Identitätsdiebstahl im Unternehmen: Benutzerkonten erfolgreich schützen

Für die zeitgemäße IT-Sicherheit in Unternehmen und Behörden zählen Maßnahmen wie Firewalls, Malware-Schutz und die Verschlüsselung von Daten heute zu den absoluten Grundlagen. Doch viele Schutzmaßnahmen, die auf die Abwehr unbekannter Angreifer abzielen, erweisen sich als ineffektiv, wenn Hacker mittels gestohlener Zugangsdaten sozusagen durch die Vordertür ins Unternehmensnetzwerk spazieren. Das Aushebeln der IT-Sicherheit macht Identitätsdiebstahl für Unternehmen zu einer der größten und gängigsten digitalen Gefahren.

Foto: Alphavector – shutterstock.com

Dennoch stehen Firmen dem Missbrauch von Identitäten nicht schutzlos gegenüber. In diesem Beitrag sehen wir uns an, welche Arten von Identitätsdiebstahl es gibt, auf welchem Weg Kriminelle die Zugangsdaten von Mitarbeitern ausforschen und wie sich Firmen mithilfe mehrstufiger Authentifizierung, moderner Sicherheitskonzepte und der Einschränkung von Zugriffsrechten vor den Folgen von Identitätsdiebstahl schützen können.

Lesetipp: Wie Ethical Hacker Ihr Unternehmen sicherer machen

Welche Arten von Identitätsdiebstahl gibt es?

Unter Identitätsdiebstahl bzw. Identitätsbetrug versteht man den Missbrauch gestohlener Daten wie Zugangsdaten, Geburtsdaten, Sozialversicherungsnummern oder Kreditkartennummern, um sich als eine andere Person auszugeben. Identitätsdiebstahl kann viele Formen annehmen und auf unterschiedlichsten Wegen erfolgen. Aufgrund der einfachen Skalierbarkeit läuft der Großteil von Identitätsdiebstahl im Internet ab. Für das Ausforschen persönlicher Daten greifen Kriminelle aber auch auf altbewährte Methoden zurück, etwa betrügerische Anrufe und SMS-Nachrichten oder das Durchsuchen von Papierabfällen und weggeworfenen Dokumenten.

Die verschiedenen Formen von Identitätsdiebstahl lassen sich dabei in zwei Kategorien einteilen:

1. Zum einen der Diebstahl von Informationen, um sich unbemerkt Zugang zu vertraulichen Systemen zu verschaffen. Im privaten Umfeld zählt hierzu etwa das Erschleichen von Zahlungsinformationen, um auf Kosten des Opfers Bestellungen zu tätigen. Auch im geschäftlichen Kontext kann der heimliche Zugang zu Anwendungen dem Warenbetrug dienen. Häufiger nutzen Betrüger den Identitätsdiebstahl jedoch um sensible Daten zu entwenden, die sie anschließend verkaufen, veröffentlichen oder zur Erpressung der betroffenen Organisationen nutzen.

2. Im Unterschied zu diesem heimlichen Vorgehen geben sich Betrüger bei der zweiten Form von Identitätsdiebstahl offen als eine andere Person beziehungsweise ein Unternehmen aus. Das Ziel kann dabei etwa sein, Bankkonten oder Abonnements im Namen des Opfers zu eröffnen. Eine häufige Variante ist auch der CEO Fraud, bei dem sich Diebe als Führungskräfte ausgeben und Angestellte unter Druck setzen, um Überweisungen zu veranlassen.

In den meisten Fällen erfolgt der Kontakt dabei per E-Mail, doch die zunehmende Verbreitung von Deepfakes und ähnlichen Technologien macht auch Telefonate und Videokonferenzen angreifbar. Man denke etwa einige Monate zurück, als die Bürgermeister mehrerer europäischer Großstädte mit einem gefälschten Vitali Klitschko telefonierten.

Foto: Viktoriia Hnatiuk – shutterstock.com

Betrüger können durch den Identitätsmissbrauch das Image von Personen und Unternehmen langfristig schädigen. Immer mehr CEOs kämpfen etwa mit Fake-Profilen auf Social Media, die in ihrem Namen falsche und beleidigende Aussagen tätigen. Perfiderweise genügen oft schon öffentlich zugängliche Bilder und Informationen, um ein derartiges Profil anzulegen. Zum Schutz der eigenen Identität hilft nur der Kontakt mit den Betreibern der Plattform und das konsequente Melden von Hochstaplern.

Identitätsdiebstahl im Unternehmen: Typischer Ablauf

Für den Identitätsdiebstahl greifen Kriminelle auf eine Vielzahl von Techniken zurück, die von breit gestreut bis sehr gezielt und technisch ausgefeilt bis simpel reichen. Auch im digitalen Zeitalter sind low-tech-Methoden wie das physische Nachspionieren oder Abfangen von gedruckten Dokumenten nicht zu vernachlässigen. Gleiches gilt für Phishing per Telefon, bei dem sich Angreifer zum Beispiel als Geschäftspartner oder der IT-Support ausgeben. Gerade Telefonbetrug hat durch den Trend zum Home Office und dem zunehmenden Einsatz eigener Geräte stark zugenommen. Der Sicherheitsexperte PhishLabs verzeichnete im ersten Quartal 2022 einen Anstieg von über 500 Prozent im Vergleich zum Vorjahr, was den Einsatz von Voice Phishing beziehungsweise Vishing angeht.

Identitätsdiebstahl im Internet stellt jedoch weiterhin mit Abstand den häufigsten Anwendungsfall dar, da sich online mit geringem Aufwand eine große Menge an Nutzern ins Visier nehmen lassen. Um sich Zugang zu verschaffen, probieren Kriminelle beim Password Spraying gängige oder geleakte Passwörter der Reihe nach durch, bis sie Erfolg haben oder Time-Outs die automatisierten Anmeldeversuche unterbinden. Groß angelegte Phishing-Kampagnen, die User davon überzeugen sollen, Benutzernamen und Passwort freiwillig herzugeben, sind heute dank täuschend echter Imitate seriöser Nachrichten und Webseiten kaum noch vom Original zu unterscheiden.

Statt breiter Streuung setzen einige Betrüger auf gezielte Manipulation: Komplexe Social-Engineering-Angriffe erfordern weit mehr Vorbereitung und zielen daher in der Regel auf die oberste Geschäftsebene ab. Diesem Fokus auf “dicke Fische” verdankt die Methode den Namen Whaling, analog zu Phishing.

Lesetipp: Security Awareness Training – So phishen Sie richtig

Die Folgen von Identitätsdiebstahl im Unternehmen

Je nach den Absichten der Betrüger und dem von ihnen gestohlenen Zugang, kann der Identitätsmissbrauch für Firmen verschiedene Auswirkungen haben:

• Falsche Bestellungen und Zahlungen,

• Diebstahl von Informationen sowie

• Versuche, Angestellte zu manipulieren und zu bestimmten Handlungen zu bewegen.

Gelingt es Angreifern mithilfe der gestohlenen Identität, sich Zugang zu wesentlichen Bereichen des Firmennetzwerks zu verschaffen, läuft es in den meisten Fällen auf einen Erpressungsversuch hinaus. Die Erpressung läuft dabei auf zwei Ebenen ab (Double Extortion):

1. Zum einen werden die Daten des Unternehmens verschlüsselt und dadurch unbrauchbar gemacht.

2. Um zu verhindern, dass Firmen ihre Systeme über Backups wiederherstellen, drohen die Hacker darüber hinaus mit der Veröffentlichung der Daten.

Ein solcher Leak kann nicht nur Unternehmensgeheimnisse für Wettbewerber zugänglich machen, sondern auch rechtliche Folgen haben, wenn dadurch Zahlungsdaten, personenbezogene Daten oder ähnliche geschützte Informationen öffentlich werden. In jedem Fall gilt, dass ein Identitätsdiebstahl für betroffene Unternehmen mit erheblichen Konsequenzen verbunden ist. Die Auswirkungen reichen von finanziellen Schäden und dem Verlust wichtiger Dokumente bis hin zu IT-Ausfällen und existenzbedrohenden Betriebsunterbrechungen.

Foto: Kaspars Grinvalds – shutterstock.com

So können sich Unternehmen vor Identitätsdiebstahl schützen

Obwohl gestohlene Zugangsdaten bei der Anmeldung einen bekannten Nutzer vorgaukeln, stehen Unternehmen derartigen Zugriffen nicht schutzlos gegenüber. Die erste Maßnahme gegen Identitätsdiebstahl sollte stets sein, das eigene Personal für das Thema zu sensibilisieren. Spam- und Phishing-Filter können zwar viele Betrugsversuche im Vorfeld abfangen, doch eben nicht alle. Angestellte im Erkennen von verdächtigen E-Mails sowie dem richtigen Umgang mit Zugangsdaten zu schulen, hilft dabei zu verhindern, dass digitale Identitäten in die falschen Hände fallen.

Auf technischer Ebene lassen sich viele betrügerische Anmeldungen durch die mehrstufige Authentifizierung von Nutzern über Smartphone-Apps oder Tokens stoppen. Dennoch wird die Multi-Faktor-Authentifizierung (MFA) von vielen Organisationen gar nicht oder nicht konsequent verwendet: In Microsoft 365 war MFA zum Stand 2020 etwa nur bei 11% aller Geschäftskonten aktiviert. Ein schockierend niedriger Wert, bedenkt man den geringen Aufwand und hohen Nutzen von MFA.

Lesetipp: Multi-Faktor-Authentifizierung etablieren – Die 10 häufigsten MFA-Ausreden

Allerdings hat auch die Authentifizierung über mehrere Faktoren ihre Schwachstellen. Zu den gängigsten Methoden für das MFA Hacking zählen Man-in-the-Middle-Angriffe, bei denen Sicherheitscodes abgefangen werden. Zur zusätzlichen Absicherung empfiehlt es sich daher, Regeln für die Anmeldung von Nutzern einzurichten, um etwa Zugriffe außerhalb der Bürozeiten oder außerhalb des eigenen Landes von vornherein zu blockieren.

Da sich die Bedrohungslage durch Cyberkriminalität laufend verschärft, empfehlen Experten mittlerweile jedoch drastischere Schritte, um den effektiven Schutz sensibler Daten und Systeme zu gewährleisten. Moderne Sicherheitskonzepte wie Least-Privilege-Zugriff und Zero Trust zielen darauf ab, die Angriffsfläche von Unternehmen so weit wie möglich zu reduzieren, indem nicht benötigte Benutzerkonten und Dateizugänge umgehend entfernt werden. So lassen sich sowohl das Risiko erfolgreicher Angriffe, als auch die Zahl gefährdeter Systeme minimieren. Die Absicherung und routinemäßige Kontrolle interner Zugriffe trägt darüber hinaus dazu bei, Datendiebstahl im Unternehmen zu unterbinden.

Identitätsdiebstahl im Unternehmen: Was tun?

Leider bietet selbst die beste Verteidigung keinen einhundertprozentigen Schutz vor Identitätsdiebstahl. Sollte es Betrügern gelingen, persönliche Informationen, Zugangsdaten oder digitale Konten in ihren Besitz zu bringen, hilft nur die schnelle Reaktion durch das betroffene Unternehmen, um den Schaden zu minimieren.

Damit der Missbrauch von Identitäten schnell gestoppt werden kann, sollten sich Firmen für den schlimmsten Fall rüsten und sicherstellen, dass Angestellte wissen, an wen sie sich bei verdächtigen Nachrichten oder Aktivitäten auf eigenen oder fremden Konten wenden können. Da die Angst, einen Fehler gemacht zu haben, beim Melden von Vorfällen eine Hemmschwelle sein kann, sollten Firmen anonyme Prozesse einrichten oder im Vorfeld klarstellen, dass keine Sanktionen zu befürchten sind.

Lesetipp: Datenklau durch Mitarbeiter – Wer ist Ihr größte Insider-Bedrohung?

Ist der Identitätsdiebstahl einmal bemerkt, muss das Ausmaß und die Zahl betroffener Systeme erhoben werden, um angemessen reagieren zu können. Während IT-Fachkräfte mit der Behebung des Schadens und der Wiederherstellung der Funktionalität und Vertraulichkeit beschäftigt sind, sollte die Geschäftsführung umgehend Kontakt zu

• Geschäftspartnern,

• Banken und

• Strafbehörden

aufnehmen und alle Beteiligten über den Betrugsfall informieren. Kommt es in Folge unerlaubter Anmeldungen zu erheblichen Störungen des Informationsverbundes, bietet sich auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Ansprechpartner für Ratschläge zur Behebung an. (bw)