Barracuda full logo

Der Sicherheitsblase des Unternehmens entkommen

Themen:
24. Jan.. 2024
|
Asaf Cidon

Ein Großteil der Bemühungen der Sicherheitsbranche und Milliarden von Dollar für Forschung und Entwicklung konzentrieren sich darauf, Angreifer von den Sicherheitsgrenzen des Unternehmens fernzuhalten. Beispielsweise sollen E-Mail-Gateways, Firewalls, Application Firewalls und Endpoint Agents bösartige E-Mails/Pakete/Anfragen/Dateien vom Unternehmensnetzwerk fernhalten und verhindern, dass sie sensible Daten stehlen oder Mitarbeiter des Unternehmens manipulieren.

Dieses Katz-und-Maus-Spiel zwischen IT-Sicherheit und Internetkriminalität hält seit Jahrzehnten an. Im E-Mail-Bereich gab es beispielsweise eine Entwicklung von groß angelegtem Phishing zum gezielteren Spear Phishing, zum Business Email Compromise, bei dem speziell Führungskräfte manipuliert werden, bis hin zu Account-Takeover-Angriffen, bei denen ein vorhandener E-Mail-Account des Unternehmens genutzt wird, um andere Accounts im Netzwerk zu täuschen.

Während dieses Katz-und-Maus-Spiel natürlich wichtig ist und in den kommenden Jahrzehnten weitergehen wird, möchte ich auf die wachsende Bedrohung durch Angriffe hinweisen, die einfach die „Sicherheitsblase“ der Unternehmen überlisten und alle ausgeklügelten Verteidigungsmaßnahmen, die um die Unternehmensinfrastruktur herum aufgebaut wurden, umgehen.

Neue Angriffe, die die Blase umgehen

Ich bin mir sicher, dass jeder von Ihnen genau wie ich schon einmal eine SMS oder WhatsApp-Nachricht wie diese erhalten hat:

 

Diese Art von Angriffen ist auf dem Vormarsch. Die Taktik ist zwar nicht neu (sie ähnelt Millionen von Phishing-E-Mails, die Barracuda jeden Tag verzeichnet), aber der Angriffsvektor ist neu: Die Angreifer zielen jetzt auf die privaten Telefone der Benutzer ab.

Eine viel ausgefeiltere Version dieses Angriffsvektors funktioniert wie folgt: Ein Mitarbeiter erhält eine Phishing-E-Mail, die anstelle eines Links einen QR-Code enthält:

 

 

Vielleicht fragen Sie sich: Warum sollte sich der Angreifer die Mühe machen, den Link als QR-Code zu verschlüsseln? Erstens ist es weniger wahrscheinlich, dass ein E-Mail-Sicherheitssystem sich die Mühe macht, den QR-Code zu entschlüsseln und den Link zu überprüfen. Zweitens, und das ist noch viel wichtiger, wird der QR-Code gescannt und der Link wird auf dem persönlichen Telefon des Benutzers und nicht auf seinem Laptop geöffnet.

Warum zielen die Angreifer auf persönliche Telefone?

Sie werden sich fragen, warum es die Angreifer so sehr auf persönliche Telefone abgesehen haben. Nun, die Chancen stehen gut, dass es kein ausgeklügeltes (oder auch nur grundlegendes) Sicherheitssystem des Unternehmens gibt, das eingehende Nachrichten auf einem Telefon überwacht. Wenn Sie auf einen Link in einer dieser Nachrichten klicken, ist es sehr wahrscheinlich, dass kein System die Phishing-Seite blockiert, da Ihr Telefon wahrscheinlich nicht Teil des Unternehmensnetzwerks ist. Und schließlich, wenn Malware auf Ihrem Telefon installiert ist, haben die meisten von Ihnen keinen Enterprise-Endgeräte-Schutz, der Ihr persönliches Gerät schützt.

Natürlich ist dieses Problem nicht neu. Leserinnen und Leser, die schon etwas älter sind, werden sich daran erinnern, dass es vor etwa zehn Jahren in der Sicherheitsbranche einen großen Trend zum Schutz von „BYOD“ (Bring Your Own Device) gab, also von Telefonen, Laptops und Tablets, die auf Unternehmensdaten zugreifen. Und damals gab es eine ganze Reihe von Unternehmen, die einen Schutz für diese Geräte anboten, das sogenannte MDM (Mobile Device Management). Einige dieser Angebote gibt es auch heute noch.

Natürlich verwalten und schützen viele Unternehmen weiterhin bestimmte Endgeräte, insbesondere Laptops. Aber bei Telefonen ist für die überwiegende Mehrheit der Unternehmen dieser Zug abgefahren. Für IT- und Sicherheitsorganisationen ist es ein sehr hoher Aufwand, alle Telefone der Mitarbeiterinnen und Mitarbeiter aufzuspüren und zu schützen. Selbst mit einem Agenten auf dem Telefon wäre es eine Herkulesaufgabe, jede eingehende Nachricht per SMS, iMessage, WhatsApp, Messenger, Instagram usw. auf potenzielles Phishing zu überwachen.

Damit sind wir an einem Punkt angelangt, an dem Smartphones mehr oder weniger völlig außerhalb der Sicherheitsblase von Unternehmen liegen und Angreifer zunehmend Unternehmensanwender auf ihren völlig ungeschützten persönlichen Geräten ins Visier nehmen. Haben sie sich erst einmal Zugang zu den persönlichen Geräten verschafft, können sie diese nutzen, um von dort aus auf dieselben wertvollen Unternehmenssysteme (z. B. E-Mail, Dateisystem, SaaS-Anwendungen) zuzugreifen.

Was können wir dagegen tun?

Dies wirft die Frage auf, was wir gemeinsam gegen diese Angriffe tun können. Das ist eine große, offene Herausforderung für die Security Community. Ich glaube nicht, dass die Wiedereinführung von MDM funktionieren wird, da es sehr kostspielig ist, alle mobilen Geräte der Mitarbeiter zu verfolgen. Einige Unternehmen verfügen über die nötigen Ressourcen, die meisten jedoch nicht. 

Eine Lösung, die heute zur Verfügung steht und die jedes Unternehmen umsetzen können sollte, ist natürlich die Schulung zur Stärkung des Risikobewusstseins. Ein umfassendes Schulungsprogramm zur Stärkung des Risikobewusstseins sollte nicht nur den „klassischen“ Angriffsvektor der Unternehmens-E-Mails abdecken, sondern auch andere wie SMS-Phishing und sonstige Arten von Betrug. Ein weiteres wichtiges Tool ist Zero Trust, mit dem Unternehmen eine Zugriffskontrolle und Überwachung für potenziell gefährdete persönliche Geräte einrichten können, wenn diese versuchen, auf das Unternehmensnetzwerk zuzugreifen.

Diese Lösungen sind zwar sehr wichtig, reichen aber allein nicht aus. Wir brauchen automatische Tools, die Phishing auf persönlichen Geräten blockieren können, ähnlich wie es hochentwickelte E-Mail-Schutzlösungen für Unternehmen tun. Wie diese Nachrichten abgefangen und überwacht werden können, ohne dass ein invasiver Agent auf dem Gerät installiert wird, ist noch eine offene Herausforderung.

 

 

Asaf Cidon

Asaf Cidon ist Professor für Elektrotechnik und Informatik an der Columbia University und Berater bei Barracuda. Davor war er als Vice President für Content Security Services bei Barracuda Networks tätig. In dieser Funktion war er einer der Leiter von Barracuda Sentinel, der KI-Lösung des Unternehmens für die Echtzeit-Abwehr von Spear-Phishing und Cyberbetrug. Asaf war zuvor CEO und Mitbegründer von Sookasa, einem Start-up-Unternehmen für Cloud-Speicher-Sicherheit, das von Barracuda übernommen wurde. Davor promovierte er in Stanford, wo sich seine Forschung auf die Zuverlässigkeit und Leistung von Cloud-Speichern konzentrierte. Er arbeitete auch im Web Search Engineering Team von Google. Asaf hat einen Doktortitel und einen MS in Elektrotechnik von der Stanford University und einen BSc in Technischer Informatik vom Technion.

Vernetzen Sie sich mit Asaf auf LinkedIn.

Verwandte Beiträge:
Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE: Vorteile für einen frühen Anwender
BarracudaONE: Vorteile für einen frühen Anwender
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.