Den Mittelstand im Visier - kriminelle Hacker rüsten auf

Internetkriminelle blasen mit neuen betrügerischen E-Mails zum Angriff auf Unternehmensnetzwerke

(06.03.07) - Cyberkriminelle starten mit einer gefährlichen Doppelstrategie ins Jahr 2007: Sie haben kleine und mittelständische Unternehmen (KMU) als neue Zielgruppe auserkoren, die sie mit ihren perfektionierten, täuschend echten Betrugs-E-Mails bombardieren.

Laut BITKOM verfügt die Mehrzahl der KMUs über keine umfassende IT-Sicherheitsstrategie. Innerhalb von nur fünf Tagen klärt Training Camp im Rahmen eines IT-Intensivkurses zum Certified Ethical Hacker (CEH) IT-Fachleute über die Tricks krimineller Hacker auf, die mittlerweile verstärkt menschliche Schwächen für ihre gefährlichen Machenschaften nutzen. So beschäftigt sich das Modul "Social Engineering" mit den Methoden krimineller Hacker, die die Unwissenheit und Gutgläubigkeit der Arbeitnehmer ausnutzen. Sie verfassen betrügerische E-Mails mit perfekt imitierten Firmenlogos, geben vor, ihr neu autorisierter Kollege zu sein und entlocken so Passwörter und Zugangscodes, die dem Unternehmen Schaden zufügen können.

Internetkriminelle schicken seit Anfang des Jahres die neue Generation ihres tückischen Waffen-Angriffsarsenals ins Rennen: Die millionenfach versendeten E-Mails sehen mittlerweile täuschend echt aus und die Black-Hat-Hacker ("böse" Hacker) missbrauchen selbst vertrauenswürdige Namen wie das Bundeskriminalamt (BKA) für ihre Zwecke. So kursierten Anfang Februar bösartige E-Mails, die sich als Bestandteil eines Ermittlungsverfahrens des BKA ausgeben und behaupten, es liege eine Strafanzeige gegen den Empfänger vor. Im Anhang der E-Mails sind Trojaner-Programme, die - sobald sie geöffnet werden - über das Internet bei dem Server des Absenders Meldung machen. Der PC wird dadurch Bestandteil eines so genannten Bot-Netzwerks, in dem mehrere Tausend befallene PCs wie Roboter gesteuert werden.

"KMUs verfügen naturgemäß nicht über die gleichen personellen und finanziellen Ressourcen wie Großunternehmen", sagt Robert Chapman, Mitbegründer von Training Camp und Geschäftsführer der gleichnamigen GmbH. "Meist reichen jedoch schon kleine Maßnahmen für eine zuverlässige IT-Sicherheit: Firewalls und Antiviren-Software sind ein absoluter Basisschutz, den jedes Unter-nehmen auf dem aktuellen Stand halten muss. Doch ohne eine ausreichende Sensibilisierung und Aufklärung der Mitarbeiter greifen diese Maßnahmen zu kurz. Hier ist vor allem die Geschäftsleitung gefordert: IT-Sicherheit muss auf ihre Agenda. Eine durchdachte IT-Sicherheitsstrategie ist nicht gleichbedeutend mit einer Investition in Millionenhöhe - Kontinuität und die Schulung ausgewählter Multiplikatoren führen bereits zum Erfolg."

Bei dem Accelerated Learning-Kurs stehen außerdem Themen wie Ethik, Intrusion Detection, Pufferüberläufe, Virenerstellung und Web-Sicherheit auf dem Lehrplan. Die Teilnehmer haben nach dem CEH-Kurs das notwenige Wissen, um das Unternehmensnetzwerk auf Sicherheitslücken zu scannen, ihre Kollegen auf die Tricks der Hacker wie Phishing und Spearing aufmerksam zu machen und Gegenmaßnahmen zu entwickeln. (The Training Camp: ma)