Bei Angriffen auf Unternehmen stehen in der Regel vier Aspekte im Fokus: Finanzen, geistiges Eigentum, persönliche Daten und die IT-Infrastruktur. Man sollte jedoch nicht außen vorlassen, dass Cyberkriminelle auch auf ganz andere Unternehmenswerte abzielen können. In etwa auf jene, die in den Bereich von PR und Marketing fallen – einschließlich der durch diese verwalteten E-Mail-Kampagnen, Werbeplattformen, Social-Media-Kanäle und Werbeseiten. Auf den ersten Blick mögen diese für die Angreifer eher unattraktiv erscheinen, da ein lohnendes Ziel nicht auf Anhieb erkennbar ist. In der Praxis jedoch können all diese Marketingkanäle für Cyberkriminelle zweckdienlich sein, da sie diese für ihren eigenen „Marketingaktivitäten“ missbrauchen können.
Malvertising statt Advertising
Zur großen Überraschung vieler (InfoSec-Experten eingeschlossen) setzen Cyberkriminelle seit einigen Jahren aktiv auf legitime und bezahlte Werbeinhalte. Dafür bezahlen sie nicht nur für die Werbebanner und Platzierungen in Suchmaschinen, sondern setzen auch professionelle Tools für Unternehmenswerbung ein. Darauf, dass es beim Bezahlen dieser Dienste aber auch nicht mit rechten Dingen zugeht, werden wir in Kürze noch eingehen. Es gibt viele Beispiele für dieses Phänomen, das unter dem Namen „Malvertising“ bzw. Schadwerbung bekannt geworden ist. Normalerweise bewerben Cyberkriminelle bei diesem Vorgehen mit gefälschten Websites beliebte Apps, Fake-Werbekampagnen bekannter Marken und andere Betrugsmaschen, die sich an ein breites Zielpublikum richten. Es kommt vor, das die Bedrohungsakteure ein eigenes Werbekonto erstellen und für diese Werbung auch bezahlen. In aller Regel hinterlässt diese Methode aber zu viele Spuren, wie etwa die Zahlungsdetails. Daher ist für die Angreifer eine andere Methode viel attraktiver: Der Diebstahl von Anmeldedaten und das Hacken des Werbekontos eines aufrechten Unternehmens, um dann in dessen Namen für die eigenen Fake-Websites groß Werbung zu machen. Für Cyberkriminelle birgt das sogar noch weitere Vorteile: Sie können statt eigenes das Geld anderer ausgeben und beschränken ihre hinterlassenen Spuren auf ein Minimum. Für das geschädigt Unternehmen hingegen könnte es zu einem böses Erwachen kommen: So wurde nicht nur dessen Werbekonto übernommen und missbraucht, sondern es kann obendrein von der Werbeplattform gesperrt werden, da es schädliche Inhalte verbreitet.
Von Dislikes und sinkende Followerzahlen
Eine spezielle Variante des oben genannten Schemas ist das Übernehmen von bezahlten Werbekonten innerhalb sozialer Netzwerke. Aufgrund der Besonderheiten von Social-Media-Plattformen bekommen es die Zielunternehmen in diesem Fall mit einer Reihe zusätzlicher Probleme zu tun.
Zunächst einmal ist nämlich in sozialen Netzwerken der Zugriff auf Unternehmenskonten in aller Regel an die persönlichen Konten der Mitarbeiter des Unternehmens gebunden. Da reicht es oftmals aus, wenn Angreifer den PC von Angestellten einer Werbeagentur manipulieren oder deren Kennwort für ein soziales Netzwerk stehlen. Auf diese vergleichsweise einfache Weise bekommen Angreifer nicht nur Zugriff auf die Likes und die niedlichen Katzenbilder, sondern auch auf den gewährten Handlungsspielraum des Unternehmens, für das die Agentur arbeitet. Dazu gehören oftmals das Posten auf den Social Network-Seiten des Unternehmens, der Versand von E-Mails an Kunden über integrierte Kommunikationskanäle und das Platzieren von bezahlter Werbung. Solange es sich bei dem kompromittierten Mitarbeiter nicht um den Hauptadmin handelt, ist es zwar einfach, dem übernommenen Konto diese Funktionen wieder zu entziehen. Sollte es sich jedoch tatsächlich um den Hauptadmin handeln, droht dafür eine umso zeit- und arbeitsaufwendiger Wiederherstellung des Zugriffs.
Ein weiteres Problem stellt die am häufigste genutzte Form von Werbung in sozialen Netzwerken dar, bei der im Namen von Unternehmen sogenannte „gesponserte Posts“ erstellt werden. Wenn ein Angreifer auf diese Weise für seine betrügerischen Angebote Werbung macht, erkennt das Publikum sofort, wer es veröffentlicht hat, und kann seine Beschwerden darüber auch direkt unter dem Beitrag kundtun. In einem solchen Fall entsteht dem Unternehmen nicht nur ein finanzieller Schaden, sondern auch ein gehöriger, weil offensichtlicher, Reputationsverlust.
Letztlich kommt obendrein noch die Tatsache, das viele Unternehmen ihre sogenannten „Custom Audiences“ in den sozialen Netzwerken gespeichert haben. Es handelt sich dabei um vorgefertigte Sammlungen von Kunden, die sich für verschiedene Produkte und Dienstleistungen interessieren oder die der Unternehmens-Website bereits einen Besuch abgestattet haben. Obwohl es normalerweise nicht möglich ist, Custom Audiences aus einem sozialen Netzwerk abzurufen (bzw. zu stehlen), ist es leider möglich, auf deren Grundlage gezieltes Malvertising durchzuführen. Und je besser diese Schadwerbung an die Vorlieben ein bestimmten Publikums angepasst ist, umso effektiver kann es wirken.
Massenmails mit Kontrollverlust
Eine weitere sehr effektive Möglichkeit zum Generieren kostenloser Werbung stellt für Cyberkriminelle die Übernahme von E-Maill-Konten bei einem E-Mail-Provider dar. Wenn das angegriffene Unternehmen dabei nur groß genug ist, kann es gut sein, dass sich bereits Millionen von Abonnenten in dessen Mailinglisten wiederfinden.
So ein Zugriff kann dann auch gleich auf mehrere Arten bösartig ausgenutzt werden: Entweder wird ein unwiderstehliches (aber gefälschtes) Angebot an die E-Mail-Adressen in der Abonnentendatenbank gesendet, oder es werden in bereits entworfenen aber noch nicht verschickten Werbe-E-Mails heimlich die Links ersetzt. Letztlich kann die komplette Abonnentendatenbank auch noch heruntergeladen werden, um sie zu einem späteren Zeitpunkt zum Versenden von Spam- und Phishing-E-Mails zu recyceln.
Der daraus resultierende Schaden ist auch hier wieder von finanzieller, Image-schädigender und technischer Natur. Wobei mit „technisch“ an dieser Stelle gemeint ist, das Mailserver anderer E-Mail-Provider zukünftig eingehe E-Mails von dem gehackten Absender blockieren können. Das bedeutet, dass das gehackte Unternehmen nach dem Abschicken von bösartigen Massenmails die Angelegenheit nicht nur mit seinem eigenen E-Mail-Provider klären muss, sondern möglicherweise auch mit anderen Providern, die das Unternehmen als Quell betrügerischer Korrespondenzen gesperrt haben.
Ein weiterer und sehr unangenehmer Nebeneffekt eines solchen Angriffs ist der Verlust von persönlichen Kundendaten. Auf so einen Vorfall einzugehen würde den Rahmen dieses Artikels sprengen. Wir beschränken uns darauf zu erwähnen, das es in so einem Fall neben der obligatorischen Rufschädigung auch zu empfindlichen Geldstrafen durch die zuständigen Aufsichtsbehörden für Datenschutz kommen kann.
Die Fifty Shades einer Website
Der Hack einer Website kann für lange Zeit unbemerkt bleiben. Dies trifft insbesondere auf kleine Unternehmen zu, die ihre Geschäfte hauptsächlich über soziale Netzwerke oder gänzlich offline abwickeln. Aus der Sicht von Cyberkriminellen variieren die Ziele von Website-Hacks je nach Art der Website und des Business-Modells des Unternehmens. Wenn man mal von den Fällen absieht, in denen der Hack einer Website nur ein kleiner Teil eines komplexeren Cyberangriffs ist, lassen sich im Allgemeinen die folgenden Varianten unterscheiden.
Im ersten Fall können Angreifer einen sogenannten Web-Skimmer auf einer E-Commerce-Website platzieren. Hierbei handelt es sich um ein kleines, gut getarntes Stück JavaScript, das direkt in den Quellcode der Website eingebettet wird. Seine Aufgabe ist es, heimlich die Kreditkartendaten zu stehlen, sobald ein Kunde für seinen Einkauf bezahlt. Der Kunde selbst muss dafür weder etwas herunterladen noch ausführen. Er bezahlt einfach für seine Waren oder Dienstleistungen auf der Website und die Angreifer schöpfen das Geld ab.
Im zweiten Fall können Angreifer versteckte Unterbereiche auf der Website anlegen und diese mit beliebigen schädlichen Inhalten befüllen. Derartige Seiten können für eine Vielzahl von kriminellen Aktivitäten verwendet werden: von gefälschten Werbegeschenken, über Fake-Deals bis zur Verbreitung von Trojanern und anderer Schadsoftware. Für solche Zwecke ist die Verwendung einer legitimen Website ideal, solange die Eigentümer nicht bemerken, dass sie ungebetene Gäste haben. Tatsächlich existiert bereits eine ganze Branche, die sich auf diese Masche spezialisiert hat. Besonders beliebt sind dabei unbeaufsichtigte Websites, die irgendwann mal für eine Marketingkampagne oder ein Einmal-Event erstellt wurden und anschließend in Vergessenheit gerieten.
Für ein Unternehmen kann der Schaden eines Website-Hacks weitreichende Folgen haben, wie etwa erhöhte Website-Kosten durch bösartigen Datenverkehr oder eine verringerte Anzahl echter Besucher aufgrund geringerem SEO-Rankings der Website. Darüber hinaus können aufgrund unerwarteter Ausgänge von den Kreditkarten der Kunden potenzielle Streitigkeiten mit Kunden oder Strafverfolgungsbehörden ins Haus stehen.
Webformulare mit Kurzschlussgefahr
Angreifer können aber auch eine Unternehmens-Website für ihre eigenen Zwecke verwenden, ohne diese zu hacken. Alles, was sie dafür benötigen ist eine Unternehmens-Website mit einer Funktion, die irgendeine Art eine von Bestätigungs-Mail für ihre Besucher generiert, beispielsweise für ausgefüllte Feedback- oder Termin-Formulare. Cyberkriminelle verwenden anschließend automatisierte Systeme, um durch solche Formular-Funktionen im Namen des Unternehmens Spam- oder Phishing-Mails zu versenden.
Das Vorgehen der Angreifer ist dabei überraschend einfach: Die Adresse des Ziels wird in dem Formular als Kontakt-E-Mail angegeben. Den Text der betrügerischen E-Mail platzieren die Angreifer in den Feldern für den Namen oder den Betreff. Dieser lautet dann in etwa so: „Ihre Überweisung kann jetzt ausgeführt werden (Link)“. Daraufhin erhält das Opfer eine bösartige E-Mail mit dem Text: „Sehr geehrte(r) XXX, Ihre Überweisung kann jetzt ausgeführt werden (Link)“. Vielen Dank, dass Sie Kontakt mit uns aufgenommen haben. Wir werden uns in Kürze mit Ihnen in Verbindung setzen.“ Als natürlich Folge solcher Aktionen lassen die Anti-Spam-Plattformen irgendwann solche E-Mails nicht mehr durch und das Formular des Opferunternehmens verliert einen Teil seiner Funktionalität. Darüber hinaus könnten die Empfänger solcher E-Mails das Unternehmen als weniger vertrauenswürdig oder gar als Spammer einstufen.
Damit kannst du deine PR- und Marketingressourcen vor Cyberangriffen schützen
Da die fünf beschriebenen Angriffe sehr unterschiedlich sind, ist es klug, einen entsprechend umfassenden Schutz wählen. Die folgenden Maßnahmen unterstützen dich dabei:
- Um für das Thema eine Sensibilisierung aufzubauen, sollte die komplette Marketingabteilung ein Awareness-Training für Cybersicherheit Ein regelmäßiges Auffrischen der erworbenen Kenntnisse ist zusätzlich Pflicht.
- Stelle sicher, dass sich alle Mitarbeiter an die bewährten Verfahren zur Passwortsicherheit halten: Von langen und einmaligen Passwörtern für jede Plattform bis zur obligatorischen Verwendung angebotener Zwei-Faktor-Authentifizierung. Das gilt insbesondere für sensible Zugänge wie von sozialen Netzwerken, Mailing-Tools und Werbe-Plattformen.
- Auf keinen Fall darf ein Passwort für einen Social Media-Zugang oder ein Online-Tool von mehreren Mitarbeitern verwendet werden.
- Weise deine Mitarbeiter und Kollegen dazu an, dass sie für einen Zugriffen auf Werbeplattformen, Mailingtools oder auf das Admin-Panel der Unternehmsseite nur jene Geräte am Arbeitsplatz verwenden dürfen, die durch einem umfassenden Schutz abgesichert sind, der auch den Unternehmensstandards in puncto Sicherheit Rechnung trägt (d. h. EDR oder Internet-Schutz, EMM/UEM, VPN).
- Fordere deine Mitarbeiter dazu auf, einen umfassenden Schutz auf ihren PCs und Smartphones zu installieren.
- Sollten Mailing- oder Werbekonten momentan mal nicht verwendet werden, ist sich umgehend davon abzumelden.
- Denke daran, den Mitarbeitern und Kollegen, die das Unternehmen verlassen, nach deren Weggang umgehend den Zugriff auf die soziale Netzwerke, Mailing-/Werbeplattformen und den Admin-Account der eigenen Website zu entziehen.
- Überprüfe deine versendeten E-Mail-Listen und geschalteten Werbeanzeigen regelmäßig auf Unregelmäßigkeiten. Gleiches gilt für das Monitoring des Website-Traffics. Dies hilft die beim rechtzeitigen Erkennen von ungewöhnlichen Vorfällen.
- Stelle sicher, dass sämtliche Programme, die auf deinen Websites (z. B. das CMT und dessen Plug-ins) und auf deinen Arbeitsplatz-PCs (z. B. Betriebssystem, Browser und Office) verwendet werden, regelmäßig und systematisch auf die neuesten Versionen aktualisiert werden.
- Setze dich mit dem Provider deines Website-Supports zusammen, um Validierungen und Absicherungen für Web-Formulare zu implementieren. Dabei sollte insbesondere sichergestellt werden, dass keine Links in Felder eingefügt werden dürfen, die dafür gar nicht vorgesehen sind. Außerdem solltest du eine Obergrenze festlegen, um zu verhindern, dass ein und derselbe Akteur täglich Hunderte von Anfragen stellt. Zusätzliche Sicherheit erhältst du durch das Einfügen intelligenter Captchas zum Schutz vor Bots.