US-Netzbetreiber Verizon warnt: Phishing und Social Engineering nehmen zu. ChatGPT & Co. machen derlei Betrügereien kinderleicht.
Früher musste man noch ohne KI betrügen. Beispiel: Der kleine Kevin war ein abenteuerlustiges Kind. Er wollte das heimische San Fernando Valley erkunden, per Bus und natürlich möglichst kostensparend. „Eines Tages bemerkte ich, dass die Gültigkeit des Tickets dadurch kontrolliert wurde, wie der Fahrer die Tickets lochte“, berichtete er viele Jahre später. Bei einem freundlichen Fahrer erfuhr er mit „bedacht bewählten Fragen“, wo man diesen speziellen Locher kaufen konnte – er sagte, es sei für ein Schulprojekt. Denn der findige Junge hatte gesehen, dass die Busfahrer angefangene Blöcke mit Transfertickets nach Feierabend an der Endstation im Mülleimer entsorgten: „Mit einem Stapel unbenutzter Tickets und dem Locher konnte ich meine eigenen Transfers stanzen und das gesamte Busnetz von Los Angeles befahren.“
Jahrzehnte später, im Jahr 1995: Das FBI führt eine Razzia in Kevins Wohnung durch und verhaftet ihn. Denn zwischenzeitlich hatte sich der Junge, der einst den örtlichen Nahverkehr mittels Locher und „Dumpster Diving“ austrickste, zum meistgesuchten Hacker der USA gemausert: Kevin Mitnick hatte unter anderem Quellcode von DEC (damals eine große Nummer in der noch jungen Computerbranche) ergaunert, später von Sun Microsystems (dito) sowie von den Handyherstellern Nokia und Motorola; er war in Dutzende Netzwerke eingedrungen, in das des US-Verteidigungsministeriums ebenso wie in Telefonnetze, und hatte sogar die Kommunikation der FBI-Agenten belauscht, die ihm jahrelang auf der Spur waren. Doch schließlich wird er geschnappt, wegen mehrfachen Computer- und Telekommunikationsbetrugs verurteilt und muss fünf Jahre in Haft verbringen. Inzwischen ist der ehemalige Hacker ein gefragter Redner und Buchautor, hat seine eigene Security-Beratungsfirma und fungiert als „Chief Hacking Officer“ bei KnowBe4, einem Anbieter von Online-Schulungen für Security-Awareness (Bewusstsein für IT-Sicherheit).
Geschickt gewählte Fragen
Denn seine größten Erfolge hatte Mitnick weniger durch Computer-Hacking erzielt, sondern vielmehr mittels Social Engineering, also durch das Ausnutzen menschlicher Schwächen mit dem Ziel, Dritte für die eigenen Ziele einzuspannen. Entsprechend heißt sein bekanntestes Buch – aus dem auch obige Busticket-Anekdote stammt – „The Art of Deception“, auf Deutsch: „Die Kunst der Täuschung“. Hier erzählt der geläuterte Hacker zahlreiche Geschichten von Social Engineering, erkärt deren Wirkungsweise und gibt Hinweise, wie man sich davor schützen kann. Schließlich hätte schon Mitnicks Nahverkehrsbetrug nicht geklappt ohne die Auskunft auf die „bedacht gewählten Fragen“ zur Spezialhardware der Busfahrer.
„Die menschliche Seite der Computersicherheit ist leicht auszunutzen und wird ständig übersehen“, sagte Mitnick im Jahr 2000 als Experte bei einer Anhörung des US-Kongresses. „Unternehmen geben Millionen von Dollar für Firewalls, Verschlüsselung und sichere Zugangsgeräte aus, aber das ist verschwendetes Geld, weil keine dieser Maßnahmen das schwächste Glied in der Sicherheitskette betrifft: die Menschen, die Computersysteme mit geschützten Informationen nutzen, verwalten, betreiben und dafür verantwortlich sind.“
Tausende Sicherheitsvorfälle ausgewertet
Nochmals Jahrzehnte später: Die von Mitnick angesprochene – und in seinem früheren Leben von ihm vielfach ausgenutzte – Problematik ist nach wie vor virulent. Dies belegte erst jüngst wieder Verizons neuer Data Breach Investigations Report (DBIR). Security-Reports gibt es in der IT-Branche wie Sand in der Sahara. Aus dieser monumentalen Wanderdüne sticht der DBIR immer wieder heraus, da Verizons Team stets eine Vielzahl in freier Wildbahn beobachteter Vorkommnisse aggregiert und ebenso anschaulich wie aussagekräftig aufbereitet. Als Quellen dienen Verizon dabei Kooperationen mit zahlreichen Security- und weiteren Anbietern.
Für seinen 16. jährlichen DBIR analysierte Verizons Team 16.312 Sicherheitsvorfälle und 5.199 Sicherheitsverletzungen (Data Breaches), also Vorfälle, bei denen es tatsächlich zu Datenverlust kam. Ransomware spielt hier mal wieder eine wichtige Rolle: Erpressersoftware steckte hinter knapp einem Viertel (24 Prozent) der Datenverluste. Die durchschnittlichen Kosten pro Ransomware-Vorfall haben sich in den letzten zwei Jahren auf 26.000 Dollar mehr als verdoppelt. Bei 95 Prozent der Ransomware-Fälle, die einen Verlust verursachten, lag der Schaden laut DBIR zwischen einer und 2,25 Millionen Dollar. Dies bedeutet im Umkehrschluss aber auch: Bei den meisten Erpressungsversuchen entstand gar kein Schaden.
Der Kostenanstieg jedenfalls geht laut DBIR mit einer dramatischen Zunahme der Häufigkeit in den letzten Jahren einher: In den letzten beiden Jahren sei die Zahl der Ransomware-Angriffe höher gewesen als in den fünf Jahren davor zusammengenommen.
Der Mensch als Angriffsziel
Ransomware findet oft über Fehlverhalten von Beschäftigten – etwa einen unbedachten Klick – den Weg ins Unternehmensnetz. Denn wenn es menschelt, ist Angreifbarkeit vorprogrammiert. Das menschliche Element spielt laut dem Verizon-Report – ein anhaltend hoher Wert – bei 74 Prozent der Sicherheitsverletzungen eine Rolle, trotz aller Schutzmaßnahmen und Schulungen zu Security Awareness. Beim allseits verbreiteten Phishing bringen Angreifer nach wie vor Benutzer dazu, auf einen bösartigen Link oder Anhang zu klicken. Allerdings finden laut DBIR auch ausgefeiltere Social-Engineering-Taktiken zunehmend Verbreitung.
Hier kommen insbesondere Vorgehensweisen zum Tragen, die klassischer Betrug sind, nur eben mit digitalen Hilfsmitteln – Mitnick nennt sie Täuschung, Security-Fachleute sprechen von „Pretexting“ (pretext = der Vorwand, pretexting wäre wörtlich also „vorwanden“ – ein Verb, das im Deutschen eindeutig fehlt). Pretexting ist eine Spielart von Social Engineering, deren Funktionsweise das DBIR-Team so erläutert: „Die überzeugendsten Social Engineers können in Ihren Kopf eindringen und Sie davon überzeugen, dass jemand, den Sie lieben, in Gefahr ist. Sie verwenden Informationen, die sie über Sie und Ihre Angehörigen in Erfahrung gebracht haben, um Ihnen vorzugaukeln, dass die Nachricht wirklich von jemandem stammt, den Sie kennen. Sie nutzen dieses erfundene Szenario, um mit Ihren Emotionen zu spielen und ein Gefühl der Dringlichkeit zu erzeugen.“
Der mit 98 Prozent häufigste Angriffsvektor beim Social Engineering ist – ähnlich wie bei Ransomware-Angriffen – die gute alte E-Mail. Derlei per Elektropost angebahnter Finanzbetrug ist auch als Business E-Mail Compromise (BEC) bekannt: Der Betrüger gibt sich mittels gefälschter E-Mail-Adresse oder per gekapertem E-Mail-Konto zum Beispiel als Zulieferer aus, bei dem sich die Bankverbindung geändert habe, und bittet gegebenenfalls, eine angeblich überfällige Überweisung auf das neue Konto vorzunehmen. Künstlich aufgebauter Zeitdruck ist, siehe oben, ein gern gewählter Katalysator für Betrügereien. Details für glaubhafte Szenarien findet ein begabter Social Engineer schnell in den sozialen Netzwerken – nicht zuletzt aber auch im direkten Austausch mit dem Opfer selbst.
„Diese Arten von Angriffen sind oft viel schwieriger zu erkennen, da die Bedrohungsakteure bereits vor dem Angriff Vorarbeit geleistet haben“, führt der DBIR aus. So könnte ein Angreifer zum Beispiel eine ähnliche Domäne wie die des Zulieferers eingerichtet haben; auch könnte die E-Mail einen manipulierten Signaturblock enthalten, mit der eigenen Telefonnummer anstelle der des echten Anbieters. „Dies sind nur zwei der zahlreichen subtilen Änderungen, die Angreifer vornehmen können, um ihre Opfer zu täuschen – insbesondere diejenigen, die ständig mit ähnlichen legitimen Anfragen bombardiert werden“, warnt der Report.
Der durchschnittliche Verlust durch BEC ist auf 50.000 Dollar gestiegen. Kein Wunder also, dass sich die Zahl entsprechender Fälle laut Verizon in den letzten zwei Jahren fast verdoppelt hat: Pretexting mache inzwischen 50 Prozent der Social-Engineering-Angriffe aus.
Auf eine dabei oft vernachlässigte Risikogruppe verweist Chris Novak, Managing Director of Cybersecurity Consulting bei Verizon Business: „Führungskräfte stellen in vielen Unternehmen eine wachsende Bedrohung für die Cybersicherheit dar“, sagt er. „Sie verfügen nicht nur über die sensibelsten Informationen eines Unternehmens, sondern gehören auch oft zu den am wenigsten Geschützten, da viele Unternehmen für sie Ausnahmen im Sicherheitsprotokoll machen.“
Politische Motivation ein Randphänomen
Digitale Spionage steht derzeit vor dem Hintergrund des Ukraine-Kriegs oft im Fokus des Interesses, gerne in Medienberichten mit dramatisierender Überschrift, die das Wort „Cyberkrieg“ enthält. In der Praxis jedoch sind laut Verizons Auswertung politisch motivierte Angriffe nach wie vor ein Randphänomen: 97 Prozent der Angriffe zielten schlicht darauf, schnöden Mammon abzugreifen – ein Schwerpunkt unter den Motivationstreibern, den man von früheren DBIRs und vielen anderen Security-Reports her längst kennt.
Eine ähnlich altbekannte Verteilung: 83 Prozent der Datenverluste erfolgten durch externe Angreifer, nur 19 Prozent durch Innentäter. Wer ganz besonders gut im Kopfrechnen ist, bemerkt an dieser Stelle, dass die Summe 102 Prozent ergibt – der Wert größer 100 erklärt sich aus dem Umstand, dass externe und interne Akteure mitunter gemeinerweise kollaborieren.
Problem-KI ChatGPT
Das große IT-Security-Aufregerthema ist seit Monaten das enorme Risikopotenzial, das generative KI, insbesondere die beliebte Konversations-KI ChatGPT, für ausgefeilte Cyberangriffe darstellt. „Die Technologien (gemeint ist KI, d.Red.) sind geschickt darin, überzeugende Inhalte zu generieren, und sie sind gespenstisch gut darin, menschliche Sprachmuster nachzubilden“, sagt – ein Beispiel von vielen – Chester Wisniewski vom britischen Security-Anbieter Sophos. „Auch wenn wir bislang noch keinen Missbrauch dieser Programme für Social-Engineering-Inhalte verifizieren konnten, vermuten wir, dass dieser unmittelbar bevorsteht“, so Wisniewski. Auch sei ChatGPT bereits zum Einsatz gekommen, um Malware zu schreiben, und Sophos erwarte, dass Kriminelle bald Schadapplikationen für KI-Sprachtools entwickeln werden.
Ein aufstebender Cyberkrimineller muss also heute kein Hacker vom Format eines Kevin Mitnick sein, um Erfolg zu haben: ChatGPT erleichtert ihm das Verfassen täuschend echt wirkender Phishing-Mails, schreibt – wenn man die Sicherheitsmechanismen von ChatGPT aushebelt oder Darknet-Tools verwendet – Schadcode und unterstützt bei der Web-Recherche für Spearphishing (gezieltes Phishing) und Social Engineering. Dieser KI-gestützten Täuschung, die immer schwerer zu erkennen sein dürfte, müssen die Verteidiger möglichst ebenso wirkungsvolle Techniken der Ent-Täuschung entgegensetzen. Die Branche wettet hier unter anderem auf Mehr-Faktor-Authentifizierung, Zero-Trust-Konzepte und KI-Tools, die Abweichungen vom Normalverhalten identifizieren. Zugleich gilt es, Automatismen und Runbooks für schnelle Reaktionsprozesse zu etablieren.
Und die Unternehmen müssen ihre Endanwender mit Awareness-Kampagnen auf die neue Dimension der Phishing- und Social-Engineering-Gefahr vorbereiten. Denn sind erst mal 50.000 Euro an einen angeblichen „Zulieferer“ überwiesen, dann ist die Enttäuschung groß.
*****
Hat Ihnen dieser Text gefallen? Dann erzählen Sie doch einem Menschen davon, den das Thema ebenfalls interessieren könnte! Denn liebevoll von Hand erstellte Inhalte verbreiten sich am besten per Mundpropaganda.
Cartoon: (c) Wolfgang Traub
IT Info 2 Go 
Du muss angemeldet sein, um einen Kommentar zu veröffentlichen.