Suchen

Developer verwalten die Schlüssel zum Datenschatz Der Entwickler als Social-Engineering-Schwachstelle

| Autor / Redakteur: Jelle Wieringa * / Stephan Augsten

Softwareentwickler finden sich immer häufiger in strategischen Positionen wieder und verfügen über Administratorrechte auf verschiedenen IT-Systemen. Dieses Privileg können Angreifer ausnutzen, um sich unbemerkt in Firmennetzwerken zu bewegen.

Firmen zum Thema

Weil Entwickler immer ehr Berechtigungen und Kompetenzen erhalten, sind sie mittlerweile ein beliebtes Angriffsziel für Social Engineering.
Weil Entwickler immer ehr Berechtigungen und Kompetenzen erhalten, sind sie mittlerweile ein beliebtes Angriffsziel für Social Engineering.
(Bild gemeinfrei: ijmaki / Pixabay )

Heutzutage zeigen Angreifer ein besonderes Interesse an Technologieunternehmen und Entwickler sind eines ihrer Hauptziele. Die jüngste Studie des Cybersicherheitsunternehmens Glasswalls, der Threat Intelligence Bulletin zeigt, dass fast die Hälfte der bösartigen Phishing-Kampagnen auf Technologieunternehmen abzielen.

Kriminelle versuchen, geistiges Eigentum und andere Daten zu stehlen. Diese Informationen werden entweder gewinnbringend verkauft oder – im Falle von Unternehmens- oder staatlich unterstützter Spionage – zur Herstellung von Knock-off-Versionen derselben Produkte verwendet.

Der Verizons Breach Investigations Report 2018 fand heraus, dass mehr Cyberangriffe, Hacks und Datenschutzverletzungen vor allem aus finanziellen Gründen durchgeführt werden: 76 Prozent der Cyberangriffe sind durch finanzielle Anreize motiviert; die meisten dieser Angriffe (73 Prozent) werden von Personen außerhalb der Organisation verübt, wobei die Mehrzahl von organisierten kriminellen Gruppen und 12 Prozent von nationalstaatlichen oder staatlich verbundenen Akteuren durchgeführt wird.

Stand 2019 hat dies zu Verlusten von rund 3,92 Mio. US-Dollar (3,55 Mio. Euro) weltweit geführt, jedoch sollen die Gesamtkosten der Cyberkriminalität in diesem Jahr auf voraussichtlich 2 Mrd. US-Dollar (1,81 Mrd. Euro) übersteigen. Obwohl 51 Prozent der Datenschutzverletzungen auf böswillige oder kriminelle Angriffe zurückzuführen sind, sind menschliche Fehlern für 24 Prozent der Angriffe verantwortlich. Dies wirft definitiv Sicherheitsbedenken auf.

Social Media ist ein lukratives Jagdgebiet

Die meisten Softwareentwickler neigen dazu, sich als sehr technisch kompetente und sicherheitsbewusste Personen einzuschätzen, die nicht auf einfache Betrugsversuche hereinfallen. Dies kann theoretisch stimmen, in der Realität ist aber das Gegenteil der Fall. Letztendlich sind sie Menschen und kein Mensch ist perfekt.

Softwareentwickler bleiben oft für relativ kurze Zeit im Job, für Berufstätige ist es daher üblich, verschiedene Profile in professionellen sozialen Netzwerken wie LinkedIn oder XING zu unterhalten. Angreifer nutzen diese Möglichkeit, um Informationen über diese Person zu sammeln. Danach führen sie aufwändige Spear-Phishing-Kampagnen mit überzeugenden Botschaften durch – mit wachsendem Erfolg.

Das ist erschreckend, denn die Wachstumsrate bei Social Media-Phishing ist dieses Jahr auf 75 Prozent gestiegen. Laut der Glasswall-Studie sind 70 Prozent dieser Fälle Evasive Malware Spear Phishing und durchschnittlich eine von 35.000 E-Mails enthält sehr gezieltes Spear Phishing. Darüber hinaus zeigten frühere Untersuchungen, dass 91 Prozent der Cyberangriffe mit einer ‚Spear Phishing‘-E-Mail beginnen. 56 Prozent der Social Media-basierten Betrügereien verweisen auf LinkedIn.

Angreifer bieten beispielsweise angebliche Chancen an, um neue Geschäftsverbindungen zu knüpfen. Diese gefälschten Karrieremöglichkeiten werden mit dem Ziel vorangetrieben, spezifische Fähigkeiten und Interessen ihrer potenziellen Opfer herauszufinden. In vielen Fällen schickt der Angreifer eine Phishing-E-Mail, die vorgibt, aus der Personalabteilung abgeschickt worden zu sein.

Dort wird dann beschrieben, dass man jemanden mit den Fähigkeiten oder Programmiersprachen des beabsichtigten Opfers sucht – Fähigkeiten, die aus seinem öffentlichen beruflichen Netzwerkprofil gesammelt wurden. Das Stellenangebot kann in PDF-Form vorliegen, was tatsächlich ein kompromittiertes Dokument ist. Das Öffnen solcher Dokumente ermöglicht dem Angreifer einen einfachen Zugriff auf das Konto seiner Opfer, wo er die Aktivitäten des Opfers leise überwacht und Login-Informationen kopiert.

Angreifer konzentrieren sich dabei nicht ausschließlich auf berufliche Social-Media-Netzwerke; sie nutzen auch beliebte Social-Media-Plattformen wie Facebook, die sehr eng mit dem Privatleben des Opfers verbunden sind. Menschen tendieren oft dazu, eher Dokumente und Links auf Facebook anzuklicken oder zu öffnen, ohne darüber nachzudenken, weil sie aus einer vermeintlich bekannten Quelle stammen. Neben LinkedIn-bezogenen E-Mails klicken Social-Media-User auch gerne auf solche Meldungen:

  • Anmeldealarm für Chrome auf Motorola Moto X: 9 Prozent
  • 55. Jahrestag und Pizza-Party: 8 Prozent
  • Dein Freund hat ein Foto von dir markiert: 8 Prozent
  • Facebook Passwort-Rückstellungs-Verifizierung: 8 Prozent
  • Dein Passwort wurde erfolgreich zurückgesetzt: 6 Prozent
  • Neue Sprachnachricht um 1:23 Uhr: 5 Prozent

Security-Awareness-Trainings für Entwickler

Entwickler sind eine risikoreiche Gruppe von Mitarbeitern, bei den möglichen Auswirkungen befinden sie sich auf der gleichen Risikoebene wie die Geschäftsführung oder Mitarbeiter aus Vertrieb, Marketing, Personal und Recht. Unternehmen sollten daher auch ihre Entwickler mit einem New-School-Security Awareness-Trainings schulen.

Schulungen, die spezifisch für die Softwareentwicklung sind, sollte die Kerntechnologien ansprechen, die Entwickler derzeit im Unternehmen verwenden. Dann wird sichergestellt, dass sie in ihren Webanwendungen Sicherheitsrisiken minimieren. Die OWASP Top 10-Liste ist ein effektiver erster Schritt, um auch die Softwareentwicklung dazu zu bringen, sicheren Code zu produzieren. Darüber hinaus leisten Sicherheitstrainings zu Themen wie Industriespionage, Verschlüsselung, Webapplikationsentwicklung usw. einen großen Beitrag zur Verbesserung der Sicherheitskultur auf Ebene der Softwareentwicklung.

Die Cyberwelt wird immer anspruchsvoller. Sie verschmilzt immer mehr mit der realen Welt und es gibt vielfältige Möglichkeiten, Cyberangriffe durchzuführen. Social Media-Plattformen sind zu einer Goldgrube für die Cyberkriminellen geworden. Angreifer nutzen die Plattformen, um sowohl Mitarbeiter als auch Kunden zu verführen, indem sie Malware verbreiten oder Social Engineering-Kampagnen durchführen. Phishing ist nach wie vor die wichtigste Bedrohungstechnik bei Social-Engineering-Angriffen, und Spear-Phishing beginnt im meisten Fällen auf diese Plattformen (Facebook, Instagram, LinkedIn und Twitter).

Als wichtigste Maßnahme gehört hier die Schulung der Mitarbeiter, um das Unternehmen besser vor solchen Social Engineering-Kampagnen zu schützen. Der Social Media Phishing Test (SPT) zum Beispiel, ist ein kostenloses IT-Sicherheitstool, mit dem Unternehmen feststellen können, welche Benutzer in ihrem Unternehmen anfällig für diese Art von Phishing-Angriffen sind. SPT gibt außerdem einen schnellen Überblick darüber, wie viele Mitarbeiter zu Opfern werden könnten.

* Jelle Wieringa ist Security Awareness Advocate bei KnowBe4.

(ID:46291321)