Detlev Riecke gibt Unternehmen Empfehlungen, um Chance eines erfolgreichen KI-gestützten Deepfake-Angriffs erheblich zu mindern

[datensicherheit.de, 29.08.2024] Weltweit ist laut Medienberichten KI-gestützter Identitätsbetrug auf dem Vormarsch – so auch in der DACH-Region. „Allein in Österreich haben Deepfake-Angriffe, laut einer aktuellen KPMG-Austria-Erhebung, in diesem Jahr um satte 119 Prozent zugelegt“, berichtet Detlev Riecke, „Regional Vice President DACH“ bei Ping Identity, in seiner aktuellen Stellungnahme. Da sei es kein Wunder, dass sich in der kürzlich erschienen Umfrage, an der auch zahlreiche deutsche IT-Entscheider beteiligt gewesen seien, mehr als die Hälfte „sehr besorgt“ über KI-gestützte Bedrohungsszenarien gezeigt habe. Riecke führt aus: „Vor allem in Zusammenhang mit Deepfake-Angriffen sehen viele IT-Entscheider nach wie vor enorme Sicherheitslücken klaffen.“ Annähernd die Hälfte vermutet demnach, dass Deepfake-Angriffe im eigenen Unternehmen nicht rechtzeitig erkannt werden können – auch und gerade dann nicht, wenn die Angreifer Stimme und Bild des eigenen CEOs zum Einsatz bringen.

Foto: Ping Identity

Detlev Riecke: Im Zusammenhang mit Deepfake-Angriffen sehen viele IT-Entscheider nach wie vor enorme Sicherheitslücken klaffen!

Ferrari hat Deepfake-Angriff öffentlich gemacht

Dass solche Angriffe mittlerweile längst keine Ausnahmeerscheinung mehr darstellten, habe vor Kurzem der italienische Autohersteller Ferrari demonstriert, welcher einen solchen Deepfake-Angriff öffentlich gemacht habe: „Ein Manager des Unternehmens hatte per Mail mehrere Nachrichten seines Vorstandsvorsitzenden erhalten. In diesen war er aufgefordert worden, im Rahmen einer angeblichen Konzernübernahme eine Verschwiegenheitserklärung zu unterzeichnen.“

Als er nicht reagiert habe, sei er per Telefonanruf kontaktiert worden – angeblich vom Vorsitzenden selbst. Die Stimme am Telefon sei eine perfekte Imitation gewesen. „Sogar der markante süditalienische Akzent des Vorstandsvorsitzenden passte genau.“ Zum Glück indes für Ferrari habe der Manager aber Verdacht geschöpft und dem Betrüger eine persönliche Frage gestellt, welche nur der echte Vorsitzende hätte beantworten können. Der Angreifer habe sofort aufgelegt und so diesen Deepfake-Angriff abgebrochen.

Deepfake-Angriffe längst in den Alltag der Unternehmen vorgedrungen

Auch wenn der Deepfake-Angriff bei Ferrari letztlich erfolglos geblieben sei, so zeige er doch: „Deepfake-Angriffe sind längst in den Alltag der Unternehmen vorgedrungen!“ Mit einer rasanten Zunahme ihrer Quantität und Qualität sei in den kommenden Jahren fest zu rechnen. Die raschen Fortschritte im Bereich KI-gestützter Technologien, die Möglichkeit der Automatisierung der Abläufe und die wachsende Menge im Netz frei zur Verfügung stehender personenbezogener und personenbeziehbarer Informationen machten solche Angriffe für Cyber-Kriminelle immer unkomplizierter und billiger. Unternehmen müssten sich deshalb besser schützen. Bereits drei präventive Maßnahmen könnten die Chance eines erfolgreichen KI-gestützten Deepfake-Angriffs erheblich mindern:

1. Maßnahme: Die Führungsetage muss klare Regeln für die interne Kommunikation aufstellen!
Solche müssen helfen, die Kommunikationskanäle sämtlicher Mitarbeiter – auch und gerade die des „CEO“ – abzusichern. „Diese müssen klar formuliert und kontinuierlich kommuniziert und angewandt werden. Hierzu ein Beispiel: Der ,CEO’ gibt bekannt, dass er unter keinen Umständen jemals die Bitte an seine Mitarbeiter herantragen wird, Geschenkkarten – eine beliebte Phishing-Beute von Cyber-Kriminellen – für ihn zu erwerben und an eine Drittpartei weiterzuleiten.“

2. Maßnahme: Für das Stellen interner Anfragen muss im Unternehmen eine einheitliche Struktur geschaffen werden!
Diese Struktur muss gewährleisten, dass Anfragen stets über mehrere Kommunikationskanäle gleichzeitig geleitet werden – eingehende Anfragen können sich dann gegenseitig verifizieren. „Auch hierzu ein Beispiel: Der ,CEO’ versendet eine schriftliche Anweisung nicht allein per Mail, sondern gleichzeitig auch über eine am Arbeitsplatz verwendete Instant-Messaging-Plattform. Erhält der Mitarbeiter nun die Nachricht nur über einen der beiden Kanäle, ignoriert er die Anweisung, fragt über einen dritten Kanal beim CEO nach und kontaktiert im Zweifel das IT-Sicherheitsteam.“ Prozesse wie dieser sollten über die gesamte Organisation hinweg kommuniziert, implementiert und angewandt werden. Wird dann einmal ein Betrugsversuch aufgedeckt, ist es wichtig, diesen innerhalb des Betriebs öffentlich zu machen. So lernen sämtliche Mitarbeiter unterschiedliche Bedrohungen am lebenden Beispiel kennen, können ein Gefühl für die eigene Risikolage sowie ein gesundes Sicherheitsbewusstsein entwickeln.

3. Maßnahme: Unternehmen müssen regelmäßig Schulungen durchführen, um Mitarbeiter über Deepfakes und andere Arten von Identitätsbetrug, wie Phishing, „Spear Phishing“ und „Social Engineering“, auf dem Laufenden zu halten!
Einige Mitarbeiter wissen immer noch nicht, dass mittlerweile nicht nur Briefe und E-Mails, sondern auch Sprach- und Videoanrufe von Cyber-Kriminellen manipuliert und gefälscht werden können. „So hat laut einer aktuellen Bitkom-Studie knapp jeder dritte Deutsche noch nie etwas von Deepfakes gehört. Das muss sich dringend ändern!“

Quantität und Qualität von Deepfake-Angriffen – mittels KI – werden weiter zunehmen

Denn in den kommenden Jahren würden Quantität und Qualität von Deepfake-Angriffen – mittels KI – weiter zunehmen. Sie effektiv aufzuspüren, werde für den Einzelnen immer schwieriger werden. Laut einer Europol-Untersuchung vom vorvergangenen Jahr – 2023 – dürften bereits 2026 rund 90 Prozent aller Online-Inhalte synthetischen Ursprungs sein. „In Sprach- und Videoanrufen die eigenen Kollegen und Mitarbeiter von Betrügern zu unterscheiden, dürfte dann eine immer größere Herausforderung darstellen.“

Unternehmen werden gegensteuern müssen: Mit der neuesten Technik im Bereich des „Identity and Access-Management“ sowie mit der Implementierung sichererer Kommunikationsstrukturen. Riecke abschließend: „Nur so wird es gelingen, die wachsende Gefahr von Deepfake-Angriffen und anderen KI-gestützten Identitätsbetrugsversuchen in den Griff zu bekommen.“

Weitere Informationen zum Thema:

Frankfurter Allgemeine, Maximilian Sachse, 30.07.2024
Wie man KI-Betrüger enttarnt: Ferrari entgeht „Deepfake“-Masche

bitkom, 17.05.2024
Jeder und jede Dritte hat noch nie von „Deepfakes“ gehört

KPMG, 24.04.2024
KPMG Cybersecurity-Studie zeigt: Keine Entspannung für heimische Unternehmen in Sicht / Cybersecurity in Österreich 2024: Jeder sechste Angriff ist erfolgreich

PingIdentity, 2024
2024 IT Pro Survey Fighting The Next Major Digital Threat: AI and Identity Fraud Protection Take Priority

EUROPOL, Europol Innovation Lab, 2022
Facing reality? Law enforcement and the challenge of deepfakes

datensicherheit.de, 21.05.2024
Deepfakes: Paragraf zum Persönlichkeitsschutz soll im Strafgesetzbuch Aufnahme finden / Noch können Deepfakes erkannt werden – aber Optimierung schreitet voran

datensicherheit.de, 18.05.2024
Cyber-Angriff mittels Deepfake-Phishing: Mitarbeiter sensibilisieren, CEO-Imitationen zu erkennen! / Anrufe und Textnachrichten sowie mindestens eine Sprachnachricht mit einer per Deepfake-Technologie gefälschten Stimme des CEO

datensicherheit.de, 20.02.2024
Deepfakes: Vielfältige Betrugsversuche / Es gibt aber auch konstruktive Anwendungen für Deepfake-Prinzipien

datensicherheit.de, 19.09.2023
Gefahren für Politik und Demokratie: Optimierung von Deepfakes mittels KI / Deepfake-Wahlwerbespots könnten mit computergenerierten Bildern von Kandidaten erstellt werden

datensicherheit.de, 22.06.2022
Deepfakes bald Standardrepertoire Cyber-Krimineller / Vor allem Soziale Plattformen als neue Spielwiese zur Verbreitung von Deepfake-Material genutzt

Aktuelle Kaspersky-Studie weist auf dringenden Nachholbedarf der Führungsebene hinsichtlich des Managements der Cyber-Sicherheit hin

[datensicherheit.de, 22.06.2024] Erkenntnisse auch einer aktuellen Kaspersky-Studie weisen auf einen dringenden Nachholbedarf der Führungsebene hinsichtlich des Managements der Cyber-Sicherheit hin: Demnach weiß fast die Hälfte der „CEOs“ nicht, was sich hinter den Begriffen „Malware“, „Phishing“ und „Ransomware“ verbirgt. „Unternehmensleiter, Führungskräfte und IT-Entscheidungsträger weltweit scheinen nicht zu wissen, wie sie ihr Unternehmen und somit ihr digitales Vermögen wie Daten und Informationen vor Cyber-Angriffen schützen können.“ Neben dieser offensichtlichen Wissenslücke verschärften der aktuelle Fachkräftemangel in der IT-Sicherheitsbranche, Budget-Beschränkungen sowie ungeschulte Mitarbeiter das Cyber-Risiko für Unternehmen und Organisationen.

Abbildung: kaspersky

Aktueller Kaspersky-Report 2024: „Enterprise cybersecurity and increasing threats in the era of AI: Do business leaders know what they are doing?“

Studien-Ergebnis stellt grundlegend Kompetenz Verantwortlicher im Bereich Cyber-Sicherheit in Frage

„Weiß die Führungsriege, was sie tut?“ – dieser Frage sei die Untersuchung für die Kaspersky-Studie „Enterprise cybersecurity and increasing threats in the era of AI: Do business leaders know what they are doing?“ nachgegangen. Das Ergebnis stelle grundlegend die Kompetenz von Verantwortlichen im Bereich Cyber-Sicherheit in Frage.

„Denn: 48 Prozent der ,CEOs’ sehen den Fachjargon als das größte Hindernis für das Verständnis und die Bewältigung von Cyber-Sicherheitsfragen.“ Zudem gäben 47 Prozent der „CEOs“ an, dass Budget-Beschränkungen eine große Schwierigkeit darstellten. Darüber hinaus hätten 43 Prozent der Befragten „unzureichende Schulungen“ als ein Problem für ihre IT-Sicherheit angesehen.

Schwaches Cyber-Schutzniveau – Personalmangel und ungeschulte Mitarbeiter als Gründe genannt

Neben der eklatanten Wissenslücke bezüglich elementarer Begriffe von Cyber-Bedrohungen wirke sich der Fachkräftemangel in der IT-Branche negativ auf das Schutzniveau der Unternehmen aus – „was der Führungsriege auch bewusst ist“. Immerhin betrachteten 75 Prozent der Unternehmen den „Fachkräftemangel“ als ernsthaftes langfristiges Problem für ihre Organisation. Zudem beeinträchtigten ungeschulte Mitarbeiter auf allen Ebenen die Cyber-Sicherheit – so habe die Kaspersky-Befragung ergeben, dass mehr als zehn Prozent der Cyber-Sicherheitsvorfälle auf Mitarbeiter zurückzuführen seien.

Von diesen Vorfällen entfielen

• 16 Prozent auf normale Mitarbeiter,
• 15 Prozent auf IT-Mitarbeiter
• und 14 Prozent sogar auf IT-Führungskräfte.

Führungsebene sollte raue Wirklichkeit der Cyber-Gefahren erkennen und adressieren

Hierbei sei zu bedenken, dass Mitarbeiterfehler aus Versehen oder bewusst entstehen könnten. „So machten vorsätzliche Verstöße von Mitarbeitern gegen Informationssicherheitsrichtlinien in den vergangenen zwei Jahren mehr als ein Viertel (26%) der von Mitarbeitern verursachten Vorfälle aus.“ Waldemar Bergstreiser, „General Manager Central Europe“ bei Kaspersky, kommentiert: „Im heutigen Digitalen Zeitalter, in dem Daten von zentraler Bedeutung sind, muss die Führungsebene die raue Wirklichkeit der Cyber-Gefahren erkennen und adressieren!“

Bergstreisers dringende Empfehlung: „Sie müssen in die Aus- und Weiterbildung von Mitarbeitern investieren, moderne Bedrohungsdienste nutzen, eine Kultur der Cyber-Resilienz fördern und die richtigen Schutztechnologien implementieren, damit sie ihre wertvollen Assets schützen können!“ Nur durch einen mehrschichtigen Ansatz könne ein umfassender Schutz gelingen – und das schließe alles Mitarbeiter ein: Angefangen bei der Führungsriege.

Kaspersky-Empfehlungen für mehr Cyber-Sicherheit in Unternehmen

Um das Cyber-Schutzniveau von Unternehmen zu verbessern, seien explizit Schulungen für Führungskräfte und IT-Sicherheitsteams notwendig. Wissenslücken bei Entscheidungsträgern und ein Fachkräftemangel unterstrichen jedoch zudem den Bedarf an automatisierten Cyber-Sicherheitslösungen (wie z.B. „Kaspersky Next“), welche fortschrittlichen Funktionen zur Echtzeiterkennung und Reaktion auf Bedrohungen böten und unterschiedlichen Geschäftsanforderungen gerecht würden.

In Weiterbildung investieren!
Schulungen und Cyber-Sicherheitsinitiativen für alle Mitarbeiterebenen anbieten, Security-Awareness-Trainings implementieren, um spezifische Sicherheitsanforderungen zu adressieren und das Risiko für interne Cyber-Sicherheitsvorfälle zu reduzieren.

Auf dem neuesten Stand halten und informieren!
In Vorbereitung auf aktuelle und zukünftige Regularien auf nationaler wie europäischer Ebene – zum Beispiel WP.29 (UN-Regelungen für den Fahrzeugbau), NIS-2 sowie „Cyber Resilience Act“, das Lieferketten-Gesetz und der „AI Act“ der EU – alle Mitarbeiter, einschließlich IT- und InfoSec-Experten, regelmäßig über die Cyber-Sicherheitsimplikationen der Gesetze informieren.

Interaktive Simulatoren einsetzen!
Hiermit könnten das Fachwissen und die Entscheidungsfähigkeit einzelner Personen in kritischen Situationen bewertet werden. Zusätzlich könnten interaktive Lernspiele die Beobachtung von und Reaktion auf Cyber-Attacken simulieren.

Kultur der Cyber-Resilienz integrieren und kultivieren!
Diese befähige die Mitarbeiter, aufkommende Cyber-Bedrohungen effizient zu bewältigen.

Threat-Intelligence-Dienste einsetzen!
Schulungen von Experten für Cyber-Sicherheit (wie beispielsweise die „Kaspersky Expert-Schulungen“) unterstützten Unternehmen dabei, die Fähigkeiten von Infosec-Mitarbeitern mithilfe modernster EDR-, MDR- und XDR-Lösungen (wie etwa „Kaspersky Next“) zu verbessern.

Weitere Informationen zum Thema:

kaspersky
Report 2024 / Enterprise cybersecurity and increasing threats in the era of AI: Do business leaders know what they are doing?

Anrufe und Textnachrichten sowie mindestens eine Sprachnachricht mit einer per Deepfake-Technologie gefälschten Stimme des CEO

[datensicherheit.de, 18.05.2024] „Vor Kurzem wurde bekannt, dass ein Mitarbeiter eines Entwicklungsunternehmens für Passwortmanager das Ziel eines Deepfake-Phishing-Angriffs wurde, bei dem sich der Angreifer als ,CEO’ des Unternehmens ausgab“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in einer aktuellen Stellungnahme. In diesem Fall sei positiv zu vermelden: „Dank seiner Schulung konnte der Mitarbeiter jedoch die verdächtigen Anzeichen des Angriffs rechtzeitig erkennen und ließ sich nicht täuschen.“ Dieser Vorfall mache indes deutlich, „wie hoch das Risiko solcher Angriffe ist und dass sie Unternehmen jeder Branche betreffen können“. Zugleich zeige er, wie entscheidend die Sensibilisierung der Mitarbeiter für eine wirksame Verteidigung sei.

Foto: KnowBe4

Dr. Martin J. Krämer warnt: Deepfakes nutzen generative KI, um Audio- und/oder visuelle Muster zu kombinieren und so authentisch wirkende Aufnahmen zu erstellen!

Kontaktierter Mitarbeiter erkannte Deepfake-Angriff und machte Meldung

Bei dem besagten Vorfall habe ein Mitarbeiter mehrere Anrufe und Textnachrichten sowie mindestens eine Sprachnachricht erhalten, welche alle durch den Einsatz von Deepfake-Technologie die Stimme des „CEO“ nachgeahmt hätten. Der betreffende Mitarbeiter habe jedoch verdächtige Merkmale des Angriffs bemerkt: „Die Kommunikation fand außerhalb der üblichen Geschäftskanäle statt und es wurde eine künstliche Dringlichkeit vermittelt.“ Daraufhin habe er den Vorfall umgehend dem internen Sicherheitsteam gemeldet.

IT-Sicherheitsexperten warnten zudem vor der zunehmenden Verbreitung von Deepfake-Technologien und betonten, wie wichtig es sei, das Bewusstsein für derartige Angriffe zu schärfen. Dr. Krämer führt hierzu aus: „Deepfakes nutzen generative Künstliche Intelligenz, um Audio- und/oder visuelle Muster zu kombinieren und so authentisch wirkende Aufnahmen zu erstellen.“ Diese Technologie sei nicht nur mit politischer Desinformation in Verbindung gebracht worden, sondern gebe auch im privaten Sektor zunehmend Anlass zur Sorge, da sie leicht zugänglich sei und potenziell für betrügerische Aktivitäten genutzt werden könne.

Deepfake-Phishing-Angriffe haben für Unternehmen erhebliches Schadens-Potenzial

„Einmal erfolgreich durchgeführt, könnten solche Angriffe schwerwiegende Konsequenzen haben“, warnt Dr. Krämer. Von der Offenlegung vertraulicher Informationen bis hin zu finanziellen Verlusten oder sogar dem Zugang zu sensiblen Systemen und Datenbanken könnte ein Deepfake-Phishing-Angriff erhebliche Schäden verursachen. Die Tatsache, dass der Mitarbeiter in diesem Fall die verdächtigen Merkmale des Angriffs erkannt und reagiert habe, zeige, dass eine umfassende Schulung und Sensibilisierung für solche Bedrohungen unerlässlich seien.

„Die potenziellen Auswirkungen von Deepfake-Angriffen auf Unternehmen sind vielfältig und können von Rufschädigung bis hin zu finanziellen Verlusten reichen.“ Daher sei es entscheidend, dass Unternehmen nicht nur auf reaktive Maßnahmen setzten, sondern auch proaktiv handelten, um sich gegen diese Bedrohungen zu wappnen. Dr. Krämer betont: „Das umfasst nicht nur technologische Lösungen, sondern auch eine Sensibilisierung der Mitarbeiter für die Risiken von Deepfakes und die Förderung einer Sicherheitskultur und Wachsamkeit in der gesamten Organisation!“ Letztendlich erfordere der Kampf gegen Deepfake-Bedrohungen eine ganzheitliche Strategie, die sowohl technologische Innovationen als auch menschliche Intelligenz umfasse.

Weitere Informationen zum Thema:

datensicherheit.de, 20.02.2024
Deepfakes: Vielfältige Betrugsversuche / Es gibt aber auch konstruktive Anwendungen für Deepfake-Prinzipien

datensicherheit.de, 19.09.2023
Gefahren für Politik und Demokratie: Optimierung von Deepfakes mittels KI / Deepfake-Wahlwerbespots könnten mit computergenerierten Bildern von Kandidaten erstellt werden

datensicherheit.de, 22.06.2022
Deepfakes bald Standardrepertoire Cyber-Krimineller / Vor allem Soziale Plattformen als neue Spielwiese zur Verbreitung von Deepfake-Material genutzt

Kriminelle Hacker spähen Firmen gezielt aus und fälschen Identitäten um Überweisungen umzuleiten

[datensicherheit.de, 03.06.2020] Das Check Point Research Team von Check Point® Software Technologies Ltd. sieht aktuell einen Trend, dass Cyberkriminelle versuchen, Mitarbeiter im Home-Office zu täuschen und auszunutzen, um falsche Überweisungen ausführen zu lassen. BEC nennt sich das kriminelle Vorgehen. Der FBI Internet Crime Report 2019 hat gezeigt, dass allein in den Vereinigten Staaten von Amerika 1,7 Milliarden Dollar durch BEC gestohlen wurden.

Business Email Compromise bei Hackern beliebt

Der Begriff ‚BEC‘ steht für ‚Business Email Compromise‘ und beschreibt eine bestimmte Masche, die sich aktuell bei Hackern großer Beliebtheit erfreut. Dabei verschaffen sich die Angreifer geschickt Zugang zu den Mail-Konten von Entscheidungsträgern einer Firma oder deren Zulieferern. Sobald sie diesen haben, beginnen sie damit, den E-Mail-Verkehr zu lesen, die Prozesse zu verstehen und die Mitarbeiter auszuspionieren. Ziel des Ganzen ist eine Hochstapelei: Die Hacker wollen so viel Wissen über die innere Struktur und Kommunikations-Weise des Unternehmens erlangen, dass sie in der Lage sind, sich als Entscheidungsträger – CEO oder CFO – auszugeben und die Mitarbeiter mit betrügerischen, aber geschickt gefälschten, Nachrichten zu täuschen. Gelingt ihnen das, veranlassen sie angeblich autorisierte Überweisungen auf ihre eigenen Konten und digitalen Geldbeutel (Wallets) oder leiten angewiesene Überweisungen dorthin um. Wie viel Geld eine Gruppe mit dieser Masche im Alleingang stehlen kann, hat Check Point bereits anhand eines vom Research-Team enttarnten Falles gezeigt.

Aktuelle Situation erleichtert die Durchführung

Die aktuelle Situation, mit vielen Mitarbeitern im Home-Office, erleichtert die Durchführung dieser Masche erheblich. Arbeitsanweisungen, Absprachen und Kundenkontakt – fast alle Kommunikation findet aktuell ausschließlich digital statt. Hat ein Angreifer dann zusätzlich die Zugangsdaten zu dem Konto eines hochrangigen Mitarbeiters, wie einem CEO oder CFO gestohlen, stehen der erfolgreichen Attacke nur wenige Hürden im Weg. Umso wichtiger ist es, BEC erst gar nicht zu ermöglichen und Mitarbeiter dahingehend zu schulen.

Christine Schönig, Check Point Software, Foto: Check Point Software Technologies

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies GmbH meint: „Wir befinden uns mitten in einem Paradigmenwechsel der Hacker-Aktivitäten: Die Kriminellen nutzen die Vorteile aus, dass viele von uns derzeit zu Hause arbeiten. Wir sehen die BEC-Betrügereien als Teil dieses Trends. Jedes Unternehmen und jede Organisation, die dafür bekannt ist, große Geldsummen zu transferieren, sollte sich bewusst machen, dass es ein Hauptziel dieser Betrugsart ist. Wenn Mitarbeiter zu Hause arbeiten und vor allem auf den E-Mail-Verkehr angewiesen sind, kann ein geschickter Angreifer jede einzelne E-Mail überwachen und manipulieren – das lohnt sich besonders bei den Mitarbeitern, die in der Lage sind, Geld zu bewegen. Wir erwarten außerdem eine Zunahme der Betrugsversuche im Jahr 2020, da Tele-Arbeit und digitale Kommunikation stark zugenommen haben – auch an inhaltlichem Wert der Nachrichten.“

Check Point empfiehlt folgende Schritte, um sich vor BEC zu schützen:

1. Aktivieren Sie die Multi-Faktor-Authentifizierung für geschäftliche E-Mail-Konten. Diese Art der Authentifizierung erfordert mehrere Informationen zur Anmeldung, wie ein Passwort und einen SMS-Code. Die
2. Implementierung der Multi-Faktor-Authentifizierung erschwert es Cyberkriminellen, Zugang zu den E-Mails der Mitarbeiter zu erhalten.
3. Öffnen Sie keine E-Mails von unbekannten Parteien. Wenn Sie dies tun, klicken Sie nicht auf Links oder öffnen Anhänge, da diese oft Malware enthalten, die auf Ihr Computersystem zugreift.
   Überprüfen Sie die E-Mail-Adresse des Absenders doppelt. Eine gefälschte E-Mail-Adresse hat oft eine ähnliche Endung wie die legitime E-Mail-Adresse.
4. Überprüfen Sie die Adresse immer, bevor Sie Geld oder Daten senden. Machen Sie es zum Standardverfahren für Mitarbeiter, E-Mail-Anfragen für eine telegrafische Überweisung oder vertrauliche Informationen erst von allen Verantwortlichen bestätigen zu lassen.
5. Nutzen Sie die Funktion ‚Weiterleiten‘ statt ‚Antworten‘ für Rückmeldungen bei geschäftlichen E-Mails. Beim Weiterleiten muss die korrekte E-Mail-Adresse manuell eingegeben oder aus dem internen Adressbuch ausgewählt werden. Die Weiterleitung stellt somit sicher, dass Sie die korrekte E-Mail-Adresse des vorgesehenen Empfängers verwenden.

Weitere Informationen zum Thema:

Check Point
Alles über die Nachforschung zu BEC-Betrugsversuchen

datensicherheit.de, 16.05.2020
Remote-Desktop-Protocol: Neue schwerwiegende Schwachstelle entdeckt

datensicherheit.de, 07.05.2020
Serverlose Architektur: Neun Ratschläge gegen Schwachstellen

[datensicherheit.de, 18.07.2018] Das US-amerikanische Federal Bureau of Investigation (FBI) hat vor Kurzem Zahlen zu der Dimension des sogenannten BEC (Business Email Compromise, in Deutschland auch als „CEO-Betrugsmasche“ bekannt) bzw. EAC Fraud (Email Authentication Compromise) vorlegt. Demnach lag der finanzielle Schaden zwischen Oktober 2013 (dem Beginn der Erhebung) und Mai 2018 weltweit bei rund 12,5 Milliarden US-Dollar, umgerechnet rund 10,5 Milliarden Euro.

Hohe Dunkelziffer vermutet

Die Statistik des FBI umfasse dabei knapp 80.000 Fälle weltweit.
Allerdings seien dies nur die gemeldeten Fälle, die Dunkelziffer dürfte deutlich höher liegen, denn nicht alle Fälle würden gemeldet, beispielsweise aus Scham über eine entsprechende Unachtsamkeit.

Zahl der Angriffe mehr als verdoppelt

Die veröffentlichten Zahlen unterstrichen, wie wichtig entsprechende Vorsichtsmaßnahmen vor BEC- und EAC-Fraud für die Unternehmen sein müssten:
Nach Studien von Proofpoint hat sich im Jahresvergleich 1. Quartal 2016 und 1. Quartal 2017 die Zahl der Angriffe mehr als verdoppelt.

Proofpoint rät zu intelligenten Sicherheitsmaßnahmen

Allerdings seien Unternehmen diesen Angriffen nicht schutzlos ausgeliefert, so Proofpoint – intelligente Sicherheitsmaßnahmen könnten helfen, das Risiko zu verringern.
Im aktuellen Proofpoint-Blogpost sei mehr über die Zahlen des FBI und mögliche Schutzmaßnahmen für Unternehmen zu erfahren.

Weitere Informationen zum Thema:

proofpoint., Mark Guntrip, 18.07.2018
FBI Reports $12.5 Billion in Global Financial Losses Due to Business Email Compromise and Email Account Compromise

datensicherheit.de, 11.06.2018
Wandel der Bedrohungslage: Bankentrojaner vor Ransomware

proofpoint.
Stopping Email Fraud / Read about how to protect from email fraud with a multilayered defense

datensicherheit.de, 27.04.2018
CEO-Betrug: BKA-Warnung für Unternehmen vor neuer Masche

datensicherheit.de, 13.04.2016
Bedrohung durch betrügerische Hochstapler-E-Mails wächst

[datensicherheit.de, 27.04.2018] Im Dezember 2017 sei es noch ein angeblicher Mitarbeiter des Bundeskanzleramts gewesen, aktuell melde sich „Daniel Fischer“ vom Auswärtigen Amt per E-Mail oder am Telefon bei deutschen Unternehmen. Die Details wechselten, so das Bundeskriminalamt (BKA), aber in allen Fällen handele es sich um einen Betrugsversuch.

Angeblicher Freikauf deutscher Geiseln in Mali

„Daniel Fischer“ bittet laut BKA um ein vertrauliches Gespräch mit der Geschäftsleitung des Unternehmens. In diesem Gespräch erläutert er demnach, dass die Bundesregierung für den Freikauf deutscher Geiseln in Mali finanzielle Unterstützung der Privatwirtschaft benötige.
Das BKA stellt klar: Das Auswärtige Amt sucht nie Kontakt zu Unternehmen, um für Spenden an die Bundesregierung zu werben! Wenn man einen Anruf von einem angeblichen Mitarbeiter des Auswärtigen Amts erhält, der zu einer Zahlung drängt, handele es sich immer um einen Betrugsversuch. Gleiches gelte bei Schreiben eines „Daniel Fischer vom Auswärtigen Amt“. Weder antworten noch zurückrufen, rät das BKA.

Verhalten im Fall einer Kontaktaufnahme

Das BKA rät Unternehmen zu folgenden Vorsichtsmaßnahmen:

1. Gehen Sie nicht auf Telefonate mit angeblichen Mitarbeitern des Auswärtigen Amts ein, die Sie zu einer Spende auffordern!
2. Lassen Sie sich nicht zu einer Zahlung drängen oder überreden.
3. Beenden Sie stattdessen das Gespräch – legen Sie einfach auf!
4. Erstatten Sie Anzeige bei Ihrer Polizeidienststelle.
5. Es kann nützlich sein, wenn Sie sich die Nummer des Anrufers notieren und den Vorfall bei der Bundesnetzagentur melden – die Behörde verfolgt solche Fälle und kann unter Umständen eine Sperrung der Rufnummer veranlassen!

Weitere Informationen zum Thema:

Bundeskriminalamt, 27.04.2018
Unternehmen aufgepasst: wieder neue Masche beim CEO-Betrug / BKA warnt vor Anrufen angeblicher Mitarbeiter des Auswärtigen Amts

datensicherheit.de, 14.12.2017
BKA warnt vor neuer Masche beim CEO-Betrug

[datensicherheit.de, 14.12.2017] Nach einer Mitteilung des Bundeskriminalamtes (BKA) häufen sich derzeit Fälle, in denen ein angeblicher Mitarbeiter des Bundeskanzleramts mit Unternehmen in Deutschland telefonisch oder per E-Mail Kontakt aufnimmt. Dieser angebliche Mitarbeiter unter dem Namen „Uwe Becker“ gibt sich demnach als persönlicher Referent eines Abteilungsleiters im Bundeskanzleramt aus.

Freikauf deutscher Geiseln vorgetäuscht

„Uwe Becker“ bittet laut BKA um ein vertrauliches Gespräch mit der Geschäftsleitung des Unternehmens. In diesem Gespräch erläutere er, dass er im Auftrag des sicherheitspolitischen Beraters der Bundeskanzlerin anrufe. Für den Freikauf deutscher Geiseln benötige die Bundesregierung zwei- bis dreistellige Millionenbeträge. Die Bundesregierung sei hierbei auf Spenden aus Industrie und Wirtschaft angewiesen – etwa 40 Millionen Euro würden noch fehlen.

Nicht zu einer Zahlung überreden lassen – Anzeige erstatten!

Das BKA warnt in seiner Meldung „ausdrücklich vor Anrufen im Namen des Bundeskanzleramts mit der Aufforderung, die Bundesregierung mit Spenden zu unterstützen“ – es handele sich immer um einen Betrugsversuch.
Der BKA-Rat: „Beenden Sie das Gespräch, legen Sie einfach auf. Erstatten Sie Anzeige bei der Polizei!“

Weitere Informationen zum Thema:

datensicherheit.de, 27.04.2017
Reform des BKA-Gesetzes: Andrea Voßhoff begrüßt Verzicht auf längere Datenspeicherung

[datensicherheit.de, 15.04.2016] PwC hat kürzlich die Ergebnisse seiner 19. globalen Studie zu Wirtschaftskriminalität (Global Economic Crime Survey) veröffentlicht. Laut dieser Studie habe eine Handvoll der Befragten (etwa 50 Unternehmen) angegeben, über fünf Millionen US-Dollar verloren zu haben; fast ein Drittel unter ihnen habe Verluste im Zusammenhang mit Cyber-Kriminalität in Höhe von mehr als 100 Millionen US-Dollar beziffert. Das Besondere an dieser Studie sei, dass PwC nicht einfach selbst versucht habe, die Kosten von Cyber-Angriffen zu schätzen, sondern Topmanager persönlich nach ihrer Meinung gefragt habe.

CEOs: 61 Prozent sorgen sich um Cyber-Sicherheit

Bei den mehr als 6.000 Befragten habe es sich vorwiegend um C-Level-Führungskräfte und Leiter von Geschäftsbereichen gehandelt, welche die operativen Details des betreffenden Unternehmens in- und auswendig kennen würden und die wirtschaftlichen Auswirkungen am besten einschätzen könnten.
Das wichtigste Ergebnis der diesjährigen PwC-Studie sei, dass Cyber-Kriminalität in der Gesamtliste der Wirtschaftsverbrechen gegen Unternehmen nun an zweiter Stelle rangiere. Auf Platz 1 stehe eine traditionellere Form der widerrechtlichen Aneignung von Vermögenswerten – der Diebstahl von Geld.
Bei der Befragung von CEOs habe sich jedoch herausgestellt, dass sich 61 Prozent Sorgen um das Thema Cyber-Sicherheit machten. Spitzenführungskräfte bekämen also die Auswirkungen der Hacking- und Cyber-Aktivitäten zu spüren, die in den vergangenen Jahren stark zugenommen hätten.

Ernüchternde Statistiken

Der Bericht von PwC enthalte allerdings auch einige „ernüchternde Statistiken“ dazu, wie Unternehmen mit Cyber-Kriminalität umgingen. So verfügten lediglich 37 Prozent der Befragten über einen vollständigen „Incident-Response-Plan“. Ein Problem bei der Umsetzung dieser Pläne sei die unzureichende Personaldecke. Nur 40 Prozent der Studienteilnehmer verfügten demnach über ein geschultes „Response-Team“ für den Ernstfall. Vielleicht noch frappierender sei der Mangel an IT-Führungskräften in der Vorstandsetage, die sich mit den Angriffen und ihren potenziellen Auswirkungen auseinandersetzen sollten. In weniger als der Hälfte der Fälle hätten sich IT-Führungskräfte in den Notfallteams befunden; diese bestünden meist aus Mitgliedern der Geschäftsleitung (46 Prozent), Juristen (25 Prozent) und Mitarbeitern der Personalabteilung (14 Prozent).

Ausgefeilte Notfallpläne existenziell!

Laut PwC können Notfallpläne, die nicht optimal zwischen allen relevanten Akteuren – also auch der IT – koordiniert werden, die Fähigkeit von Unternehmen einschränken, sämtliche der betroffenen Bereiche zu erfassen, was angesichts der häufig von Hackern eingesetzten Ablenkungsmethoden besonders wichtig sei.
Wenn das notwendige Fachwissen fehle oder die IT-Abteilung nicht von Anfang an eingebunden sei, wäre es demnach sehr gut möglich, dass forensische Informationen außer Acht gelassen würden oder sogar verloren gingen.

Grundlegende Anforderungen oft nicht erfüllt

PwC macht deutlich, dass Organisationen einfach grundlegende Anforderungen nicht erfüllten. Einige der bekannteren, von PwC entlarvten Sicherheitslücken seien schlechte Systemkonfigurationen, unzureichende Kontrollen und sonstige „vermeidbare Fehler“.
In der IT-Sicherheitswelt würden in der Regel zunächst einfache Maßnahmen wie längere Benutzerpasswörter, bessere Kontrollen für privilegierte Konten und strengere Anforderungen für Dateizugriffe implementiert. Der PwC-Bericht mache aber deutlich: „Wer bei den Grundlagen schludert, wird mit realem wirtschaftlichen Schaden bestraft.“

Mehrschichtige Cyber-Sicherheitsstrategie empfohlen

PwC empfiehlt nach eigenen Angaben eine mehrschichtige Cyber-Sicherheitsstrategie, die auch von der Vorstandsetage (und sogar vom Aufsichtsrat) unterstützt wird, strengere Risikoanalysen und IT-Audits sowie die Einführung effektiver Überwachungsprozesse. Verbesserte Risikoanalysen, mehr Schutz für Daten und bessere Überwachung seien Dinge, die man bereits seit der Gründung des Unternehmens predige. Im Gegensatz zu allen anderen Anbietern im Sicherheitsbereich seien sie jedoch der Überzeugung, dass diese Ansätze im Dateisystem implementiert werden müssten.
Bei den meisten Sicherheitsvorfällen würden heute unstrukturierte Daten gestohlen. Fast täglich werde von ernsthaften Datenschutzverletzungen berichtet, bei denen Passwörter, Kreditkartendaten oder E-Mail-Adressen entwendet würden, die unverschlüsselt in Dateien gespeichert gewesen seien. In vielen Fällen sei es für die Angreifer ein Leichtes, äußere Verteidigungsmaßnahmen mithilfe von Phishing oder SQL-Injection zu umgehen. „Sobald sie in ein System eingedrungen sind, verfügen sie über umfassenden Zugriff auf diese sensiblen Daten, die über das gesamte Filesystem verteilt sind“, warnt PwC. Diese Daten seien für Hacker wertvoll – egal, ob personenbezogene Daten, die sich gut verkaufen ließen, oder geistiges Eigentum, dessen Diebstahl das Aus für ein Unternehmen bedeuten könne.

Analyse des Nutzerverhaltens empfohlen

Unternehmen untersuchten ihre Netzwerke zwar meist im Hinblick auf ungewöhnliche Aktivitäten oder bekannten Viren. Sie seien in der Regel jedoch nicht in der Lage, die neueste Generation von Malware mit ausgeklügelten Tarnfunktionen oder die noch bedrohlicheren neuen Exploits zu erkennen, die ganz ohne Malware auskämen. Wenn es um den Schutz unstrukturierter Daten gehe, finde man also bei vielen Unternehmen einen „großen und äußerst kostspieligen blinden Fleck“.
PwC empfiehlt, Dateisysteme auf ungewöhnliche Aktivitäten zu untersuchen. Doch das sei leichter gesagt als getan. Abhilfe schaffen könne die Analyse des Nutzerverhaltens – hierzu würden die Dateiaktivitäten und normalen Verhaltensweisen von Nutzern beobachtet, um ungewöhnliche Vorgänge aufzuspüren.
Damit erfasse man Hacker-Aktivitäten von ins System eingedrungenen Angreifern und man komme bösartigen Mitarbeitern auf die Schliche – so könne man das Risiko für die Daten entschärfen.

Bedrohung durch Cyber-Kriminalität als strategisches Thema

Aus praktischer Sicht seien die Ergebnisse der PwC-Umfrage durchaus förderlich für die Datensicherheit in Unternehmen, denn CEOs und andere C-Level-Führungskräfte erachteten Cyber-Kriminalität inzwischen als strategisches Thema, das einen erheblichen Ressourcenaufwand erfordere – Personal, Planung und finanzielle Mittel.
Wie viele andere Gruppen und Institute aus dem Sicherheitsbereich – zum Beispiel das NIST und das SANS-Institut – sieht PwC Überwachung als „Schlüssel für Sicherheit in der realen Welt“. Möglicherweise werde man Hacker niemals davon abhalten können, in Netzwerke einzudringen – man könne allerdings den Schaden begrenzen und letztendlich die Kosten von Sicherheitsvorfällen in Unternehmen deutlich senken.

Weitere Informationen zum Thema:

pwc
Global Economic Crime Survey 2016: US Results / Adjusting the lens on economic crime

Dr. Jörg Schweiger zum neuen CEO bestellt

[datensicherheit.de, 06.03.2014] Die Führungsspitze der zentralen Registrierungsstelle und technischen Betreibergesellschaft der deutschen Länderdomain .de, DENIC, wird neu formiert: Zum neuen Chief Executive Officer (CEO) bestellte der DENIC-Aufsichtsrat mit Wirkung vom 1. März 2014 Dr. Jörg Schweiger, der bereits seit 2007 als Chief Technical Officer (CTO) für DENIC tätig ist. Die neu geschaffene Position des Chief Operating Officer (COO) wird ab Anfang Mai 2014 Andreas Musielak übernehmen.

© DENIC eG

Dr. Jörg Schweiger: Zum neuen CEO der DENIC bestellt

Dr. Jörg Schweiger wird künftig weiterhin die Fachbereiche Technik, Informationssicherheit, Research, Prozess- und Produktmanagement sowie Personal verantworten. Neu hinzu kommen die Bereiche Unternehmenskommunikation und Government & Regulatory Affairs.

© DENIC eG

Andreas Musielak übernimmt die neu geschaffene Position des Chief Operating Officer (COO)

Andreas Musielak wird die Bereiche Finanzen und Recht sowie die Mitglieder- und Endkundenbetreuung verantworten.

„Mit Jörg Schweiger werden wir den aktuellen Kurs DENICs mit dem Ziel nachhaltiger Business Excellence und damit höchster Verfügbarkeit und Sicherheit aller DENIC-Systeme und -Dienste konsequent fortsetzen. Andreas Musielak wird zudem weitere Impulse in der Kundenorientierung setzen“, sagt Thomas Keller, Vorsitzender des Aufsichtsrats der DENIC eG.

Das neue Vorstandsmitglied Andreas Musielak bringt in seine Aufgabe umfassende und vertiefte Fachkompetenz im Finanzbereich und kaufmännischer Steuerung ein. Zuletzt war Andreas Musielak drei Jahre lang bei WAN-IFRA, dem Weltverband der Nachrichtenmedien, tätig, wo er als Chief Financial Officer (CFO) die globale Gesamtverantwortung für die Bereiche Finance, HR, Legal, IT und bis 2013 den Bereich Membership an den beiden Headquarters in Deutschland und Frankreich sowie den weiteren internationalen Standorten des Verbandes trug. Er besitzt einen Abschluss als Diplom-Betriebswirt der Fachhochschule Darmstadt mit den Schwerpunkten Finance und Marketing.

Neben den beiden neu besetzten hauptamtlichen Vorstandspositionen des CEO und COO gehören Helga Krüger und Carsten Schiefner, die bei der Generalversammlung der DENIC eG im Jahr 2013 wiedergewählt wurden, unverändert als ehrenamtliche Mitglieder dem DENIC-Vorstand an.