Unbefugte Zugriffe können teuer werden: So schützen Sie sich vor Malware

Immer wieder erscheinen in den Nachrichten Berichte darüber, wie Cyber-Kriminelle dank Social Engineering Menschen überlisten, um an hohe Geldbeträge oder sensible Daten zu gelangen: So überwies beispielsweise eine hochrangige Managerin eines US-Spielzeugunternehmens fälschlicherweise mehrere Millionen Dollar nach China. In einem weiteren Fall stellte ein Hacker 117 Millionen Nutzerdaten eines Social Media-Netzwerks, die er bereits im Jahr 2012 entwendet haben will, für einen Spottpreis ins Netz oder es wurde der private E-Mail-Account von John Brennan, Direktor des mächtigen US-Geheimdienstes Central Intelligence Agency (CIA), bei einem Cyber-Angriff geknackt.

Hacker nutzen Schwächen gnadenlos aus

Gemeinsam ist allen Attacken, dass die Hacker in vielen Fällen die Gutgläubigkeit, Hilfsbereitschaft und das Vertrauen einzelner Menschen, aber auch deren Schwächen, ausgenutzt haben. Die Methodik dahinter folgt dabei einem bestimmten Schema. Entweder werden Mitarbeiter kontaktiert und unter Druck gesetzt, z.B. indem ihnen erzählt wird, dass ein schwerwiegendes Problem bestünde, das nur durch den sofortigen Zugriff auf das Netzwerk behoben werden kann. Oder es werden ihre Eitelkeit, Autoritätshörigkeit oder Gier ausgenutzt, um an die gewünschten Daten zu kommen. Daneben reicht auch oftmals aufmerksames Zuhören in Großraumbüros aus, damit die Kriminellen – eventuell getarnt als Bote – an sensible Informationen kommen.

Vertrauenswürdigkeit vorgetäuscht

Spearphishing ist eine weitere verfeinerte Methode des Social Engineerings. Der Nutzer erhält dabei gezielt über verschiedene Kanäle (per E-Mail, über die sozialen Medien und per SMS) immer wieder Nachrichten von scheinbar vertrauenswürdigen Absendern, die Links oder Anhänge enthalten. Sobald er einen davon öffnet, lädt er automatisch Malware – meist Trojaner – herunter, die sich dann unbemerkt installieren. Damit steht dem Angreifer ein Tor zu einem Netzwerk offen, das in 50 Prozent der Fälle gar nicht bemerkt wird.

Laut einer Studie der BITKOM aus dem Jahr 2015 entstehen durch Spearphishing und Social Engineering Schäden von rund 51 Milliarden Euro pro Jahr. Die Ziele der Hacker sind dabei unterschiedlich und die Spannbreite groß. Manche wollen Passwörter stehlen, um Bankkonten zu plündern, andere möchten die befallenen Endgeräte in ein Botnet einbinden, um Distributed Denial of Service-Attacken zu realisieren oder einfach nur SPAM zu versenden.

Der Schutz vor Angriffen ist einfach

Laut Statistik übersehen selbst Sicherheitsprogramme, die eine Malware-Erkennungsrate von 99,9 Prozent aufweisen, eine von 1.000 E-Mails. Wenn diese E-Mail dann geöffnet wird, ist der Schaden schon geschehen. Dabei ist der Schutz vor solchen Angriffen sehr einfach.

Einige Beispiele: Der Nutzer sollte sich dessen bewusst sein, dass Institutionen, soziale Netzwerke oder die öffentliche Verwaltung niemals Nachrichten versenden, in welchen nach Passwörtern oder vertraulichen Informationen gefragt wird. Dass sie auch niemals dazu aufgefordert werden, eine SMS an eine Nummer zu senden, um das Passwort zu ändern. Besondere Vorsicht sollte auch bei Webseiten gelten, auf denen nach detaillierten Kreditkartendaten gefragt wird, um an einem Gewinnspiel o.ä. teilnehmen zu können. Gesundes Misstrauen ist auch bei URLs oder Links geboten, die sich in Mails mit unbekanntem Absender befinden.

Antiviren-Programme auf dem neuesten Stand halten

Daneben ist es essenziell, die Antiviren-Programme immer auf dem neuesten Stand zu halten und etwaige Updates gleich zu installieren. Denn diese sind immer so effizient, wie es ihre Datenbanken sind. Eine gleichwertige Alternative dazu sind Cloud-basierte Schutzprogramme (z.B. Dr.Web Katana) oder Lösungen, die als Security as a Service (SECaaS) angeboten werden (z.B. Dr.Web AV Desk).

Fazit: Letztlich können nur das Zusammenwirken von gesundem Menschenverstand und die Verwendung von entsprechenden Software-Paketen einen entsprechenden Schutz vor Hacker-Attacken bieten. (Pierre Curien)