Jamf Blog
Person dressed in a suit fishing off a bridge with a jar of money nearby.

Security 360 Highlights: Phishing und Social Engineering

Nach der Veröffentlichung des Jamf Security 360: Jährlicher Bericht über Bedrohungstrends 2023, in dem wir die Trends bei Sicherheitsbedrohungen aufzeigen, nutzen wir die von Jamf gesammelten Bedrohungsdaten, um Sicherheitsexpert*innen darüber zu informieren, welche Bedrohungen die Unternehmen im vergangenen Jahr am stärksten beeinträchtigt haben. Die Daten in dieser Blogserie helfen IT- und Sicherheitsteams zu verstehen, dass die Bedrohungsakteur*innen weiterhin auf Social-Engineering-Angriffe setzen. Durch die Identifizierung verschiedener Angriffsarten, wie z. B. Phishing, und die Art und Weise, wie sie eingesetzt werden, können die Benutzer*innen besser darüber informiert werden, wie sie diese Angriffe erkennen und verhindern können, dass sie Geräte, Benutzeranmeldeinformationen und sensible Daten gefährden.

„Wie die Angst kann auch das Risiko nicht beseitigt, sondern nur gemildert werden” – Unbekannt

Das obige Zitat ist im Zusammenhang mit der Cybersicherheit sehr aussagekräftig. Diejenigen, die sich dessen bewusst sind, wissen, dass die Vielfalt der bestehenden Risiken niemals vollständig beseitigt werden kann. Stattdessen müssen IT- und Sicherheitsteams solide Sicherheitsstrategien anwenden, die sowohl leistungsfähig genug sind, um Bedrohungen zu entschärfen, als auch flexibel genug, um sich an subtile (und nicht so subtile) Änderungen anzupassen, die bei der Unterstützung mehrerer Gerätetypen, des Benutzerverhaltens und der individuellen organisatorischen Anforderungen vor dem Hintergrund einer sich entwickelnden Bedrohungslandschaft eingeführt werden.

Einer der Schlüssel zum erfolgreichen Jonglieren mit all diesen Variablen, um die Sicherheit von Endgeräten, Benutzer*innen und Unternehmensdaten zu gewährleisten, liegt in der Kenntnis des Risikoniveaus, seiner Ursachen und der verschiedenen Angriffsvektoren, die Bedrohungsakteur*innen nutzen könnten, um die Sicherheitslage Ihrer Geräte und Ihres Unternehmens zu gefährden.

Und genau das ist das Ziel dieser Blogserie. Direkt aus dem Jamf Security 360: Jährlicher Bericht über Bedrohungstrends wird sich jeder Blog in dieser kurzen Serie auf einen bestimmten Bedrohungstrend konzentrieren und unter anderem folgende Themen behandeln:

  • Was sind die verschiedenen Formen jeder Bedrohung
  • Warum sie für die Endpoint-Sicherheit so wichtig sind
  • Wie sich jede der Bedrohungen im Laufe der Zeit entwickelt
  • Was die besten Methoden sind, um sie abzuschwächen

Beginnen wir auf diesem Weg mit Social Engineering und Phishing, ja?

Warum ist Social Engineering so effektiv?

Social Engineering erfordert wenig Ressourcen, Aufklärung oder Planung auf Seiten des Bedrohungsakteurs/der Bedrohungsakteurin, doch der Gewinn ist beeindruckend hoch. Einfach ausgedrückt: Für den relativ geringen Aufwand, der betrieben wird, ernten die Angreifer*innen einen vergleichsweise hohen Erfolg.

Außerdem sind dafür keine Expert*innen oder auch nur mittlere Kenntnisse im Bereich der Cybersicherheit erforderlich. Sie haben einfach ein Händchen dafür, die Drohung so überzeugend erscheinen zu lassen, dass die Opfer die geforderte(n) Handlung(en) ausführen.

Die größte Social-Engineering-Bedrohung: Phishing

Wer würde es nicht vorziehen, weniger zu arbeiten und mehr zu verdienen, anstatt härter zu arbeiten, um den gleichen Betrag zu verdienen?

Der gleiche Gedankengang liegt dem Social Engineering zugrunde, d. h., die Bedrohungsakteur*innen haben es auf Quantität abgesehen und versuchen, ein möglichst breites Netz auszuwerfen, um so viele Benutzer*innen wie möglich zu erreichen. Doch genau darin liegt der Haken, denn es gibt eine Vielzahl von Phishing-Angriffsarten (dazu später mehr), die sich zwar ähneln, aber leichte Unterschiede in ihren Angriffen aufweisen.

Je nachdem, was die Angreifer*innen erreichen wollen, wurden die Phishing-Angriffe so modifiziert, dass die Ziele genauer erfasst werden. Dabei werden nicht nur hochrangige Rollen ins Visier genommen, sondern es wird auch versucht, Mitarbeiter*innen dazu zu bringen, bestimmte Verwaltungsvorgänge auszuführen, wie z. B. das Phishing von Führungskräften (auch bekannt als CEO Fraud), mit dem Benutzer*innen dazu gebracht werden sollen, Überweisungen von Unternehmenskonten zu tätigen. Andere Varianten von Phishing-Angriffen zielen auf ein Mitglied der IT-Abteilung oder auf eine bestimmte Gruppe von Nutzer*innen ab, z. B. auf die Nutzer*innen sozialer Medien, im Gegensatz zu den allgemeinen, pauschalen Nachrichten, die oft für die Massenansprache von Nutzer*innen verwendet werden.

Beispiele für die häufigsten Arten von Phishing-Angriffen sind:

  1. E-Mail: E-Mail-Nachrichten werden an Personen gesendet, die vorgeben, von einer seriösen, vertrauenswürdigen Quelle zu stammen.
  2. Smishing: SMS-Nachrichten werden mit Links oder Anhängen gekoppelt, um Benutzer*innen von Mobilgeräten zu kompromittieren.
  3. Soziale Medien: Die Angreifer*innen geben sich mit gefälschten Profilkonten in sozialen Medien als Kundendienstmitarbeiter*innen aus, um Opfer anzusprechen, die Hilfe benötigen.
  4. Speer: Ein granularer, gezielterer Ansatz zum E-Mail-Phishing, der sich auf bestimmte Personen innerhalb einer Organisation konzentriert, um bestimmte Informationen, Daten und/oder Zugangsdaten zu erhalten.

Social-Engineering-Angriffe im Keim ersticken

Wir haben es schon früher gesagt und werden auch weiterhin die gleiche Trommel schlagen, indem wir die Vorteile einer Defense-in-Depth-Strategie anpreisen, die sich auf mehrere Sicherheitskontrollen stützt, die zusammenarbeiten, um Bedrohungen abzufangen und eine Vielzahl von Angriffsarten zu stoppen. Ein Beispiel für die Kontrollen, die zum Schutz vor Social Engineering eingesetzt werden können, sind die folgenden:

  • Mobile Device Management (Mobilgeräteverwaltung, MDM) zur:
    • zentralen Verwaltung und Standardisierung von Gerätekonfigurationen
    • automatischen Verfolgung des Gerätebestands
    • Bereitstellung von Geräten durch Zero-Touch, um sie schneller in die Hände der Endnutzer*innen zu bringen
    • Sicherung und Nachverfolgung verlorener/gestohlener Geräte und Möglichkeit der Fernsperrung/-löschung
    • Bereitstellung von verwalteten Apps und um die Sicherheitseinstellungen von Apps/Diensten zu härten, z. B. Verschlüsselung von Datenträgern und Konfiguration von Firewall-Einträgen
    • Durchführung eines Patch-Managements, um alle Geräte, Betriebssysteme und Apps auf dem neuesten Stand zu halten
    • Integration von MDM- und Endgerätesicherheitslösungen zum sicheren Austausch von Gerätezustandsdaten zur Entwicklung automatisierter Abhilfeworkflows
    • ganzheitlichen Verwaltung von Geräten über den gesamten Lebenszyklus von Geräten und Apps
  • Cloud-basierten Identity Provider (IdP)-Integration für:
    • Bereitstellung von Identitäten für Nutzer*innen sowie von Berechtigungen für Geräte und Unternehmensressourcen
    • MFA für die Überprüfung von Authentifizierungsversuchen und Ressourcenanfragen verlangen
    • Integration mit Telemetriedaten der Endpoint-Sicherheit, um den Gesundheitszustand von Benutzer*innen und Geräten zu überprüfen, bevor der Zugriff auf angeforderte Ressourcen als Teil eines Zero Trust Network Access (ZTNA)-Frameworks gewährt wird
    • Anpassung und Durchsetzung von Passwort- und Benutzeranmeldungsrichtlinien, um das Risiko schwacher Passwörter oder gefährdeter Konten zu minimieren und gleichzeitig den Zugriff auf Geschäftsdaten zu beschränken
  • Endpoint-Sicherheitssoftware, die Geräte schützt, indem sie:
    • Malware und Angriffen auf Geräte durch Zuordnung bekannter Bedrohungen und Schwachstellen zur Verhaltensanalyse verhindern
    • Fernverbindungen durch verschlüsselte Mikrotunnel über alle Netzverbindungen sichern
    • maschinelles Lernen (ML) zur Unterstützung bei der Automatisierung der Reaktion auf Zwischenfälle und der Erkennung unbekannter Bedrohungen durch Threat Hunting einsetzen
    • den Gerätezustand aktiv überwachen
    • Echtzeit-Benachrichtigungen über Änderungen an Geräten erzeugen
    • automatische Arbeitsabläufe zur Quarantäne, Eindämmung und Beseitigung von Bedrohungen erstellen
    • netzinterne Kontrollen zur Bewältigung von Bedrohungen, z. B. Blockierung von Phishing-URLs und Man-in-the-Middle-Angriffen bereitstellen
    • Telemetriedaten von Endgeräten, die einen Einblick in den Gerätestatus in Echtzeit ermöglichen sammeln
  • Richten Sie Cybersicherheitspläne an bekannten Rahmenwerken wie NIST, CIS und MITRE aus und halten Sie sich an bewährte Verfahren für alle Geräte und Betriebssysteme in Ihrer Infrastruktur
  • Durchsetzung der Compliance durch richtlinienbasiertes Management zur Erfüllung der gesetzlichen Anforderungen Ihres Unternehmens
  • Begrenzung von Datenlecks oder Exfiltration durch Beschränkung des Zugriffs auf kategorisierte Daten und die zur Speicherung geschützter Daten zugelassenen Medien, z. B. durch Verhinderung der Speicherung auf externen Laufwerken oder durch Verschlüsselung
  • Vorschreiben, dass Geräte, die für den Zugriff auf Unternehmensressourcen verwendet werden, Mindestanforderungen erfüllen, einschließlich Verwaltung und Durchsetzung durch MDM und das Vorhandensein von Endpoint-Sicherheit
  • Flexible MDM-Lösung, die den Schutz von Daten über alle Gerätebesitzmodelle hinweg durchsetzen kann (BYOD/CYOD/COPE)
  • Wahrung der Privatsphäre der Nutzer,*innen indem die persönliche Nutzung direkt ins Internet geleitet wird, während Geschäftsdaten und Apps in einem separaten, sicheren Volume gespeichert werden und die Kommunikation verschlüsselt wird
  • Streaming von Protokolldaten zu einer zentralen SIEM-Lösung, um Zustandsdaten, Trends und Daten zu sortieren, zu kategorisieren und Berichte zu erstellen, die erforderlich sind, um die Sicherheit von Geräten und Daten zu gewährleisten
  • Festlegung von Stilllegungsverfahren zur sicheren Löschung von Daten von Geräten, die zur Ausmusterung vorgesehen sind
  • Implementierung und regelmäßiges Testen von mehrstufigen Notfallwiederherstellungslösungen, um kritische Daten zu sichern, zu überprüfen, ob die Sicherungen gültig sind und ob die Daten wiederhergestellt werden können
  • Die Integration von Erst- und Drittanbietern ermöglicht den sicheren Austausch von Telemetriedaten über APIs, sodass alle Lösungen immer auf dem neuesten Stand der Gerätedaten sind
  • Verwaltung von Datenpools auf mobilen Geräten, die Mobilfunknetze nutzen, um die Haftung für illegale oder unangemessene Inhalte zu begrenzen und gleichzeitig sicherzustellen, dass alle Nutzer*innen Zugang zur Bandbreite haben, die sie für ihre Produktivität benötigen
  • Sicherstellen, dass alle Geräte, Benutzer*innen und Daten in der gesamten Infrastruktur geschützt sind und von jedem Ort, zu jeder Zeit und auf jedem unterstützten Gerät verwaltet werden können
  • Abstimmung der gesetzlichen Anforderungen mit den Unternehmensrichtlinien durch eine Richtlinie zur akzeptablen Nutzung (Acceptable Use Policy, AUP), die die Erwartungen des Arbeitgebers an das Verhalten der Mitarbeiter*innen bei der Nutzung von unternehmenseigenen Geräten und/oder bei der Arbeit mit unternehmenseigenen Daten und Ressourcen umreißt

Doch selbst mit einem umfassenden Sicherheitsplan finden Bedrohungsakteur*innen immer noch Wege, um Schutzmaßnahmen scheinbar zu umgehen. Der Grund dafür ist, dass diese Art von Bedrohung weiterhin eine bevorzugte Methode von Bedrohungsakteur*innen sein wird, die versuchen, die niedrig hängenden Früchte von unzähligen Opfern zu pflücken, solange die Benutzer*innen weiterhin auf Social-Engineering-Bedrohungen hereinfallen und einfach ihre Anmeldedaten oder andere sensible Informationen weitergeben.

Trotz seiner weiten Verbreitung und seines Erfolgs als kritische Bedrohung für die Endpoint-Sicherheit, die Sicherheit der Benutzer*innen und den Schutz von Daten hat Social Engineering einen eklatanten, vermutlich fatalen Fehler: Es ist darauf angewiesen, dass das Opfer die Nutzlast des Angriffs ausführt, um sein Ziel zu erreichen. Ich möchte noch einmal betonen, dass die Verantwortung für die erfolgreiche Durchführung einer Social-Engineering-Kampagne beim Endbenutzer/bei der Endbenutzerin liegt - nicht beim Bedrohungsakteur/der Bedrohungsakteurin.

Dies ist vielleicht der größte Schwachpunkt von Social-Engineering-Angriffen, da das Opfer aktiv an dem Prozess teilnehmen muss, indem es die Aufforderung(en) des Angreifers/der Angreiferin ausführt. Aber was passiert, wenn das Ziel kein Opfer ist, d.h. wenn der Endbenutzer/die Endbenutzerin den Versuch erkennt und nichts weiter tut, als ihn der IT-Abteilung zu melden?

Der Angriff wird auf der Stelle gestoppt, während die IT-Abteilung auf die Existenz des Angriffs aufmerksam gemacht wird, sodass sie kompensierende Kontrollen zur Eindämmung der Bedrohung einsetzen kann.

Wissen selbst ist Macht.” – Sir Francis Bacon

Diese Fähigkeit, Social-Engineering-Angriffe zu erkennen oder zumindest so misstrauisch zu sein, dass die Zielpersonen innehalten, ist der Schlüssel zur Abwehr von Social-Engineering-Angriffen unterschiedlicher Art und Form. Mit einem Wort: Schulung. Sicherheitsschulungen, die die Benutzer*innen über bestehende und sich entwickelnde Bedrohungen auf der Grundlage von Bedrohungsdaten und -trends informieren, sind ein wichtiger Beitrag zu , der die Benutzer*innen in die Lage versetzt, diese Arten von Bedrohungen zu erkennen und zu stoppen , bevor sie zu echten Angriffen werden, die sich zu Sicherheitsvorfällen ausweiten.

Erfahren Sie mehr über diese und andere wachsende Bedrohungstrends, die sich auf die Cybersicherheit auswirken!

Jamf Blog abbonieren

Industrietrends, Apple Neuigkeiten und das Neueste von Jamf, direkt in Ihrer Inbox.

Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.