiern
Der Begriff Spoofing umfasst alle Täuschungsmethoden, die in Computernetzwerken stattfinden. Cyber-Kriminelle wenden diese Methoden an, um ihre eigene Identität zu verschleiern und so personenbezogene Daten, aber auch sensible Geschäftsinformationen zu stehlen und für ihre Zwecke zu missbrauchen.
Der Spoofer kann
- einem Rechner vorgaukeln, dass er Datenpakete von einem vertrauenswürdigen Rechner bekommt. So kann sich der Datendieb zwischen Absender und Empfänger dieser Daten schalten und diese manipulieren, ohne dass er bemerkt wird (IP-Spoofing);
- die Parameter so verändern, dass der Mitarbeiter glaubt, die Seite vor sich zu haben, die er eigentlich aufrufen wollte. Stattdessen bewegt er sich auf einer identisch aussehenden, jedoch vom Angreifer angelegten Homepage. Die Daten, die er hier eingibt, spielt er direkt dem Datendieb in die Hände (Content Spoofing);
- den Domainnamen und die zugehörige IP-Adresse so verfälschen, dass er den Datenverkehr unbemerkt auf einen anderen Computer umleitet, um weitere Angriffe zu starten (DNS-Spoofing oder Cache Poisoning);
- ARP-Tabellen in einem Netzwerkprotokoll verändern, manipulieren oder unterbinden. Besonders die IP-Telefonie rückt hier in den Vordergrund (ARP-Spoofing);
- unbedarften Mitarbeitern vortäuschen, dass eine E-Mail direkt vom Vorgesetzten etc. kommt. Wenn z. B. der Finanzmitarbeiter einer Firma darauf reinfällt und eine größere Geldsumme auf das Konto des Kriminellen überweist, ist oft ein Schaden in Millionenhöhe entstanden (Mail-Spoofing).
Während die Angreifer es früher hauptsächlich darauf abgesehen hatten, IP-Pakete mit gefälschten Quell-IP-Adressen zu versenden, findet Spoofing in den vergangenen Jahren vermehrt bei Webanwendungen statt und konzentriert sich darauf, Authentifizierungs- und Identifikationsverfahren zu umgehen. Bei diesen Methoden spricht man von Phishing oder Pharming.
Phishing / Pharming
Bei der Anwendung von Phishing und Pharming wollen Cyber-Kriminelle fremde Zugangsdaten abgreifen. Beim Phishing verschicken sie Fake-Mails, die dem Empfänger vorgaukeln, von einer dem Empfänger bekannten Adresse zu kommen. So könnte die Sekretärin aufgefordert werden, z. B. die Firmendaten bei einer Bank abzugleichen oder zu korrigieren. In dem Moment, in dem sich die Mitarbeiterin über den Link in der E-Mail mit den Zugangsdaten zum Firmenkonto anmeldet, gelangen die Daten in die Hände der Datendiebe.
Es kommt aber auch vor, dass die Angreifer einen Trojaner einsetzen und so die Verbindung zwischen ihrem Opfer und bspw. dem Kreditinstitut hacken. Dem Datenmissbrauch steht dann nichts mehr im Weg.
Unterschied zwischen Phishing und Pharming
Während beim Phishing Fake-E-Mails verschickt werden, um das Opfer zu locken, setzen Cyber-Kriminelle beim Pharming auf Malware (Schadsoftware).
Social Engineering: Datendiebe haben es auf die Schwachstelle Mensch abgesehen
Datenmissbrauch wird immer öfter durch Social Engineering ermöglicht. Dabei setzen die Angreifer auf die Hilfsbereitschaft von Mitarbeitern oder nutzen deren Vertrauen, die Eitelkeit oder Gier des Opfers aus. Diese Cyber-Kriminellen arbeiten wie „Trickbetrüger“. Dabei müssen sie nicht direkt auf den Betroffenen zugehen, sie können auch einfach lauschen.
Social Engineer wenden folgende Tricks an, um Daten zu stehlen:
- Sie gewinnen das Vertrauen des autorisierten Nutzers und bringen ihn so dazu, freiwillig Daten herauszugeben.
- Sie beschreiben am Telefon ein dringendes Problem, das nur behoben werden kann, wenn ein Zugriff auf das Netzwerk ermöglicht wird.
- Ein Mittel ist zudem, dem Mitarbeiter vorzutäuschen, dass die Anweisung zur Datenübermittlung direkt vom obersten Vorgesetzten kommt und sofort erledigt werden muss. Und laut einer Befragung des BSI von Juni 2018 würde jeder sechste Mitarbeiter auf eine solche gefälschte E-Mail der Chefetage antworten und damit sensible Unternehmensinformationen preisgeben.
- Die wohl inzwischen bekannteste Masche ist es, einen Mitarbeiter dazu zu bewegen, in einer E-Mail einen mit Viren verseuchten Anhang zu öffnen und sich so in das System zu hacken.
- Der Angreifer kann aber auch dem Mitarbeiter über die Schulter schauen, wenn sich dieser z. B. in der Bahn über das Firmenlaptop in das System einloggt, und sich die Daten merken.
- Ein Einfaches für die Kriminellen ist es zudem, die Müll-Container nach verwertbaren Informationen zu durchsuchen, die achtlos entsorgt wurden.
- Mitarbeiter, die ein für sie bedeutungsvolles Passwort wie den eigenen Geburtstag oder den Namen des Ehepartners nutzen, begünstigen Datenmissbrauch ebenfalls. Der Cyber-Kriminelle kann die Privatsphäre des Mitarbeiters (z. B. aufgrund seiner Angaben bei Facebook etc.) durchleuchten und auf diese Art und Weise oft das Passwort erraten.
Während die meisten Einfallstore für Datendiebe mit sicherheitstechnischen Vorkehrungen geschlossen werden können, sehen Sicherheitsexperten im Social Engineering das größte Sicherheitsrisiko. Das Problem ist, dass die meisten Mitarbeiter sich gar nicht bewusst sind, wie wichtig die Daten sind, mit denen sie täglich agieren. Für IT-ferne Personen ist es zudem sehr schwierig, solche Risiken überhaupt zu erkennen, was den Datenmissbrauch manchmal zu leicht ermöglicht.
Um dieses Bewusstsein zu steigern und die Mitarbeiter für das Thema Datenschutz zu sensibilisieren, müssen Unternehmen ihr Augenmerk verstärkt auf die Schulung ihrer Mitarbeiter legen. Das „Mitarbeiter-Merkblatt Datenschutz und IT-Sicherheit“ erleichtert ihnen diese Aufgabe.
Datendiebstahl und Datenmissbrauch durch Mitarbeiter
Die Schulung der Mitarbeiter wird natürlich nichts bringen, wenn es der Beschäftigte darauf anlegt, Geschäftsdaten zu stehlen. Auch wenn ein Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer die Basis für eine gute Zusammenarbeit ist, sollten Unternehmen vor dem Angriff von innen nicht die Augen verschließen. Denn selbst wenn der Mitarbeiter vielleicht nicht in der Lage ist, mit den geklauten Daten Datenmissbrauch zu betreiben, kann er die Daten an Personen weitergeben, die das können.
Der Arbeitgeber sollte also prüfen, ob
- Mitarbeiter unbemerkt sensible Daten per E-Mail oder USB-Stick aus der Firma einfach heraustragen können.
- die Kundenkartei einfach von jedem kopiert werden kann,
- E-Mails regelmäßig gesichert werden,
- alle WLAN-Anschlüsse geblockt werden und
- Firmenlaptops ausreichend geschützt sind.
Wird arglistigen Mitarbeitern der Datendiebstahl allzu leicht ermöglicht, liegt das meist an bestimmten Verhaltensweisen in der IT. Damit gemeint sind z. B. unklare Zugriffsstrukturen auf sensible Daten, der vermehrte Einsatz mobiler Geräte sowie der legere Umgang mit Passwörtern. Arbeitgeber können jedoch aufatmen: Die moderne IT bietet mehrere Möglichkeiten, um geheime Geschäftsdaten vor den Mitarbeitern zu schützen. Sie müssen nur zum Einsatz kommen. (juse)
Quellen: Ryte GmbH, Tech Target Germany GmbH, Handelsblatt