Immer mehr Cyberangriffe, wie die auf die Infrastruktur des Deutschen Bundestags, kommen durch sogenanntes Spear Phishing zustande. Mittels geschickter Social-Engineering-Taktiken versuchen Kriminelle den Empfänger einer gefälschten E-Mail zu einer Aktion, wie etwa das Öffnen eines Dateianhangs oder den Besuch einer präparierten Webseite, zu bewegen. botfrei.de, ein Service von eco–Verband der deutschen Internetwirtschaft, warnt: Die E-Mails sind meist sehr gut gefälscht und im Höchstmaß personalisiert. Es hat also zuvor ein Monitoring des Opfers über die Recherche von öffentlich zugänglichen Informationen – wie Profile auf Social-Media-Plattformen oder die eigene Unternehmenswebseite – stattgefunden. Für Spear Phishing tarnt sich der Absender einer vermeintlich authentischen E-Mail oft auch als Vorgesetzter, Mitarbeiter oder Bekannter eines Empfängers.
Das Ziel einer solchen Attacke ist es, den internen Rechner des Opfers mit einer Schadsoftware zu infizieren. Spear Phishing ist häufig Teil eines gezielten, komplexen und nachhaltigen Angriffsversuchs auf Unternehmen (Advanced Persistent Threat, APT). Damit können sich Angreifer Zugang zum internen Rechnernetz eines Unternehmens oder einer Behörde verschaffen, um dort an vertrauliche Informationen zu gelangen.
Spear Phishing macht Unternehmen und Behörden „offen wie ein Scheunentor“
Markus Schaffrin, Geschäftsbereichsleiter Mitgliederservices und Sicherheitsexperte im eco-Verband weiß: „Spear Phishing macht Unternehmen und Behörden für Datendiebstahl offen wie ein Scheunentor. Generell kann man sagen, dass die digitale Bedrohung für Unternehmen stark zugenommen hat: Erstens durch die Anzahl und zweitens aufgrund der Qualität der Angriffe. Je zielgerichteter und personalisierter sie ausgeübt werden, desto erfolgreicher.“
Spionage ist nicht nur für Großunternehmen oder staatliche Institutionen ein wichtiges Thema: Die Bedrohungslage gilt für große wie für kleine Unternehmen gleichermaßen: Entscheidend ist nicht die Firmengröße oder -struktur, sondern ob ein entsprechendes Sicherheits-Know-how der Mitarbeiter vorhanden ist.
Botfrei.de gibt vier wertvolle Tipps, um nicht in die Spear-Phishing-Falle zu geraten
Mitarbeiter sollten regelmäßig zum Thema "Cyberbedrohungen" und dem sicheren Umgang mit E-Mails und sozialen Netzwerken geschult werden
Das Schulungsangebot sollte an die aktuellen Bedrohungsszenarien angepasst sein. Einen guten Überblick über aktuelle Angriffe und Tipps zur Prävention stellt der Blog von botfrei.de bereit
Darüber hinaus sollten Systeme immer aktuell gehalten und in regelmäßigen Abständen auf Schadsoftware überprüft werden. Entsprechende Tools gibt es ebenfalls kostenlos auf botfrei.de
Auch Webseiten sollten regelmäßig auf Veränderungen kontrolliert werden: Mit der Initiative-S stellt der eco-Verband einen Monitoring-Service zur Verfügung, der nach der Eintragung täglich Unternehmenswebseiten überprüft