Die Corona-Pandemie hat auch die Bedrohungslandschaft verändert. Nie war die Angriffsfläche größer als jetzt, denn die Cyberkriminellen haben ihre Taktiken und Techniken schnell angepasst und so neue Wege und Ziele für sich entdeckt.
Egal, ob generische Malware, Ransomware-Angriffe oder zielgerichtete Attacken auf das Gesundheitswesen – die Angriffsfläche für Hacker war wohl nie größer als jetzt. Das liegt nicht zuletzt daran, dass viele Unternehmen ihre Mitarbeiter recht plötzlich ins Homeoffice geschickt haben. Hard- und Software wurden hastig implementiert, zu Lasten der Cybersicherheit.
Innerhalb kürzester Zeit fanden Arbeit, Schule, Kinderbetreuung oder die abendliche Unterhaltung zu Hause am selben Ort und manchmal sogar gleichzeitig statt. Eine klare Abgrenzung zwischen beruflicher und privater Gerätenutzung blieb und bleibt gerade aufgrund der Corona-Pandemie zunehmend auf der Strecke. So nutzen 38 Prozent der Deutschen ihren privaten Computer daheim für die Arbeit. Weitere 28 Prozent der Arbeitnehmer in Deutschland verwenden nicht nur ihre privaten Geräte, sondern auch die private E-Mail-Adresse für dienstliche Zwecke, etwa jeder Dritte nun sogar öfter als zuvor. Insgesamt steigt durch die Vermischung von privaten und beruflichen Geräten die Gefahr von Malware-Infektionen im Unternehmensnetzwerk. Das belegt die Kaspersky-Studie ITSRS [1], eine Umfrage unter IT-Mitarbeitern, die bereits zum elften Mal stattfand. Dazu befragten die Sicherheitsforscher 4303 Unternehmen mit mehr als 50 Mitarbeitern in 31 Ländern.
Dass viele Angriffe erfolgreich verlaufen, verwundert wenig: Unternehmen in Deutschland unterschätzen die Risiken, die sich aus der Arbeit im Homeoffice ergeben. So beklagen acht von zehn deutschen Mitarbeitern, dass sie bisher keine spezifischen Richtlinien oder Schulungen zum Thema Cybersicherheit bei der Arbeit zu Hause erhalten haben. Aber wo liegen eigentlich die Gefahren des Homeoffice?
Spam und Phishing
Die Pandemie hat die Wirtschaft in vielen Ländern, darunter auch Deutschland, stark beeinträchtigt. Viele Unternehmen führten Kurzarbeit ein, entließen Mitarbeiter oder passten bestehende Regelungen zu Urlaub, Krankheit oder Elternzeit an. Cyberkriminelle weltweit nutzen diesen Umstand aus und verbreiten darauf ausgerichtete Phishing-Mails. Die Kaspersky-Experten stießen auf diverse Mails, die im Namen der Personalabteilung von Unternehmen verschickt wurden, um Daten zu stehlen. Einige davon kündigten vorgebliche Änderungen hinsichtlich Krankschreibungen und Elternzeit an; andere informierten den Empfänger über seine angebliche Entlassung und boten im Anhang einen vermeintlichen Antrag zur zweimonatigen Weiterzahlung des Gehalts an. In den Attachments vieler dieser Nachrichten befand sich ein Trojaner, genauer: eine Trojan-Downloader.MSOffice.SLoad.gen-Datei. Dieser Schädling dient Angreifern häufig zum Download und zur Installation von Verschlüsselungs-Malware.
Bereits früher konnten Kaspersky-Experten Spam- und Phishing-Mails mit gefälschten Stellenangeboten identifizieren, die vermeintlich von großen Unternehmen stammten. Öffnete das Opfer sie, wurde ein Banking-Trojaner heruntergeladen, um Geld zu stehlen. Fasst man alle Corona-bezogenen Statistiken zusammen, hat jeder sechste Anwender (16 Prozent) bereits Phishing-Mails mit Covid-19-Bezug erhalten. Das versehentliche Herunterladen schädlicher Inhalte aus einer solchen E-Mail kann Geräte infizieren und Geschäftsdaten kompromittieren.
RDP im Visier
Millionen von Beschäftigten sind momentan gezwungen, von zu Hause aus zu arbeiten. Entsprechend hat der Einsatz von Fernzugriffswerkzeugen exponentiell zugenommen. Damit verbunden ist auch ein massiver Anstieg an Brute-Force-Attacken gegen das Remote Desktop Protocol (RDP) [2], einem der beliebtesten Remote-Access-Tools für Workstations und Server. Diese Brute-Force-Attacken sollen Nutzernamen und Kennwörter für RDP-Anwendungen herausfinden, indem sie verschiedene Optionen zufällig testen, bis sie die richtige Kombination finden. Damit erhalten Cyberkriminelle dann Fernzugriff auf den Computer innerhalb des Netzwerks und können so Spionage betreiben oder Informationen stehlen.
Die Anzahl der Brute-Force-Attacken auf RDP wuchs mit Beginn der Pandemie enorm. Allein in Deutschland stieg sie von Februar auf März 2020 um fast 220 Prozent (von 4,7 auf 15 Millionen Fälle), ähnlich wie in anderen europäischen Ländern [3]. RDP ist nicht das einzige für Cyberbedrohungen anfällige Protokoll. Ende vergangenen Jahres fanden Kaspersky-Experten 37 Sicherheitslücken in vier Implementierungen von VNC, einem weiteren beliebten RAS-Protokoll.
Malware und Videokonferenztools
Nutzer stoßen zudem immer öfter auf Bedrohungen, die sich als beliebte Videokonferenz-Apps und Online-Kursplattformen tarnen. Als Angriffsvektor dienen häufig gefälschte Installer auf inoffiziellen Seiten, die im Design der Originalplattformen gestaltet sind. Hinzu kommen als Sonderangebot oder Plattformbenachrichtigungen getarnte E-Mails [3]. Der populärste Köder war mit Abstand Zoom, da es sich dabei um die beliebteste Plattform für virtuelle Meetings handelt, die täglich mehr als 300 Millionen Teilnehmer nutzen. Auf Platz zwei rangiert die Lernplattform Moodle, die unter anderem als Mebis in Bayern oder DAKORA in Baden-Württemberg zum Einsatz kommt. Auf Platz drei folgte Google Meet.
Bei etwa 98 Prozent der identifizierten Bedrohungen handelte es sich nicht um Viren, sondern um Risk- und Adware. Letztere bombardiert Nutzer mit unerwünschter Werbung. Riskware umfasst verschiedene Dateitypen von Webbrowser-Leisten und Download-Managern bis hin zu Remote-Administration-Tools, die ohne Zustimmung des Nutzers verschiedene Aktionen auf dessen Computer vornehmen. Lediglich bei einem Prozent der festgestellten Bedrohungen handelte es sich um Trojaner.
Wie man sich schützt
Unternehmen und Organisationen tun gut daran, ihre Beschäftigten regelmäßig in Sachen Sicherheit zu schulen. Die Unterweisungen sollten die Themen Umgang mit Passwörtern und Kontodaten, E-Mail-Sicherheit und Endpoint Security umfassen. Es gilt, alle Geräte, Anwendungen und Dienste – egal, ob innerhalb des Unternehmensnetzwerks oder im Homeoffice – regelmäßig zu aktualisieren.
Darüber hinaus sollte auf allen Endpoints, einschließlich Servern und mobilen Endgeräten, eine bewährte Sicherheitslösung zum Einsatz kommen und eine Firewall eingerichtet werden. Die verwendete Lösung muss vor Internet-Bedrohungen und Phishing-Mails schützen. Eine Technik wie Managed Detection and Response [4] hilft zudem dabei, selbst mit fehlender interner Expertise Bedrohungen frühzeitig zu erkennen und zu bekämpfen.
Zudem sollte es Richtlinien geben, damit Mitarbeiter im Falle des Falles wissen, an wen sie sich mit IT- oder Sicherheitsproblemen wenden können, auch nach einem Fehlverhalten. Dabei gilt es, auf solche Mitarbeiter besonderes Augenmerk zu legen, die mit persönlichen Geräten arbeiten, über die die IT-Abteilung keine Kontrolle hat. Nur ein Zusammenspiel aus technischer Sicherheitslösung und einem ausgereiften Bewusstsein der Mitarbeiter für potenzielle Gefahren gewährleistet ein sicheres Arbeiten für alle. (jcb)
Der Autor
Christian Milde, General Manager DACH der Sicherheitsfirma Kaspersky, verfügt über zwanzig Jahre Erfahrung in den Bereichen IT und Cybersicherheit. Er war zuvor unter anderem als Vice President of Partner Sales Worldwide bei Avira für die Entwicklung der Geschäftsstrategie für den Mittelstand zuständig.
Infos
- Kaspersky Global Corporate IT Security Risks Survey: https://kas.pr/ch14
- Brute-Force-Angriffe auf RDP: https://securelist.com/remote-spring-the-rise-of-rdp-bruteforce-attacks/96820
- “Risiko digitale Bildung”: https://securelist.com/digital-education-the-cyberrisks-of-the-online-classroom/98380
- Kaspersky Managed Detection and Response: https://www.kaspersky.de/enterprise-security/managed-detection-and-response







