Rund eine Milliarde Dollar kostet Cyberkriminalität Firmen jährlich. Ein häufig genutztes Tool der Hacker sind Phishing-Mails, deren Urheber sich während der Pandemie weiter professionalisiert haben. Die Beratungsfirma Certitude hat sich auf Cyberkriminalität spezialisiert und betont in Form von Managing-Partner Marc Nimmerrichter, wie einfach es Hacker heute haben, an wichtige Firmendaten zu gelangen.

Schütze dein Passwort

Erst im April warnte Willhaben seine Kunden vor betrügerischen SMS und Whatsapp-Nachrichten. Im Mai wurden 150 Organisationen weltweit von der Hackergruppe Nobellum angegriffen. Trotz regelmäßiger Schlagzeilen zu dem Thema ist man sich oft nicht darüber im Klaren, wie einfach es Hacker häufig haben, sich in Firmennetzwerke einzuschleichen. In einer Präsentation zeigt Marc Nimmerrichter dem STANDARD, wie schnell Hacker Netzwerke infiltrieren und dann nach Herzenslust Daten verschlüsseln oder stehlen können.

"Ein typisches Szenario heute ist Ransomware, also Erpressungstrojaner. Diese Programme finden meist via Phishing-Mail ihren Weg in das Netzwerk des Opfers", beschreibt Nimmerrichter einen üblichen Hergang. Die Mails, die mittlerweile nicht mehr vor Rechtschreibfehlern strotzen und oft auch eine seriös wirkende Absenderadresse bieten, fordern Firmenmitarbeiter auf, angehängte Dokumente zu öffnen. Der folgenden Aufforderung, sich im Firmennetzwerk einzuloggen, geht der Mitarbeiter oftmals nach. Beim ersten Versuch erhält er eine Fehlermeldung, die eingegebenen Daten bekommt der Hacker aber direkt übermittelt. Beim zweiten Versuch ist der Mitarbeiter bereits auf dem richtigen Portal, kann sich einloggen und bemerkt den Angriff somit nicht.

Ab diesem Zeitpunkt hat der Hacker Zugriff auf alles, was der Mitarbeiter gerade tut, und sieht auch alle abgelegten Dokumente. So können Files ausgetauscht und mit Schadsoftware ersetzt werden. Mit dem Tool "Post Exploitation Framework" kann der Hacker sich Informationen einblenden lassen, etwa auf welchem Server er sich gerade befindet und welches Betriebssystem genutzt wird; es können Screenshots gemacht und die Aktualität der genutzten Softwareversionen geprüft werden. Mit einem Keylogger kann der Hacker sogar alle Tastenanschläge des Opfers aufzeichnen. Chats, Passwörter und Ähnliches sind damit nicht mehr sicher.

Weitreichende Folgen

Gefährlich wird es vor allem dann, wenn durch achtlose Mitarbeiter auch Daten von Administratoren auf dem Bildschirm der Hacker auftauchen. Oft erscheinen deren Passwörter in Form eines verschlüsselten NTLM-Hashs, aber auch diese versuchen Hacker in Klarschrift zu übersetzen. Ein zeit- und rechenaufwendiger Prozess für den Angreifer, speziell wenn es sich um ein komplexes Passwort handelt.

Bekommt der Hacker Zugriff auf das Klartext-Passwort des Administrators, kann das weitreichende Folgen haben – wenn etwa Files zu finden sind, in denen weitere Passwörter des Unternehmens gespeichert sind, oder weitere Serverzugänge ermöglicht werden. Sogar Back-up-Daten können laut Nimmerrichter im schlimmsten Fall mitverschlüsselt werden. Bemerkt der Mitarbeiter den Angriff, ist es meist zu spät, und der Hacker zeigt sich bereits in Form einer Lösegeldforderung, die meist noch mit einem Timer versehen ist, um mehr Druck zu erzeugen.

Aktiv schützen

Gute Hacker informieren sich laut Nimmerrichter vorab über das anvisierte Unternehmen: Welche Daten könnten wichtig sein, welche bringen auf dem Markt eventuell Geld? So wird die Phishing-Mail vorbereitet und gezielt an Mitarbeiter verschickt. 14 Tage lang sind Firmen oft damit beschäftigt, den Schaden durch Hacker zu beheben. Lösegeldforderungen bewegen sich meist im sechsstelligen Bereich, bei größeren Firmen sind diese noch höher. Es gilt also, vorab solche Angriffe abzufangen, sonst wird es teuer.

Nimmerrichter betont deshalb, dass Mitarbeiter immer wieder für das Thema sensibilisiert werden müssen – speziell während langer Homeoffice-Phasen, in denen viele Sicherheitsmaßnahmen nicht mehr zu hundert Prozent greifen, da oft private Geräte anstatt der Firmengeräte genutzt werden. Auch solle man sich die in der Mail befindlichen Links ganz genau ansehen. Diese können richtig aussehen, aber wenn man sich via Mouseover anzeigen lässt, wohin der Link führt, dann sind hier meist Buchstaben ausgetauscht, die dadurch auf eine präparierte Seite führen. Deshalb: Bei Verdacht immer ganz genau hinschauen. (aam, 14.7.2021)