Von unserem Gastautor Dr. Klaus Gheri, Vice President und General Manager Network Security bei Barracuda Networks

[datensicherheit.de, 19.05.2019] Die feindliche Übernahme von Konten durch Hacker ist eine, der am schnellsten wachsenden Bedrohungen für die E-Mail-Sicherheit. Bei diesen Angriffen nutzen Cyberkriminelle häufig Markenimitation, Social Engineering und Phishing, um Anmeldeinformationen zu stehlen. Sobald ein Konto kompromittiert ist, spionieren Kriminelle die internen Unternehmensaktivitäten aus, um anschließend weitere Angriffe zu starten. Da mehr als die Hälfte aller globalen Unternehmen bereits Office 365 nutzt und die Akzeptanz weiter steigt, nutzen Angreifer besonders gehackte Office-365-Konten als lukratives Einfallstor zu Unternehmen und deren Daten.

Account Takeover: Die Vorgehensweise der Angreifer

Bei Office-365-Account-Takeover-Angriffen geben sich Täter häufig als Microsoft aus und versuchen mit Social-Engineering-Taktiken Nutzer dazu zu bringen, eine Phishing-Website zu besuchen und Anmeldeinformationen preiszugeben. Sobald ein Konto erfolgreich gehackt wurde, starten Kriminelle selten sofort einen weiteren Angriff. Stattdessen überwachen sie E-Mails und verfolgen die typischen Aktivitäten im Unternehmen, um die Erfolgschancen für einen weiteren Angriff zu maximieren.

Anschließend missbrauchen Cyberkriminelle das Konto, um weitere Zielpersonen innerhalb der Organisation, insbesondere Führungskräfte und Mitarbeiter der Finanzabteilung, anzusprechen, um auch deren Zugangsdaten zu erschleichen. Kompromittierte Konten können von Angreifern zudem genutzt werden, um durch Identitätsdiebstahl externe Angriffe auf Geschäftspartner und Kunden zu starten. Bei der Kontaktaufnahme fügen Hacker in ihre E-Mails oft reale, kopierte Threads ein, etwa bei der Bitte um eine Banküberweisung, und erhöhen dadurch die Glaubwürdigkeit der Nachricht. Zudem richten Betrüger Postfachregeln ein. So verbergen oder löschen sie alle E-Mails, die sie über das gehackte Konto versenden.

Bild: Barracuda Networks

Dr. Klaus Gheri, Vice President und General Manager Network Security bei Barracuda Networks

Fast ein Drittel der Unternehmen von gehackten Office-365-Konten betroffen

Eine aktuelle, von Barracuda durchgeführte Analyse von Account-Takeover-Angriffen ergab, dass bei 29 Prozent der untersuchten Unternehmen Office-365-Konten von Hackern kompromittiert worden waren. Dabei wurden mehr als 1,5 Millionen bösartige und Spam-E-Mails von den Accounts versendet. Zudem stellten die Cyberkriminelle bei 34 Prozent der fast 4.000 kompromittierten Konten unbemerkt E-Mail-Regeln auf, um ihre Aktivitäten zu verbergen.

Die Hacker führten diese Angriffe mit verschiedenen Methoden durch. In einigen Fällen nutzten Angreifer Benutzernamen und Passwörter, die bei früheren Datenlecks erworben wurden. Da die Benutzer oft das gleiche Passwort für verschiedene Konten verwendeten, konnten Hacker die gestohlenen Zugangsdaten erfolgreich wiederverwenden und Zugriff auf zusätzliche Konten erlangen. Angreifer nutzten auch gestohlene Passwörter für private E-Mail-Konten, um darüber Zugang zu geschäftlichen E-Mails zu erhalten. Darüber hinaus Brute-Force-Angriffe können für die erfolgreiche Konto-Übernahme verwendet werden, da manche Benutzer sehr einfache Passwörter verwenden, die leicht zu erraten sind und nicht oft genug geändert werden.

Schutzmaßnahmen gegen Account Takeover

1. Nutzung von Künstlicher Intelligenz
   Betrüger passen die E-Mail-Angriffstaktiken an, um Gateways und Spam-Filter zu umgehen. Daher ist es wichtig, über eine Lösung zu verfügen, die Spear-Phishing-Angriffe erkennt und vor ihnen schützt, einschließlich Business Email Compromise (BEC) und Markenimitationen. Unternehmen sollten speziell entwickelte Technologien einsetzen, die nicht nur auf der Erkennung von bösartigen Links oder Anhängen basieren. Die Verwendung von maschinellem Lernen zur Analyse der üblichen Kommunikationsmuster innerhalb des Unternehmens ermöglicht es diesen Technologien, Anomalien zu erkennen, die auf einen Angriff hinweisen können. Sie können in Echtzeit Gegenmaßnahmen ergreifen, indem sie Benutzer warnen und bösartige E-Mails entfernen, die von gehackten Konten stammen.
2. Multi-Faktor-Authentifizierung
   Die Multi-Faktor-Authentifizierung (MFA), die Zwei-Faktor-Authentifizierung und die zweistufige Verifizierung, bietet eine zusätzliche Sicherheitsebene neben Benutzername und Passwort, wie beispielsweise einen Daumenabdruck, einen Netzhaut-Scan oder ein One-Time Password (OTP). Das One-Time Password (Einmalpasswort) ist – wie der Name verrät – ein nur einmal gültiges Passwort, das für die Authentifizierung oder für Transaktionen verwendbar ist. Es kann entweder dynamisch generiert oder einer zuvor erstellen Liste von statischen Einmalpasswörtern entnommen werden.
3. Überwachung von Posteingangsregeln und verdächtigen Anmeldungen
   Unternehmen sollten zudem Technologien nutzen, um verdächtige Aktivitäten zu identifizieren, einschließlich Anmeldungen von ungewöhnlichen Orten und IP-Adressen, die ein potenzielles Zeichen für ein gefährdetes Konto sind. Dabei sollte darauf geachtet werden, dass auch E-Mail-Konten auf bösartige Weiterleitungs- und Löschregeln überwacht werden, die Kriminelle nutzen, um ihre Spuren zu verwischen.
4. Schulung der Mitarbeiter zur Erkennung und Meldung von Angriffen
   Unternehmen sollten Benutzer dezidiert über Spear-Phishing-Angriffe aufklären. Darüber hinaus sollten Phishing-Simulationen für E-Mails, Voicemails und SMS eingesetzt werden, um Benutzer darin zu schulen, Cyberangriffe zu identifizieren, die Effektivität des Trainings zu testen und die am stärksten gefährdeten Benutzer zu identifizieren. Zudem sollten Richtlinien erstellt werden, die Verhaltensweisen für Anfragen per E-Mail bezüglich Banküberweisungen festlegen.

Account Takeover wird auch in naher Zukunft eine der größten Gefahren für die Unternehmenssicherheit bleiben. Doch durch einen mehrschichtigen Ansatz, bestehend aus Mitarbeitertraining und Technologien, kann das Risiko dieser Angriffe erheblich eingeschränkt werden.

Weitere Informationen zum Thema:

datensicherheit.de, 22.04.2019
Proofpoint: Kommentar zu Sicherheitsvorfällen bei Office 365

datensicherheit.de, 17.04.2019
Office 365: Zunehmendes Risiko von Cloud-Account-Attacken

datensicherheit.de, 15.04.2019
Hackerangriff auf Outlook.com: Schwachstelle Privileged Account

datensicherheit.de, 03.02.2019
Microsoft 365-Nutzer konnten keine Links mehr öffnen

[datensicherheit.de, 03.04.2017] Das Beratungsunternehmen dhpg lädt am Donnerstag, den 27. April 2017, zu einer Informationsveranstaltung zum IT- und Datenschutz in Unternehmen ein. Beginn ist ab 17.30 Uhr in der Bundeskunsthalle in Bonn. Anlass dieser Veranstaltung ist die neue EU-Datenschutz-Grundverordnung, mit der sich zukünftig jede Firma auseinandersetzen muss. Im Rahmen eines Round Table beleuchten Experten, wie Unternehmen ihre Daten- und IT-Sicherheit unter dem Blickwinkel der EU-Datenschutzreform gewährleisten und rechtssicher gestalten können. Wie aktuell dieses Thema ist, zeigen sie im Anschluss anhand einer simulierten Hackerattacke. Durch die Veranstaltung führt der Prof. Dr. Andreas Blum, Wirtschaftsprüfer, Steuerberater Professor an der Hochschule Fresenius in Köln.

Im Vorfeld der Informationsveranstaltung können interessierte Teilnehmer auch an einer Führung durch die Kunst- und Ausstellungshalle der Bundesrepublik Deutschland teilnehmen. Beginn ist um 16.30 Uhr.

Weitere Informationen zum Thema:

dhpg
Chefsache: Daten- und Sicherheitspannen vermeiden

datensicherheit.de, 19.10.2016
Chefsache Datensicherheit: Ein Bewusstseinswandel zeichnet sich ab

[datensicherheit.de, 15.07.2011] Mit der wachsenden Bedeutung der Informations- und Kommunikationstechnologie steigt die Gefahr des Datenmissbrauchs  und -diebstahls auch für Unternehmen des Mittelstands. Um Unternehmer und Mitarbeiter stärker für die Bedrohungen der IT-Sicherheit zu sensibilisieren, fand am 14. Juli 2011 zum dritten Mal der Karlsruher „Tag der IT-Sicherheit“, eine Kooperationsveranstaltung der „Karlsruher IT-Sicherheitsinitiative“, der IHK Karlsruhe und des CyberForum e.V., statt:
Mehr als 100 Unternehmer, IT-Leiter, IT-Sicherheitsverantwortliche und Datenschutzbeauftragte verfolgten die Fachvorträge im Saal „Baden“ der IHK Karlsruhe. In seinem Grußwort unterstrich Gerd Stracke, Vizepräsident der IHK Karlsruhe, die Bedeutung dieser Informationsveranstaltung für die „TechnologieRegion Karlsruhe“, in der der Bedarf an wirksamem Daten- und Know-How-Schutz besonders groß sei. Nicht umsonst forschten und entwickelten wissenschaftliche Einrichtungen und Unternehmen der Region intensiv und sehr erfolgreich auf dem Gebiet der IT-Sicherheit. Erst kürzlich habe das Karlsruher Institut für Technologie (KIT) vom Bundesministerium für Bildung und Forschung den Zuschlag für das „Kompetenzzentrum für Angewandte Sicherheits-Technologie“ (KASTEL) erhalten, das im Oktober 2011 seine Arbeit aufnehmen werde.
Anlässlich des zehnjährigen Bestehens der „Karlsruher IT-Sicherheitsinitiative“ war eigens Michael Hange, Präsident des Bundesministerium für Sicherheit in der Informationstechnologie (BSI) nach Karlsruhe gereist, um die Veranstaltung mit einer „Keynote“ zu eröffnen. Darin gab er einen anschaulichen Einblick in die derzeitige nationale und internationale Bedrohungslage sowie die Aktivitäten und ersten Erfolge des im April gegründeten „Cyber-Abwehr-Zentrums“ des BSI. Anschließend überreichte er im Namen des BSI dem Technikvorstand der Astaro GmbH & Co. KG, Herrn Markus Hennig, ein IT-Sicherheitszertifikat nach „Common Criteria“ (ISO 15408) der hohen Prüftiefe „EAL4+“ für den „Astaro Security Gateway V8 Packet Filter“ – das weltweit erste Zertifikat für eine Open-Source-Firewall. Es folgten zwei Vorträge zu IT-Sicherheits-Initiativen des Gesetzgebers – „De-Mail“ von Leslie Romeo, 1&1 Mail & Media GmbH, und „elektronischer Personalausweis“ von Jens Fromm, Fraunhofer FOKUS; zwei aktuelle Beispiele staatlicher Technikgestaltung zur Sicherung elektronischer Kommunikationswege für Bürger und Unternehmen. Daran schlossen sich die Beiträge zu Web-Angriffen von Kai Jendrian sowie Klaus Müller, Secorvo Security Consulting GmbH, und der Sicherheit im Online-Banking von Lutz Bleyer, Fiducia IT AG, an, in denen aktuelle Entwicklungen der Bedrohungslage und wirksame Schutzmaßnahmen vorgestellt wurden.
Die Vorträge zum „3. Tag der IT-Sicherheit“ können ab dem 20. Juli 2011 auf der Website der IHK Karlsruhe (s. Dokumentnummer 83415) heruntergeladen werden.

Weitere Informationen zum Thema:

Industrie- und Handelskammer Karlsruhe
DOWNLOAD VORTRÄGE / Vorträge zum 3. Tag der IT-Sicherheit

Karlsruher IT-Sicherheitsinitiative
Zielsetzung