Malware
Der KI-gestützte Innentäter
Cyberkriminelle interessieren sich immer mehr für Innentäter. Das Recruiting läuft dank KI und Social Media über Erpressung mit Deepfakes, Doxxing oder persönlichen Daten – Angeboten für „Straftaten als Dienstleistung“ sind keine Grenzen gesetzt.
Save to Folio
Man hört es immer wieder… ein Innentäter habe den Kriminellen die Tür geöffnet, ihnen den Zugang zum Netzwerk verschafft, oder der/diejenige war selbst aktiv und hat Daten gestohlen. Das Problem ist älter als die IT, beispielsweise kommt kein James Bond Film ohne Innentäter:in aus -- und selbstverständlich kennen Unternehmen diese Gefahr. Die IT hat das Problem lediglich verschärft.
Dass sich aber Cyberkriminelle und andere Angreifer immer intensiver um das Identifizieren und Ausnutzen von (potenziellen) Innentätern bemühen, mag dem einen oder anderen entgangen sein. So nahmen viele beispielsweise den nordkoreanischen Deep Fake-Mitarbeiter als Kuriosität wahr, der, weil viel zu aufwändig, kaum in einem normalen Unternehmen anfangen würde. Oder beim berühmten Link-klickenden Mitarbeiter geht man immer von Versehen aus. Das ist die einfachste und wahrscheinlich auch häufigste Erklärung. Aber wenn sich Kriminelle ihre Ziele bewusst aussuchen, dann geht es darum, sich einen solchen Innentäter zu schaffen.
Mit welchen Methoden erreichen sie ihr Ziel?
Wir alle wissen, wie gefährlich ein Link in einer Mail sein kann. Natürlich trainieren wir als Unternehmen deshalb Mitarbeiter entsprechend, und bevor eine Datei zur Ausführung kommt, muss der Kollege erstmal die Warnungen wegklicken. Geht es um den Zugang beispielsweise über VPN, sorgt Multifaktor Authentifizierung dafür, dass noch ein weiteres Gerät - auch im Besitz des Mitarbeiters - die Rechtmäßigkeit bestätigen muss.
Selbstverständlich gibt es technische Tricks, wie Cyberkriminelle daran vorbeikommen. Der wohl einfachste: Man besticht den Mitarbeiter. Dank Bitcoin & Co. ist die Übermittlung von Geld heute mit einer E-Mail erledigt. Aber nicht nur das: Non Fungible Token (NFT) sind „digitale Kunstwerke“, die mit diesen Währungen gehandelt werden. Ein „Gewinn“ über ein paar tausend Dollar ist daher schwer als Bestechungsgeld zu identifizieren. Kunst liegt bekanntlich im Auge des Betrachters! Und wenn überhaupt Geld überwiesen wird, dann lassen sich die Summen hinter derartigen Verschleierungstaktiken verstecken.
Wirklich freiwillig?
Der Anreiz zum Mitmachen ist zwar gegeben, aber wer spielt schon gern für ein paar Dollar mit seiner Zukunft? Warum sollten Menschen nicht einfach mit ihren Vorgesetzten den Bestechungsversuch besprechen. Das Unternehmen könnte daraufhin den Angriff in eine abgesicherte Umgebung laufen lassen, um das Vorgehen der Täter zu studieren. Eine Belohnung ist sicher drin, und vielleicht ist die Täuschung so gut, dass auch die Täter Geld schicken
Aber das ist auch den Kriminellen bewusst. Und die heutige Zeit öffnet ihnen ebenfalls Möglichkeiten, die alles andere als appetitlich sind. Die wohl einfachste ist die Erzeugung kompromittierenden Materials. Waren das in der guten alten Zeit Bilder einer außerehelichen Liebschaft können heute ganze Pornostreifen in erstklassiger Bildqualität produziert werden. Hauptdarsteller sind dank Social Media schnell identifiziert. Viele Menschen haben die Angewohnheit, sich selbst zu fotografieren oder sogar zu filmen, ausreichend Material, um die eigenen Gesichtszüge mittels so genannter Deepfake-Technologie dem Zweck zu entfremden. Die Kriminalitätsstatistik zu „Sextortion“, mit der allgemein Erpressungsdelikte rund um Tabus im Zusammenhang mit Sexualität zusammengefasst werden, kennt dabei nicht nur fiktive Inhalte. Auch Kameraaufnahmen über deren Existenz sich die handelnde(n) Person(en) mehr oder weniger bewusst waren, sind darin erfasst.
Doxxing
Aber es geht auch noch persönlicher – leider. Unter Doxxing versteht man die Identifikation einer Online-Persönlichkeit. Veröffentlicht werden Daten wie Wohnort, Arbeitsplatz, etc.. Ziel derartiger Maßnahmen ist es immer, Druck auf das Opfer auszuüben. Im allgemeinen Sprachgebrauch geht es dabei meist um Menschen, die über soziale Medien anonymisiert ihre Meinungen kundtun. Durch das „Doxxen“ werden sie sichtbar. Im digitalen Untergrund geht es um das gleiche. Nur hat das „Sichtbarmachen“ einer Person dort einen anderen Hintergrund. Sind die Lebensumstände bekannt, ist ein Mensch erpressbar, zum einen mit den oben angeführten Mitteln, aber zum anderen auch mit direkten, persönlichen Drohungen. Fotos der Kinder auf dem Weg zur Schule oder eine Nahaufnahme des Privatwagens verleihen Erpressungen eine andere Qualität. Selbst wenn die Bilder künstlich erzeugt werden.
Aber leider stecken soziale Medien voll von Originalinformationen. Auch wenn man selbst keine Aufnahmen veröffentlicht hat, Freunde, Familie oder auch fremde Menschen sind da nicht so zimperlich. Darüber hinaus gibt es in einigen Ländern auch in der Öffentlichkeit Überwachungskameras. Sogar moderne Autos haben die Möglichkeit Videoaufnahmen in die Cloud zu schicken – in der EU übrigens Dank DSGVO verboten. Den Rest erledigt die Gesichtserkennung. Im digitalen Untergrund gibt es eigene Serviceangebote für Doxxing. Je nach wahrscheinlichem Aufenthaltsort werden dabei unterschiedliche Preise ausgegeben. Ist die Person dazu noch in Applikationen mit Standortbestimmung aktiv, wie z.B. Online-Dating-Apps, kann ihr Aufenthaltsort mittels Triangulation metergenau bestimmt werden.
Möglich, aber auch aufwändig, oder?
Bei Cyberangriffen auf Unternehmen müssen Akteure nicht unbedingt eine bestimmte Person suchen, es reicht ein Mensch im Unternehmen, für den man genügend Informationen zusammentragen kann. Über LinkedIn bekommt man eine Auswahl der Kandidaten. Eine KI kann nach Auftritten in anderen sozialen Medien suchen. Ähnliche Namen oder eine irgendwo hinterlegte Verlinkung reichen -- alles öffentlich einsehbare Daten. Aber auch nicht die einzigen.
Daten werden so oft gestohlen, dass man über die meisten Menschen etwas im digitalen Untergrund findet. Natürlich denkt man da gleich an Kreditkarten oder Passwörter. Aber für Erpressung sind diese Daten irrelevant. Man braucht Privatadressen, Kontaktdaten (Telefon/E-Mail) und anderes Eindeutiges, wie z.B. das Geburtsdatum oder Familienangehörige. Es sind Datensätze, die erst seit der DSGVO unter besonderem Schutz stehen. Und trotzdem spielen es Unternehmen immer noch herunter, wenn ihnen so etwas gestohlen wird. Die Mailadresse reicht zur ersten Kontaktaufnahme. Alles Weitere ergibt sich, wenn das Opfer reagiert.
Ist das alles nur virtuell?
Die neue Technik erlaubt die Identifikation, Ortung und Drohgebärden. Aber wie real ist die Gefahr wirklich? Als Cybersicherheitsanbieter können wir nur darüber berichten, dass wir im digitalen Untergrund sehr viele Angebote für „Straftaten als Dienstleistung“ finden. Die Angebote reichen vom Hinterlassen von Botschaften über Sachbeschädigung bis hin zu Gewaltstraftaten. Je nach Erfüllungsort und Tat werden dabei unterschiedliche Preise aufgerufen, meist im vierstelligen Bereich.
Die Gefahr eines Innentäters
Innentäter waren immer eine Herausforderung für Unternehmen. Aber war es früher der verärgerte Kollege kurz vor der Kündigung und mit mittelmäßigen IT-Kenntnissen, so verschiebt sich dies. Der Zugang zu Unternehmen wird sowohl für Kriminelle als auch für staatliche Angreifer immer wertvoller und damit steigen die Einsätze auf allen Seiten. Hinzu kommt die Verhältnismäßigkeit. Für Geld einen Link zu klicken, möglicherweise in einer Mail, die so gut gemacht ist, dass man etwaige Unstimmigkeiten leicht als Konzentrationsfehler erklären kann, erscheint nicht zu gefährlich. Bezahlt wird am Ende mit Bitcoin und nur bei Erfolg.
Konnte man durch die Erpressung oder den Verkauf der Daten Millionen machen, dann sind die Bestechungssummen sozusagen das, was man in legalen Kreisen als „Cost of Sale“ bezeichnet, das heißt, wenn Kriminelle dem Innentäter überhaupt eine Belohnung versprochen und ihn nicht anderweitig unter Druck gesetzt haben. Für ein Unternehmen bedeutet das unter Umständen, dass der Cyberangriff über den Mitarbeiter selbst stattfindet. Der initiale Zugriff erfolgt dabei mit validen Nutzerdaten und auch aus dem Firmennetzwerk. Im Folgenden hat man es mit hoch spezialisierten Angreifern zu tun.
Verteidigung gegen den internen Angreifer
Grundsätzlich müssen wir in der Cyberdefensive davon ausgehen, dass die vielschichtigen Verteidigungselemente in irgendeiner Form umgangen werden. Ob es am Ende ein Innentäter oder „nur“ ein unvorsichtiger Mitarbeiter war, ist wahrscheinlich nicht beweisbar. Aber selbst wenn, steht der angerichtete Schaden in der Regel nicht mehr im Verhältnis zum „Erfolg“ der Identifikation des Schuldigen. Deshalb gilt es das Schadensausmaß möglichst einzudämmen.
Auf einer technischen Ebene geht es darum, so genannte Anomalien zu identifizieren. Zeigt ein Mitarbeiter beispielsweise ein ungewöhnliches Verhalten, weil er häufig auf Daten zugreifen möchte, für die er keine Berechtigung hat? Arbeitet er zu ungewöhnlichen Zeiten und/oder von seltsamen Gegenden? Gibt es andere Anzeichen einer Kompromittierung? Moderne Sicherheitsstrategien gehen davon aus, dass sich zu jeder Zeit aufgrund solcher Einflüsse das digitale Vertrauen in einen Account ändern kann. Man spricht deshalb von „Zero Trust“. Das Konzept beinhaltet, dass Warnzeichen einer Kompromittierung zum Verlust von Privilegien bis hin zum Sperren der Zugangsberechtigung führen. So wird das Schadensausmaß eines Innentäters eingedämmt und minimiert.
Übrigens, falls sie einen „echten“ Innentäter identifizieren, sollten sie auf jeden Fall die Polizei involvieren. Ist dieser Täter selbst, wie oben besprochen, Opfer von Erpressung, dann ist dies möglicherweise der einzige Weg für ihn aus dem Teufelskreis.