CEO-Phishing: Die wertvollsten Unternehmensdaten im Visier

Menschen neigen erwiesenermaßen dazu auf Links zu klicken. Manche widerstehen dabei der Versuchung besser als andere. Trotzdem könnte man erwarten, dass, wenn man in der Unternehmenshierarchie nach oben klettert bis...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 6. Oktober 2023

Menschen neigen erwiesenermaßen dazu auf Links zu klicken. Manche widerstehen dabei der Versuchung besser als andere. Trotzdem könnte man erwarten, dass, wenn man in der Unternehmenshierarchie nach oben klettert bis auf die Führungsebene, Phishing dort eine weit weniger erfolgreiche Methode sein sollte.

Den Wal harpunieren

Anders als erwartet ist das nicht Fall, und auch Führungskräfte neigen dazu auf Links zu klicken, die ihnen per E-Mail serviert werden. Allerdings müssen es die „richtigen“ Links sein. Cyberkriminelle sind in letzter Zeit sehr viel besser darin geworden, Angriffe auf dieses spezielle Ziel hin zu konzipieren und damit die potenziell sensibelsten Unternehmensdaten ins Visier zu nehmen. Die Methode wird allgemein als „Whale Phishing“ oder auch „Whaling“ bezeichnet.

Das Sicherheitsunternehmen Digitalis hat herausgefunden, dass Angreifer die sozialen Medien nutzen, um die Gewohnheiten dieser speziellen Opferklientel besser zu verstehen. Nehmen wir an, das potenzielle Opfer interessiert sich für eine Sportart wie Kricket. Dann konzipiert der Hacker eine E-Mail-Nachricht, die sich auf genau dieses Kricket-Match bezieht. Die Absenderadresse ist so manipuliert, dass sie von einem Geschäftspartner zu kommen scheint, in Wirklichkeit befördert sie aber eine schädliche Fracht direkt in den Posteingang der betreffenden Führungskraft. Sozusagen die Business-Class-Variante des gemeinen Phishing-Angriffs.

Eine Führungskraft hat potenziell besonders wichtige und sensible Daten gespeichert oder kann auf sie zugreifen. Das macht Whaling so interessant für einen Angreifer. Es sind eben nicht die durchschnittlichen PII-Daten, die bei den üblichen Datenschutzverletzungen erbeutet werden, sondern in aller Regel wertvolles geistiges Eigentum und hoch vertrauliche Daten zu Geschäftsprozessen, Schlüsselkunden und -kontakten, vertrauliche Finanzdaten oder E-Mails mit kompromittierenden Inhalten. Genau die Art von Informationen, die sich an die Konkurrenz verkaufen lässt oder die sich besonders gut für eine Ransomware-Attacke mit einer entsprechend hohen Lösegeldforderung eignet.

Eine Phishing-Attacke funktioniert umso besser, je mehr der Angreifer über das potenzielle Opfer weiß. Auf welchen Link würde man wohl eher klicken: eine E-Mail des nigerianischen Finanzministers bei der es um eine Geldanweisung geht oder doch eher auf den Link, der von der eigenen, lokalen Bankfiliale zu kommen scheint und in der man Sie um eine Klärung in Bezug auf Ihr Konto bittet (und Sie dazu das angehängte PDF öffnen müssten)?

Vertraulichkeit auf Führungsebene

Und Digitalis hat noch etwas herausgefunden. Führungskräfte sind, was die Einstellungen der Privatsphäre beispielsweise auf Facebook oder in anderen (sozialen) Netzwerken anbelangt, nicht besser als der Durchschnitt. Weniger als die Hälfte der von Digitalis befragten Führungskräfte schränken die Zahl derer ein, die ihr komplettes Profil einsehen können, nur 36 % gehen sorgsamer mit ihren Einstellungen zur Privatsphäre um.

Sollten Führungskräfte also gänzlich darauf verzichten soziale Medien zu nutzen?

Es gibt Experten, die davon ausgehen, dass in diesem Fall Hacker die Arbeit für sie erledigen und mit Hilfe einer gefälschten Identität selbst ein Konto anlegen. Eine Methode, die das Potenzial für ausgefeilte Phishing-Angriffe hat. Es ist also durchaus empfehlenswert, dass sich Führungskräfte selbst um ihre Identität in sozialen Medien kümmern. Allerdings sollten sie, wie jeder andere von uns auch keinesfalls mehr Daten als unbedingt nötig preisgeben. Ganz ähnlich wie in der Welt der Dateisysteme sollte man auf Einstellungen wie „jeder“/“alle“ komplett verzichten und den Kreis der Berechtigten auf „Freunde“ beschränken. Anbieter von sozialen Netzwerken sind nicht unbedingt dafür bekannt, die Einstellungen zur Privatsphäre besonders zu schützen. Eher im Gegenteil. Man sollte also sein Konto dahingehend regelmäßig überprüfen.

Sicherheitsdienst gefragt?

Sicherheitsexperten haben immer wieder darauf hingewiesen, dass soziale Netzwerke absichtlich bestimmte Informationen standardmäßig weitergeben. Zu diesen Informationen gehört typischerweise wer welche Freunde hat. Selbst wenn die Einstellungen restriktiver gesetzt werden, bekommt ein Angreifer immer noch eine ganze Reihe sehr brauchbarer Informationen frei Haus geliefert und kann recht gute Rückschlüsse auf Gewohnheiten, Interessen und Vorlieben einer Führungskraft ziehen.

Es gibt leider keine einfachen Antworten darauf wie man Führungskräfte in einem Unternehmen am besten schützt. Dieses Problem unterscheidet sich nicht grundlegend von einem grundsätzlichen: Hacker werden es immer schaffen in ein Netzwerk zu gelangen. Dann ist es umso wichtiger unübliche System- und Dateiaktivitäten so frühzeitig wir möglich aufzudecken. Das geht aber nur dann, wenn man diese Aktivitäten kontinuierlich überwacht.

Die Umfrageergebnisse von Digitalis bestätigen, dass es in jedem Falle sinnvoll ist IT-Sicherheitsressourcen dazu einzusetzen, die Dateiaktivitäten von Führungskräften unter die Lupe nehmen. In Großunternehmen und Konzernen bietet es sich sogar an, einen speziellen „Sicherheitsdienst“ innerhalb der IT-Abteilung für genau diesen Zweck abzustellen. So oder so sollte man jeden Alarm und sämtliche Benachrichtigungen, die Konten von Führungskräften betreffen, ernst zu nehmen und nicht als „false positives“ ignorieren. Hier macht es Sinn jede einzelne Aktivität zu untersuchen bis die Ursache gefunden ist.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

günstig-um-jeden-preis?-drei-dinge,-auf-die-sie-bei-kostengünstigen-backup-lösungen-achten-sollten
Günstig um jeden Preis? Drei Dinge, auf die Sie bei kostengünstigen Backup-Lösungen achten sollten
Ich bin immer wieder überrascht wie Kunden auf Angebote von externen Speicheranbietern reagieren. Nicht selten hört man dann: „Der Preis ist so günstig, da kommen wir gleich ins Geschäft“. Nachvollziehbar,...
die-eu-datenschutz-grundverordnung-ist-beschlossen-–-was-sie-jetzt-wissen-sollten
Die EU-Datenschutz-Grundverordnung ist beschlossen – Was Sie jetzt wissen sollten
Inzwischen ist die EU-Datenschutz-Grundverordnung (DS-GVO), die von einigen schon als „Meilenstein des digitalen Zeitalters“ bezeichnet wird, endgültig beschlossen. Wir haben uns bereits häufiger mit der Geschichte der DS-GVO beschäftigt, für...
die-eu-richtlinie-für-netz--und-informationssicherheit
Die EU-Richtlinie für Netz- und Informationssicherheit
Wir haben uns in letzter Zeit vor allem mit der EU-Datenschutz-Grundverordnung (DS-GVO) beschäftigt, doch es gibt noch eine weitere erwähnenswerte EU-Sicherheitsinitiative. Die Richtlinie für Netz- und Informationssicherheit (NIS-RL) soll für...
wie-sie-dsgvo-daten-mit-varonis-entdecken
Wie Sie DSGVO-Daten mit Varonis entdecken
Die DSGVO tritt in weniger als 40 Tagen in Kraft – aber es ist noch früh genug, um sich vorzubereiten. Der erste Schritt für die Vorbereitung auf die drohende Deadline…