Very Attackable Persons

Schützen Sie die angreifbarsten Mitarbeitenden Ihrer Firma

«Hacker publizieren gestohlene Daten im Darknet», «Hacker klauen Daten von halber Million Schutzbedürftiger», «Hacker erbeuten 30'000 Passwörter». Mitteilungen wie diese stammen nicht aus einem schlechten Drehbuch, sondern aus den Nachrichten der letzten Wochen. Kaum ein Tag vergeht, ohne dass es eine neue Firma erwischt. Dabei sind längst nicht nur Grosskonzerne für die bösen Buben attraktiv, auch immer mehr KMU geraten ins Visier. Wie soll man sich und seine Firma schützen?

Lange Zeit lag beim Thema Cybersecurity der Fokus auf technischen Lösungen. Firewalls und Antivirus-Software, die immer ausgeklügelter werden mussten, um jeden neuen Trojaner zu erkennen. Mit dem wachsenden Bewusstsein für IT-Security verschob sich der Fokus immer mehr auf den Faktor «Mensch». Neun von zehn Cyberattacken beginnen mit einer E-Mail, sagen Fachleute. Ein unbekannter Link, ein falscher Klick oder ein schnelles Login im vermeintlich sicheren Gratis-WLAN und schon ist das Tor für Angreifer offen. Ein Trojaner wird installiert, der das ganze Firmennetzwerk lahmlegen kann. Mitarbeitende werden so zu ungewollten Komplizen. Die Unternehmen reagieren mit kostspieligen Awareness-Kampagnen und Schulungen. Mitarbeitende sollen ominöse E-Mails, Links und Phishing-Webseiten selbstständig erkennen können. Die Devise: Was nicht eintrifft, muss nicht behoben werden. Gefahr gebannt? Mitnichten.

VAPs 360-Grad-Sicherheit Generative KI VAPS Erkennen Vorgehen der Angreifer Schutzmassnahmen

VAPs: Die wahren VIPs eines Unternehmens

«Eine neue Masche muss her», dachten sich Cyberkriminelle. Statt Phishing-Mails breit in die ganze Welt zu streuen, begann man damit, gezielt gewisse Personen ins Fadenkreuz der Attacken zu nehmen.

Indem Hacker die angreifbarsten Mitarbeitenden eines Unternehmens identifizieren und deren Aufgaben, Kommunikation und Verhalten studieren, können sie Attacken gezielt auf deren Verhalten abstimmen. Die E-Mail vom Chef oder der zugeschickte Link wirken dadurch viel vertrauenswürdiger und die Hacker haben wiederum freie Bahn.

Unternehmen, die diesem Verhalten entgegenwirken möchten, konzentrieren sich erfahrungsgemäss häufig auf die Mitglieder der Geschäftsleitung und das Management, die «VIPs». Ein verheerender Fehler. Denn es sind nicht nur die Ranghöchsten, die zu den angreifbarsten Mitarbeitenden, den «Very Attackable Persons» (VAPs), gehören.

360-Grad-Sicherheit für Ihre Unternehmen

Für Fachpersonen, die ihren Führungspersonen und der Unternehmensleitung aufzeigen, wer die VAPs im Unternehmen sind und wie sie diese schützen können, eröffnen sich optimale Möglichkeiten. Cyberattacken kommen immer häufiger vor und sind deshalb stets in unseren Köpfen präsent. Die ideale Gelegenheit, mit Führungspersonen das Gespräch zu suchen und mit ihnen gemeinsam die nächsten Schritte in Richtung ganzheitliche Unternehmenssicherheit zu gehen.

Eine Firewall und ein Antivirusprogramm zu installieren, reicht heutzutage einfach nicht mehr aus. Die sich mehrenden Meldungen über verübte Cyberattacken bestätigen dies auf klare Weise.

In unserer Themenwelt möchten wir Ihnen die wichtigsten Dinge aufzeigen, die Sie über Very Attackable Persons wissen müssen. Wer ist am häufigsten betroffen? Wie gehen Hacker vor und was können Sie tun, um Ihre Firma zu schützen? Diese Fragen beantworten wir auf dieser Seite.

Generative KI und LLMs – eine neue Qualität der Bedrohung

Technologie entwickelt sich bekanntlich unaufhörlich weiter und so sind Angreifer in der Lage, mithilfe von Künstlicher Intelligenz (KI) Angriffe in grossem Massstab durchzuführen. Automatisierte Prozesse ermöglichen es ihnen, simultan viele Ziele ins Visier zu nehmen. Insbesondere durch den Einsatz von Language Model LLMs (Large Language Models) können Angreifer personalisierte Phishing-Nachrichten und Social-Engineering-Angriffe erstellen, die schwerer zu erkennen sind und dennoch skalierbar sind.

Lösungsansätze

Zwei-Faktor-Authentifizierung (2FA):
1. Die Implementierung von 2FA bietet eine zusätzliche Sicherheitsebene. Dadurch wird der unbefugte Zugriff auf Systeme erschwert, selbst wenn Angreifer Zugangsdaten erlangen.
Sensibilisierung und Schulung:
1. Aufklärungskampagnen und gezielte Schulungen sind unerlässlich, um das Bewusstsein für die Gefahren von KI-gestützten Angriffen zu schärfen. Mitarbeiter sollten lernen, verdächtige Aktivitäten zu erkennen und richtig darauf zu reagieren. Hierzu gehören nicht nur generative KI, die Texte produzieren kann, sondern auch Bilder, Videos und Audio.
Effektives Meldesystem:
1. Ein proaktives Meldesystem für verdächtige Aktivitäten ermöglicht es, Bedrohungen frühzeitig zu erkennen und gezielt zu bekämpfen.

VAPs erkennen

So erkennen Sie Very Attackable Persons

Woran lassen sich Very Attackable Persons erkennen? Es sind nicht diejenigen Personen, die man als Erstes vermuten würde: nicht der CEO, der CFO oder die Vorsitzende des Verwaltungsrats, nicht die VIPs. Es ist die Assistentin des CEOs, die seine Geschäftsreisen bucht; der Sachbearbeiter in der Finanzabteilung, der Zahlungsfreigaben erteilt, oder die Einkäuferin, welche sich um die Warenbeschaffung für den ganzen Konzern kümmert. Kurz gesagt: VAPs zeichnen sich durch ihre relativ hohen Befugnisse in ihrem Fachbereich und nicht durch ihre Rolle in der Unternehmenshierarchie aus. Ein falscher Klick, ein unüberlegtes Öffnen einer Datei durch diese Mitarbeitenden, sorgt für eine Mehrzahl der weltweit registrierten personifizierten Cyberattacken. Dies bedeutet nicht, dass nicht auch VIPs zu den VAPs gehören können. IT-Verantwortliche, die ihre Mitarbeitenden und Führungspersonen schützen möchten, sollten mit ihnen eine umfangreiche Bestandesaufnahme machen. Folgende Fragen können dabei hilfreich sein:

Wer hat Zugang zu besonders kritischen Unternehmensdaten?
Wer nutzt häufig Drittgeräte (BYOD), Clouddienste oder fremde Netzwerke?
Wer verfügt über eine Prokura oder kann Zahlungen oder Bestellungen autorisieren?
Wer erhält häufig Phishing-Mails im Posteingang?

Auch wenn klar ist, dass es nicht die VAP gibt, können diese Fragen helfen, den Kreis der potentiellen Opfer zu schmälern und gezielte Gegenmassnahmen zu treffen.

Vorgehen der Angreifer

Wie gehen Angreifer vor?

Neun von zehn Cyberattacken beginnen mit einer E-Mail. Dies wird in Schulungen, die für viele von uns mehrmals im Jahr zum Alltag gehören, immer wieder erklärt. Viele sind davon überzeugt, bösartige E-Mails erkennen zu können. Dies mag vielleicht für Phishing-Mails gelten, die massenweise gestreut werden. Hacker, die jedoch explizit ein bestimmtes Unternehmen ins Auge gefasst haben, gehen dabei weitaus perfider vor. Social Engineering nennt sich die Methode.

Stellen Sie sich folgendes Szenario vor: Kurz nach Feierabend auf dem Mitarbeiterparkplatz finden Sie einen USB-Stick. Auf dem Stick klebt ein beschriftetes Post-It: «Löhne 2022». Bestimmt hat ihn die Kollegin aus dem HR verloren. Als zuverlässiger Kollege bringen Sie den USB-Stick gleich morgen der Kollegin vorbei, doch wagen Sie vielleicht noch einen Blick darauf, wie viel Ihre Chefin verdient? Die Tatsache, dass soziale Medien auch den Weg ins Berufsleben gefunden haben, macht es Hackern immer leichter, via LinkedIn und Co. herauszufinden, wer die VAPs eines Unternehmens sind, mit wem sie auch privat befreundet sind, in welchem Verein sie sich engagieren und was sie sonst noch für Hobbys haben.

Mit den gewonnenen Informationen lassen sich ausgeklügelte Attacken starten, die das Vertrauen des Opfers gewinnen sollen, um eine bestimmte Reaktion hervorzurufen. Wer generische Phishing-E-Mails im Nu erkennt, wird weniger misstrauisch, wenn die E-Mail-Nachricht vermeintlich vom Chef versendet wurde und klickt auf den bösartigen Link, der gar nicht mehr so verdächtig wirkt. Hacker, die wissen, mit welchen Tools eine Einkäuferin täglich interagiert oder welche Kunden sie betreut, können ihre Angriffe so aussehen lassen wie deren täglicher Bestellprozess. Die Folge: Was vertraut wirkt, lässt Menschen sich in falscher Sicherheit wiegen. Mit fatalen Folgen für das Unternehmen.