28. Oktober 2021 Whaling: Schutzmaßnahmen gegen Whaling-Angriffe für Unternehmen

Mit hochprofessionell gefälschten E-Mails zielen Kriminelle auf Mitarbeiterinnen und Mitarbeiter mit Befugnissen ab. Wie Sie, und Ihr Unternehmen, sich vor Whaling-Angriffen schützen können, erfahren Sie hier.

Der englische Ausdruck „Whaling“ bedeutet Walfang und meint im Kontext der Cyberkriminalität einen ertragreichen Betrug – in der deutschen Sprache werden hochrangige Führungskräfte umgangssprachlich auch als „Dicke Fische“ bezeichnet. Bei einem Whaling-Angriff handelt es sich um eine zielgerichtete Cyber-Attacke in Form einer hochgradig personalisierten Phishing-E-Mail, die sich gegen Mitarbeiterinnen und Mitarbeiter mit bestimmten Befugnissen oder gegen Personen des leitenden Managements richtet. Wird die Whaling-Attacke im Namen einer Führungskraft eines Unternehmens beziehungsweise eines CEO ausgeführt, wird die Betrugsmasche auch als CEO-Fraud bezeichnet.
Die Cyberkriminellen geben sich in einer gefälschten E-Mail als hochrangige Entscheidungsträger des Unternehmens aus, um mit Hilfe von Social Engineering, also durch psychologische Manipulation, die adressierten Zielpersonen zu einer bestimmten Handlung zu verleiten. In der inhaltlich und formal glaubwürdig erscheinenden E-Mail fordern die vermeintlichen Absender beispielsweise dazu auf, einen Geldtransfer für bestimmte Zwecke freizugeben, sensible Firmendaten bekannt zu geben oder auf einen bestimmten Link zu klicken, der unbemerkt zum Download einer Malware (Schadprogramm) führt.

Wie funktionieren Whaling-Angriffe?

In der formal und inhaltlich echt wirkenden E-Mail bittet die vermeintliche Absenderin oder der vermeintliche Absender um eine dringende Überweisung oder auch um die Bekanntgabe sensibler Firmendaten für bestimmte Zwecke. Neben dem Überweisungsbetrug kann auch der Download einer Malware beziehungsweise eines Schadprogramms, das in weiterer Folge unternehmensrelevante Daten verschlüsseln oder unbemerkt ausspionieren kann, Ziel der Betrügerinnen und Betrüger sein. Jede Phishing-Attacke, die auf die Täuschung der Empfängerin oder des Empfängers für kriminelle Zwecke abzielt, bedient sich des Social Engineerings. Diese Methode umgeht jedes noch so professionelle IT-Sicherheitssystem, indem es psychologische Mechanismen der Menschen – in diesem Kontext etwa hierarchisches Denken oder Angst – ausnützt, um zu bestimmten Handlungen zu verleiten. Dazu gehört das Eindringen in Datenbanken oder das Abgreifen von sensiblen Firmendaten.

Informationen über die Zielperson einer Whaling-Attacke sind häufig öffentlich zugänglich und erleichtern den Cyberkriminellen die Recherche im Vorfeld. Die aus verschiedenen Quellen zusammengetragenen Daten dienen der Personalisierung der gefälschten E-Mail: Korrekte Ansprache der Zielperson mit ihrer präzisen Funktionsbezeichnung sowie weitere Details im Anschreiben dienen der Täuschung und verstärken den Eindruck, es handle sich um ein glaubwürdiges Anschreiben. Um den Eindruck der Legitimität zu verstärken, werden auch die E-Mail-Adresse des Absenders und das Unternehmenslogo gefälscht. Da der vermeintliche Adressat des Anschreibens einen weitreichenden Zugriff auf Unternehmensressourcen hat, lohnt sich für Cyberkriminelle der hohe Aufwand in Bezug auf die Täuschung der Mitarbeiterinnen und Mitarbeiter, die mit entsprechenden Befugnissen ausgestattet sind.

Wie können sich Unternehmen vor Whaling-Angriffen schützen?

Vor Whaling-Angriffen kann man sich präventiv schützen. Mit diesen Schutzmaßnahmen können Sie sich und Ihr Unternehmen vor den Cyber-Attacken wappnen.

Awareness: Cyber-Angriffe, die sich des Social Engineerings bedienen, können prinzipiell jede Firmen-Firewall umgehen, da sie durch menschliches Fehlverhalten funktionieren. Aus diesem Grund spielen Awareness-Schulungen für die Belegschaft eines Unternehmens eine zunehmend wichtigere Rolle für die IT-Sicherheit. Geht es um vertrauliche Informationen oder finanzielle Transaktionen, sollten Mitarbeiterinnen und Mitarbeiter routinemäßig ein hohes Maß an Misstrauen an den Tag legen und entsprechende Anweisungen überprüfen.

Technische Schutzmaßnahmen: E-Mail-Verschlüsselung, automatische Kennzeichnung externer E-Mails und eine Anti-Phishing-Software können als Schutzfilter potenzielle Phishing-Mails aus dem Verkehr ziehen, indem sie gefälschte Absenderadressen erkennen. Sie bieten jedoch keine hundertprozentige Sicherheit.

Zusätzliche Validierungsmaßnahmen: Geht es um die Freigabe vertraulicher Informationen oder um die Überweisung hoher Geldbeträge, sollte eine weitere Validierung beziehungsweise eine zweite Genehmigung durch eine Mitarbeiterin oder einen Mitarbeiter erfolgen.

Datensparsamkeit: Je vertraulicher die Informationen sind, die Cyberkriminelle recherchieren können und in weiterer Folge dazu nutzen, dem personalisierten Phishing-Angriff ein hohes Maß an Glaubwürdigkeit zu verleihen, desto schwieriger ist es, eine Betrugsmail zu erkennen. Zu diesem Zweck suchen Cyberkriminelle in Sozialen Medien nach persönlichen Daten der Mitarbeiterinnen und Mitarbeiter beziehungsweise der Führungskräfte. Details wie Geburtstage, berufliche Positionen, geplante Urlaube und dergleichen sollten nicht via Social Media veröffentlicht werden, da sie Betrügerinnen und Betrügern die Gelegenheit für ausgefeilte Angriffe bieten.