[datensicherheit.de, 28.07.2025] Proofpoint warnt in seiner aktuellen Stellungnahme vor Cyberkriminellen, welche mit „Remote Management Tools“ vermehrt Arbeitssuchende ins Visier nehmen. Diese „Tools können Daten- oder Finanzdiebstahl ermöglichen bzw. zur Installation von Malware, beispielsweise Ransomware, führen.

Abbildung: Proofpoint

Proofpoint warnt vor gefälschten Jobangeboten Cyberkrimineller – hier eine vorgetäuschte Einladung zur Besprechung via „zoom“

Gefälschte „zoom“-Einladungen führen zu einem „Remote Management Tool“

Proofpoint hat demnach mehrere Kampagnen identifiziert, bei denen betrügerische E-Mails mit Einladungen zu vermeintlichen Vorstellungsgesprächen versendet wurden: „Die E-Mails enthalten eine Einladung zu einem ,zoom’- oder ,Teams’-Call, um vermeintlich ein Stellenangebot zu besprechen. In Wirklichkeit führen die Links aber zu einem ,Remote Management Tool’ wie ,SimpleHelp’, ,ScreenConnect’ oder ,Atera’.“

• RMM-Software („Remote Monitoring and Management“) werde in Unternehmen legitimerweise von IT-Administratoren zur Fernverwaltung des Computer-Bestands eingesetzt. „Wenn sie missbraucht wird, hat diese Software die gleichen Fähigkeiten wie ein ,Remote Access Trojaner’ (RAT).“

In neueren Kampagnen werden laut Proofpoint kompromittierte E-Mail-Adressen genutzt, oder die Täter geben sich als Repräsentanten echter Unternehmen aus. „Die Absender haben für gewöhnlich Namen, die mit echten Personalvermittlern oder Unternehmensmitarbeitern in Verbindung gebracht werden.“ Der Inhalt solcher E-Mails beziehe sich auf Bewerbungen.

In betrügerischen E-Mails freie Stellen imitierter bzw. kompromittierter Unternehmen benannt

Security-Experten von Proofpoint konnten in den betrügerischen E-Mails „mehrere Stellen identifizieren, die von den imitierten bzw. kompromittierten Unternehmen tatsächlich ausgeschrieben wurden“.

• Proofpoint habe in mindestens einem Fall Beweise für ein gehacktes „LinkedIn“-Konto gefunden, über welches eine Stellenbeschreibung mit einer „Gmail“-Adresse veröffentlicht worden sei, „bei der eine kompromittierte Identität zum Einsatz kam“. Proofpoint habe diese E-Mail-Adresse in betrügerischen E-Mails beobachtet, „die an Personen geschickt wurden, die sich offenbar auf die Stelle beworben hatten“. Die Person, deren Identität betroffen gewesen sei, habe aber den Hacker-Angriff erkannt – „bevor Proofpoint ihn identifizieren konnte“ – und den betrügerischen Beitrag entfernt.

Cyberkriminelle könnten sich Listen potenzieller Ziele auf verschiedene Weise beschaffen: „So erstellen sie gefälschte Stellenausschreibungen, um E-Mail-Adressen zu sammeln, kompromittieren Posteingänge oder Soziale Medien von Personalverantwortlichen oder nutzen eine Liste zuvor gestohlener E-Mail-Adressen.“

Cyberkriminelle E-Mail-Kampagnen verbreiten „Tools“ für RMM oder „Remote Access Software“

Diese Aktivitäten seien Teil einer breiteren Palette von E-Mail-Kampagnen, welche „Tools“ für RMM oder „Remote Access Software“ (RAS) verbreiteten. Proofpoint habe E-Mails beobachten können, „die sich als US-Behörden, Einladungen zu Partys, Finanzinstitute und vieles mehr ausgaben“.

• RMM-/RAS-Tools seien als initiale „Payload“ sehr beliebt geworden. Anstatt RATs oder sogenannte Infostealer zu versenden, verwendeten Angreifer RMMs, da diese im legitimen Datenverkehr weniger auffielen. So könnten sie Geld oder Informationen stehlen bzw. weitere Malware installieren.

Arbeitssuchenden wird nun von Proofpoint geraten, „besonders auf die Namen und Absenderdomains der Personen zu achten, die mit ihnen in Kontakt treten, da diese Identitäten gefälscht sein könnten“. Abschließend die dringende Warnung: „Wenn Sie eine ausführbare Datei erhalten oder auf eine URL klicken sollen, die zu einer solchen führt, handelt es sich sehr wahrscheinlich um einen Betrugsversuch!“

Weitere Informationen zum Thema:

X, proofpoint, 24.07.2025
Threat Insight: Job seekers, watch out!

proofpoint, Ole Villadsen & Selena Larson & The Proofpoint Threat Research Team, 07.03.2025
Remote Monitoring and Management (RMM) Tooling Increasingly an Attacker’s First Choice

datensicherheit.de, 27.09.2024
Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen / „CUPS“ (Common Unix Printing System) ist das Standard-Drucksystem für viele „Unix“-ähnliche Betriebssysteme wie „GNU/Linux“

datensicherheit.de, 06.08.2021
Schwachstellen in Cisco VPN-Routern: Patchen oder Remote-Management-Funktion deaktivieren / Tenable mahnt zu schneller Reaktion auf Sicherheitslücken in Cisco VPN-Routern

[datensicherheit.de, 15.03.2021] Der Wechsel ganzer Belegschaften vom Büro ins sogenannte Home-Office bringe für IT-Security-Verantwortliche einen großen Verlust an Kontrolle mit sich. Entsprechend empfänden nicht alle IT-Admins die Aussicht auf dauerhafte „Remote Work“ als erfreulich. „Ist man jedoch bereit, die Gestaltungsprinzipien der IT-Security grundlegend zu überdenken, lässt sich das gewohnte Niveau an Kontrolle und Sicherheit beibehalten“, erläutert Anurag Kahol, „CTO“ bei Bitglass, und zeigt Möglichkeiten auf.

Bild: Bitglass

Anurag Kahol: Gestaltungsprinzipien der IT-Security grundlegend überdenken, um gewohntes Niveau an Kontrolle und Sicherheit beizubehalten!

Nachrangige IT-Security: Im Home-Office kontrollieren Benutzer Geräte und Software mehr oder weniger selbst

Kahol führt aus: „Für IT-Security-Verantwortliche muss sich ein abrupter Wechsel vom Büro- in den vollständigen Remote-Betrieb wie ein Umzug aus einer soliden ummauerten Villa in den Wilden Westen anfühlen. Traditionelle Grenzen des On-Premises-Betriebs und damit auch die Kontrolle, die dieser bietet, gibt es nicht mehr.“ Im Home-Office kontrollierten die Benutzer Geräte und Software mehr oder weniger selbst.
„Und damit fangen für IT-Admins die Schwierigkeiten an“: Der zu sichernde Bereich potenziere sich schlagartig. Nur ein Klick auf einen bösartigen E-Mail-Anhang, das Surfen auf einer Website mit Malware, ein offenes WLAN-Netzwerk oder ein ungesichertes Endgerät, das ein Mitarbeiter nutzt, könne Angreifern Zutritt zur IT-Unternehmensinfrastruktur verschaffen, wo sie noch größeren Schaden anrichten könnten.

Produktivitätsdruck kann IT-Security im Home-Office erheblich beeinträchtigen

Ausschließlich auf die Besonnenheit und Zuverlässigkeit der Belegschaft zu vertrauen, wäre ein schlechter Rat. Selbst mit ausführlicher Sensibilisierung bestehe vor allem in Stress-Situationen die Wahrscheinlichkeit, dass Mitarbeiter entgegen besseren Wissens einen riskanten Fehler machten. Kahol warnt: „Der Druck, produktiv zu sein, ist für Arbeitnehmer im Home-Office ohnehin schon leicht erhöht.“
Tatsächlich komme die Unternehmensberatung McKinsey zu dem Schluss, dass „Remote Work“ im Jahr 2020 die seit Langem bestehenden Herausforderungen der Cyber-Sicherheit – physische und psychologische Stressfaktoren, welche Mitarbeiter dazu zwingen würden, Kontrollen zu umgehen, um ihre Aufgaben zu erledigen – verstärke. „Kurz gesagt: Der Produktivitätsdruck kann die Sicherheit im Home-Office erheblich beeinträchtigen.“

Durchsetzen von Datensicherheits-Richtlinien muss über diverse IT-Security-Anwendungen hinweg sichergestellt werden

Um auch unter diesen Bedingungen ein ausreichendes Sicherheitsniveau herzustellen, griffen IT-Admins zu den Tools, die sich im regulären Bürobetrieb für die Anbindung weniger externer Teilnehmer im Bürobetrieb bewährt hätten: In erster Linie kämen Firewalls, Anti-Viren-Programme und VPN-Verbindungen als Sicherheitsvorkehrungen für den Zugriff auf Unternehmensressourcen zum Einsatz.
Für die IT-Manager bedeute dieser Ansatz einen spürbaren Mehraufwand: „Sie müssen neue oder gegebenenfalls die persönlichen Endgeräte der Mitarbeiter absichern und die dort installierte Software stets aktuell halten.“ Das Durchsetzen von Datensicherheits-Richtlinien müsse über diverse Security-Anwendungen hinweg sichergestellt werden. „Verursacht die Firewall bei einer hohen Nutzerauslastung Bandbreitenprobleme bei den Anwendern, sehen sich die IT-Admins mit einem erhöhten Aufkommen an Support-Anfragen konfrontiert. Alles in allem: Weniger Kontrolle, erhöhte Sicherheitsrisiken und suboptimale Managementprozesse.“

Auf IT-Security-Ebene geht Kontrolle verloren – doch Unternehmensführung gewinnt Geschmack an neuen Wegen

Was auf der IT-Security-Ebene dabei an Kontrolle verloren gehe, gewinne die Geschäftsebene hinzu. Im digitalisierten Unternehmen ließen sich neue Wege der Unternehmensführung einfacher umsetzen, da die IT-Gestaltung schnelle, effiziente Umstrukturierungen zulasse. Daher solle in vielen Firmen „Remote Work“ künftig zumindest für Teile der Belegschaft dauerhaft beibehalten oder allgemein als Option bestehen bleiben.
Einer Umfrage von Gartner nach wollten 74 Prozent der Unternehmen nicht, dass ihre Mitarbeiter in ein Büro zurückkehren. Führungskräfte auf der ganzen Welt drängten darauf, so schnell wie möglich neue Remote-Geschäftsprozesse zu etablieren, und sie seien bereit, das dafür notwendige Budget bereitzustellen.

IT-Security für Remote-Szenarien neu zu entwickeln!

„IT-Security muss für Remote-Szenarien neu entwickelt werden“, betont Kahol. Die Ankündigung von dauerhafter „Remote Work“ scheine für viele IT-Admins zunächst keine erfreuliche Aussicht zu sein. „Für sie bedeutet dies, eine größere Menge an Risiken mit umständlicheren Methoden zu managen. Das ist jedoch nur auf den ersten Blick der Fall. Bei genauer Betrachtung zeigt sich, dass das IT-Management von ,Remote Work‘ im Jahr 2020 meist nur auf Grund der kurzfristigen Umsetzung derart aufwändig war.“
Die Nutzung von VPN-Verbindungen und Firewalls sei zwar ein geeigneter Weg, um im Bürobetrieb einigen wenigen Mitarbeitern Remote-Zugriff zu erlauben. Werde dieser Ansatz jedoch auf die gesamte Belegschaft ausgerollt, erweise er sich als umständlich und wenig leistungsfähig.

Stärkung der IT-Security: Prozesse so einfach wie möglich halten!

„Neue Möglichkeiten entstehen jedoch, wenn man sich von dem Prinzip ,Notfall-Remote für alle‘ löst und bereit ist, die Gestaltung seiner IT-Security von Grund auf neu zu denken“, erläutert Kahol. Konsolidierung könne dabei ein grundlegender, erster Schritt sein: „Wenn Unternehmen ihre On-Premises-Implementierungen vollständig in die Cloud verlagern, lässt sich deren Verwaltung vereinfachen.“
Die Anwendung von Richtlinien lasse sich durch „Policy Engines“, welche Security-Tools wie CASBs oder SWGs anleiteten, zentral durchführen. „Wenn Prozesse so einfach wie möglich gehalten werden, sinkt auch die Wahrscheinlichkeit, dass Schwachstellen unbemerkt bleiben, da eine fragmentierte Sicherheitsumgebung, die sich nur schwer kontrollieren lässt, auf diese Weise vermieden wird.“

Im Remote-Betrieb schnell Balance zwischen IT-Security, Verfügbarkeit und Produktivität herzustellen

Effektive Konsolidierung und Vereinfachung erlaubten ein kosteneffizienteres Arbeiten. Bereitstellungen und deren Konfigurationen ließen sich innerhalb von Tagen statt Wochen durchführen und ermöglichten es Unternehmen, im Remote-Betrieb schnell die Balance zwischen Sicherheit, Verfügbarkeit und Produktivität herzustellen.
„Zu guter Letzt sollte sichergestellt werden, inwieweit ein neuer Ansatz resilient gegenüber künftigen Bedrohungen und Entwicklungen ist.“ Die Infrastruktur sollte in der Lage sein, sich schnell und dynamisch an Änderungen der Arbeitslast anzupassen, und gleichzeitig Engpässe im Backhaul-Verkehr zu vermeiden, welche sich im Laufe der Zeit auf die Produktivität auswirken könnten.

Wenn Geschäftsprozesse vorwiegend digital abgewickelt werden, erhält IT-Security entscheidende Bedeutung

Die Verlagerung auf „Remote Work“ sei ein weiterer Meilenstein der voranschreitenden Digitalisierung. Kahol betont: „Wenn Geschäftsprozesse vorwiegend digital abgewickelt werden, erhält die IT-Security eine entscheidende Bedeutung.“
Dieser könnten Unternehmen nur gerecht werden, „wenn sie bereit sind, die Gestaltung ihrer IT-Security grundlegend neu zu denken“. Mit den beschriebenen Grundsätzen schafften IT-Admins geeignete Voraussetzungen, um den IT-Bedrohungen einen Schritt voraus zu sein und gleichzeitig so effizient zu arbeiten wie in On-Premises-Umgebungen.

Weitere Informationen zum Thema:

datensicherheit.de, 13.10.2020
Home-Office: Arbeitnehmer weltweit in neue Routinen gedrängt / Paolo Passeri erklärt, wie sich die Cyber-Sicherheit durch Corona und Home-Office verändert hat

datensicherheit.de, 08.10.2020
TÜV SÜD: Tipps zur IT-Sicherheit für Rückkehr aus dem Home-Office / Arbeiten im Home-Office während der Corona-Krise hat Angriffsfläche spürbar vergrößert

datensicherheit.de, 01.10.2020
Corona und Home-Office: Zunahme an Cyber-Attacken um 154 Prozent / Großflächige Umstellung aufs Home-Office begünstigt Cyber-Angriffe

datensicherheit.de, 29.09.2020
KMU: Home-Office als Einfallstor für Cyber-Kriminelle / Malwarebytes-Bericht offenbart massive Sicherheitslücken durch Mitarbeiter im Home-Office

[datensicherheit.de, 21.05.2020] Der neue „Verizon Business 2020 Data Breach Investigations Report“ (DBIR 2020) zeigt, dass finanzieller Nutzen weiterhin der wesentliche Treiber für Cyber-Kriminalität ist: Fast neun von zehn (86 Prozent) der untersuchten Kompromittierungen sind finanziell motiviert. Die Mehrheit der Kompromittierungen (70 Prozent) wird weiterhin von externen Akteuren verursacht, wobei 55 Prozent davon auf das organisierte Verbrechen entfallen. Der Diebstahl von Anmeldeinformationen sowie soziale Angriffe wie Phishing und die Kompromittierung von geschäftlichen E-Mails verursachten die meisten Vorfälle (über 67 Prozent).

Weitere Details hierzu:

• 37 Prozent der Kompromittierungen von Zugangsdaten waren die Folge von gestohlenen oder schwachen Anmeldeinformationen
• Bei 25 Prozent der Fälle war Phishing beteiligt
• Menschliches Versagen machte 22 Prozent aus

Verizon Business 2020 Data Breach Investigations Report, © Verizon Business

Der DBIR 2020 berichtet über einen Anstieg der Kompromittierungen von Webanwendungen um das Zweifache auf 43 Prozent im Jahresvergleich. In über 80 Prozent dieser Fälle wurden gestohlene Zugangsdaten verwendet – ein beunruhigender Trend, da geschäftskritische Workflows immer mehr in die Cloud verlagert werden. Auch bei Ransomware war ein leichter Anstieg zu verzeichnen, der bei 27 Prozent der Malware-Vorfälle festgestellt wurde (im Vergleich zu 24 Prozent im DBIR 2019). 18 Prozent der Organisationen gaben an, im vergangenen Jahr mindestens einen Ransomware-Angriff blockiert zu haben.

„Die durch die globale Pandemie zugenommene Zahl von Remote-Arbeitsplätzen macht eine durchgängige Sicherheit von der Cloud bis zu den Laptops der Mitarbeiter immer wichtiger“, sagt Tami Erwin, CEO von Verizon Business. „Zusätzlich zum Schutz ihrer Systeme vor Angriffen empfehlen wir Unternehmen dringend ihre Mitarbeiter weiterzubilden, da Phishing-Attacken immer raffinierter und bösartiger werden.“

Gleichbleibende Muster bieten einen Vorteil für Verteidiger

Der DBIR 2020 hat erneut die gemeinsamen Muster hervorgehoben, die bei Cyber-Angriffen zu finden sind. Diese ermöglichen es Organisationen, die Ziele der Angreifer noch während der Attacke zu identifizieren. In Verbindung mit der Reihenfolge der Bedrohung (zum Beispiel Fehler, Malware, physischer Angriff, Hacking) können die Angriffspfade dazu beitragen, das Ziel einer möglichen Kompromittierung vorherzusagen, sodass Angriffe bereits im Ansatz gestoppt werden können. Organisationen erlangen somit bei der Abwehr einen Vorteil und können sich bei Security-Maßnahmen besser fokussieren.

Kleinere Unternehmen sind nicht immun

Die wachsende Zahl kleiner und mittlerer Unternehmen (KMU), die Cloud- und webbasierte Anwendungen und Tools nutzen, hat sie zu einem primären Ziel für Cyber-Angreifer gemacht. Die DBIR-Ergebnisse von 2020 zeigen diese Entwicklung:

• Phishing ist die größte Bedrohung für kleine Organisationen, auf die über 30 Prozent der Kompromittierungen entfallen. Es folgen die Verwendung von gestohlenen Zugangsdaten (27 Prozent) und „Passwort Dumpern“, also Tools, die Kennwörter im Klartext aufzeigen (16 Prozent).
• Angreifer zielten auf Zugangsdaten, persönliche Daten und andere interne geschäftsbezogene Daten wie medizinische Aufzeichnungen, Betriebsgeheimnisse oder Zahlungsinformationen.
• Über 20 Prozent der Angriffe richteten sich gegen Webanwendungen und betrafen die Verwendung gestohlener Anmeldeinformationen.

Industrien im Fokus

Der DBIR 2020 enthält eine detaillierte Analyse zu 16 Branchen. Sicherheit ist zwar weiterhin eine Herausforderung für alle Industrien, jedoch gibt es erhebliche Unterschiede zwischen den einzelnen Branchen. Im verarbeitenden Gewerbe beispielsweise waren 23 Prozent der Malware-Vorfälle mit Lösegeldforderungen verbunden, verglichen mit 61 Prozent im öffentlichen Sektor und 80 Prozent im Bildungswesen. Fehler (wie durch Fehlbedienung) machten 33 Prozent der Verstöße im öffentlichen Sektor aus, jedoch nur 12 Prozent in der Fertigung.

Hierzu weitere Details:

• Produktion: Externe Angreifer, die Malware wie Passwort Dumper, App Data Capturer und Downloader verwenden, um an proprietäre Daten zu gelangen und damit einen finanziellen Gewinn zu erzielen, sind für 29 Prozent der Kompromittierungen im verarbeitenden Gewerbe verantwortlich.
• Einzelhandel: 99 Prozent der Vorfälle waren finanziell motiviert, wobei Zahlungsdaten und persönliche Zugangsdaten weiterhin sehr gefragt waren. Webanwendungen und nicht mehr POS-Geräte (Point of Sale) sind heute die Hauptursache für Kompromittierungen im Einzelhandel.
• Finanzen und Versicherungen: 30 Prozent der Kompromittierungen wurden durch Angriffe auf Webanwendungen verursacht. Hier waren es meist externe Akteure, die mit gestohlenen Zugangsdaten auf sensible, in der Cloud gespeicherten Daten zugreifen konnten. Die Verlagerung zu Online-Services war hier ein zentraler Faktor.
• Bildungswesen: Ransomware-Angriffe verdoppelten sich in diesem Jahr und machten etwa 80 Prozent der Malware-Attacken aus, im Vergleich zu 45 Prozent im letzten Jahr. 27 Prozent der Vorfälle entfielen auf Social Engineering-Methoden.
• Gesundheitswesen: Fundamentales menschliches Versagen machte 31 Prozent der Kompromittierungen im Gesundheitswesen aus, wobei externe Kompromittierungen mit 51 Prozent (gegenüber 42 Prozent im DBIR 2019) etwas häufiger als Insider-Angriffe mit 48 Prozent (59 Prozent im letzten Jahr) auftraten. Diese Branche verzeichnet weiterhin die höchste Quote bei internen Angreifern, was sich mit einem breiteren Zugriff auf Zugangsdaten erklären lässt.
• Öffentlicher Sektor: Lösegeldforderungen machten 61 Prozent der auf Malware basierenden Vorfälle aus. 33 Prozent der Kompromittierungen sind Unfälle, die von Insidern verursacht wurden. Organisationen haben jedoch ihre Fähigkeiten verbessert, Kompromittierungen zu erkennen: Nur 6 Prozent blieben ein Jahr lang unentdeckt, verglichen mit 47 Prozent zuvor, was auf gesetzliche Berichtspflichten zurückzuführen ist.

Regionale Entwicklungen

Die 81 mitwirkenden Organisationen am DBIR 2020 haben dem Bericht spezifische Einblicke in regionale Cyber-Trends gegeben und Gemeinsamkeiten sowie Unterschiede zwischen den Regionen hervorgehoben. So machten beispielsweise finanziell motivierte Kompromittierungen 91 Prozent der Fälle in Nordamerika aus, verglichen mit 70 Prozent in der Region EMEA (Europa, dem Nahen Osten und Afrika) und 63 Prozent im asiatisch-pazifischen Raum. Weitere wichtige Ergebnisse sind;

• Nordamerika: Die am häufigsten eingesetzte Methode war der Diebstahl von Zugangsdaten, auf die über 79 Prozent der Hacking-Verstöße entfielen; 33 Prozent standen entweder im Zusammenhang mit Phishing oder Pretexting (unter einem Vorwand Zugriff auf Daten und Geld erhalten).
• EMEA (Europa, Naher Osten und Afrika): Denial of Service (DoS)-Angriffe machten über 80 Prozent der Malware-Vorfälle aus; 40 Prozent der Verstöße zielten auf Webanwendungen, wobei eine Kombination von Hacking-Methoden eingesetzt wurde, die entweder gestohlene Zugangsdaten oder bekannte Schwachstellen ausnutzen. 14 Prozent der Kompromittierung wurden mit Cyber-Spionage in Verbindung gebracht.
• APAC (Asien-Pazifik): 63 Prozent der Verstöße waren finanziell motiviert, und Phishing-Angriffe sind mit über 28 Prozent ein weiterer Schwerpunkt.

Alex Pinto, Hauptautor des Verizon Business Data Breach Investigations Report, kommentiert: „In Security-Schlagzeiten werden oft Spionage oder Angriffe aus Missgunst als wesentliche Ursache für Cyber-Kriminalität erwähnt. Unsere Daten zeigen, dass dies nicht der Fall ist. Finanzielle Vorteile treiben die organisierte Kriminalität weiterhin dazu an, Lücken in IT-Systemen oder menschliches Versagen auszunutzen. Die gute Nachricht ist, dass Organisationen eine Menge tun können, um sich selbst zu schützen. Dies schließt die Fähigkeit ein, häufig verwendete Muster in Cyber-Angriffen nachverfolgen zu können. Damit verändern sich nachhaltig die Spielregeln, da Organisationen wieder die Kontrolle erhalten.“

Weitere Informationen zum Thema:

datensicherheit.de, 11.09.2018
Verizon 2018 Data Breach Digest: Einblicke in die Realität von Datenverletzungen