Social Engineering: Wie ein Telefonanruf beim Helpdesk Ihrer Organisation Millionen kosten kann

Wenn Unbefugte Zugang zu unternehmenskritischen IT-Systemen bekommen, kann das gravierende Folgen haben. Das Beispiel der im September 2023 attackierten US-Casino- und Hotelkette MGM Resorts veranschaulicht das: Mit einem kurzen Telefonanruf beim Helpdesk – also mittels Social Engineering – verschafften sich Cyberkriminelle Zugang zum gesamten Firmennetzwerk. Neben unmittelbaren Ausfällen in der technischen Infrastruktur des Unternehmens als Folge des Cyberangriffs wurden auch Kundendaten gestohlen. Der Schaden soll (mindestens) 100 Millionen Dollar betragen.

Wie dieser prominent gewordene Angriff genau ablief, welche Folgen ähnliche Cybercrime-Vorfälle für deutsche Unternehmen haben können und wie Sie sich effektiv vor solchen Übergriffen schützen können, beleuchtet dieser Artikel.

Vishing als Türöffner, der Helpdesk als Einfallstor: Einfacher Zugang mit verheerenden Folgen

Was den Verlauf des Cyberangriffs auf MGM Resorts so bedeutend macht, ist die einfache und effiziente Strategie der Angreifer. Zielscheibe war zunächst – wie so häufig – ein besonders beliebter Schwachpunkt von Unternehmen, nämlich die Mitarbeiter des Helpdesks. Menschliche Fehler sind die häufigste Ursache für Sicherheitsverletzungen, und Phishing – das Abfischen sensibler Daten oder Verleiten zu schädlichen Aktionen über gefälschte Webseiten, E-Mails, Anrufe und dergleichen – ist aktuell die häufigste erfolgreiche Angriffsmethode (Quelle: IBM Security X-Force Threat Intelligence Index 2023). So auch hier: Mittels Vishing (Voice Phishing; Phishing per Telefon) gelang den Angreifern der Zugang zum IT-System – durch einen vielleicht zehnminütigen Telefonanruf. Das LinkedIn-Profil eines MGM-Mitarbeiters lieferte erste Anhaltspunkte, alles Weitere ergab das direkte Gespräch: Ein sprachgewandter Angreifer gab sich beim Helpdesk des Authentifizierungsservice-Hosters als jener Mitarbeiter aus, erwirkte einen Passwort-Reset für sein vermeintliches Mitarbeiterkonto und verschaffte der Hackergruppe so Zugang zu den MGM-Systemen.

Die Hacker (vermutlich eine in der Branche sehr aktive Erpresser-Gruppe namens Scattered Spider) nutzten offenbar Ransomware-as-a-Service (vermutlich von ALPHV, auch BlackCat genannt) nach dem sie sich initialen Zugriff verschafft hatten – ein weiteres Beispiel für Arbeitsteilung bei der Cyberkriminalität. Die Ransomware verschlüsselt üblicherweise geschäftskritische Systeme des Opfers, um es erpressbar zu machen. Zwar behauptet MGM, seine Systeme selbst heruntergefahren zu haben, um weiteren Schaden zu vermeiden. Dennoch waren die Folgen dieser simplen Angriffstaktik gravierend: Zu dem Zeitpunkt, da MGM auf den Cyberangriff aufmerksam wurde und betroffene IT-Systeme herunterfuhr, hatten die Cyberkriminellen bereits Kundendaten kopiert, die sie später als zusätzliches Druckmittel für Lösegelderpressung einsetzen konnten („Double Extortion“). Der vom Unternehmen eingeleitete Shutdown wiederum legte wichtige IT-Dienste lahm, von denen der Betrieb der zugehörigen Hotels und Casinos abhängt. Gestörte Buchungs-, Reservierungs- und Kassensysteme, Geld- und Spielautomaten waren die Folge; Mitarbeiter ohne Zugriff auf Systemanwendungen des Unternehmens mussten sich mit Papier und Stift behelfen, um wachsende Schlangen verunsicherter Gäste abzufertigen.

Das Ausmaß der Schäden wird erst mit der Zeit erkennbar

Auch wenn MGM Resorts nach Bekanntwerden des Angriffs schnell reagierte, war der Schaden zu diesem Zeitpunkt bereits unabwendbar. Die Serverausfälle sorgten in den Medien für zeitnahe Erfahrungsberichte zahlreicher Kunden und einprägsame Bilder defekter Casinoautomaten im Neonparadies Las Vegas.

Die eigentlichen Folgen sind dabei wesentlich tiefgreifender. Allein im dritten Quartal 2023 rechnet das Unternehmen mit einem Verlust von 100 Millionen Dollar, nachdem es bereits öffentlich eingestehen musste, dass diverse Kundendaten gestohlen wurden. Anders als die Hotelkette Caesar, die kurz vorher einem ähnlichen Ransomware-Angriff zum Opfer fiel, zahlte MGM Resorts eigenen Angaben zufolge kein Lösegeld für die Löschung der erbeuteten Daten. Somit bleibt unklar, wie viele und welche der erbeuteten Daten – zu denen neben Namen und Kontaktinformationen auch Geburtsdaten, Ausweis-, Führerschein- und Sozialversicherungsnummern gehören – früher oder später in einschlägigen Darknet-Foren veröffentlicht werden. Dies ist nach einem 2020 bekannt gewordenen Datendiebstahl bei MGM bereits der zweite solche Vorfall in jüngerer Zeit. Das wirft natürlich die Frage auf, warum es dennoch so einfach sein konnte, die Verteidigung des internen Netzwerkes auszuhebeln.

Datendiebstahl im Wirkungsbereich der DSGVO

Wäre MGM auch in Europa geschäftlich aktiv, hätten sie ein noch größeres Problem: Im Geltungsbereich der Europäischen Datenschutz-Grundverordnung (DSGVO) liegt die sichere Verwahrung personenbezogener Daten in der Verantwortung jener Unternehmen, die diese Daten geschäftsbedingt erheben. Für europäische Unternehmen bedeutet das: Zu dem monetären Schaden von Cyberangriffen, etwa durch Systemausfälle oder Lösegeldzahlungen, kämen noch mögliche Bußgelder für mangelnde Sicherheitsvorkehrungen hinzu.

Die könnten empfindlich hoch ausfallen: Strafen bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens können verhängt werden, je nachdem, welcher Wert höher ist. Stellen Datenschutzbehörden fest, dass größere Unternehmen ihren DSGVO-Pflichten nicht nachkommen, fordern sie auch Euro-Beträge im sechs- bis achtstelligen Bereich. Bei der Festlegung der Geldbuße spielen neben der Art und Schwere des Vorfalls und der Kooperationsbereitschaft des Unternehmens auch Fragen der Verantwortlichkeit, frühere Verstöße und Fahrlässigkeit eine Rolle. Entscheidend ist darum auch die Bereitschaft eines Unternehmens, sich im Vorfeld mit Fragen der Sicherheit, des Datenschutzes und möglicher Übergriffe auseinanderzusetzen und entsprechende Vorkehrungen zu treffen. 

Wie also hätte MGM konkret seine Systeme besser schützen und die schädlichen Folgen eines solchen Angriffs verhindern oder zumindest minimieren können? Ein Blick auf die Situation des Helpdesks liefert erste Antworten.

Sichere Benutzerverifizierung am Helpdesk vermeidet Cyberangriffe

Der Cyberangriff auf MGM Resorts wirkt zunächst als Folge individueller Fehler, begangen von einer einzelnen Person im Helpdesk, die einem Unbefugten zu leicht Zugang zum Netzwerk gewährt hat. In Wirklichkeit aber veranschaulicht dieses Beispiel das allgemeine Problem mangelhafter Authentifizierungsvorgänge – in jedem Unternehmen können Schwachstellen da entstehen, wo angemessene Sicherheitsprotokolle fehlen.

Für häufig anfallende Aufgaben wie das Zurücksetzen vergessener Passwörter ist eine Self-Service-Lösung eine gute und sichere Wahl. Aber viele andere Helpdesk-Aufgaben werden weiterhin bevorzugt durch menschliche Arbeitskräfte ausgeführt, weil diese auf den individuellen Kontext von Anfragen besser eingehen können als automatisierte Systeme. Da Helpdesk-Mitarbeiter bei Bedarf auch Änderungen von Kennwörtern vornehmen und Konten entsperren können, ist in jedem Fall eine eindeutige Benutzerverifizierung notwendig, auch über das Telefon. Reichen die Authentifizierungsmethoden nicht aus, um die Identität von Anrufern mit Sicherheit festzustellen, so wird der Helpdesk zum Einfallstor für Social-Engineering-Taktiken.

Die Formel zur Vermeidung von Vishing-Cyberangriffen ist dabei so einfach wie das Vishing selbst: Bessere Authentifizierungsprotokolle verhindern, dass Unbefugte Passwörter zurücksetzen oder Konten entsperren lassen können. Besitzbasierte Verifizierungsmethoden entlarven mit viel höherer Wahrscheinlichkeit Zugriffsversuche durch Unbefugte als wissensbasierte (“Wie lautet Ihre Mitarbeiter-ID?“) mit Informationen, die sich auch geschickte Angreifer beschaffen können.

Um Helpdesk-Mitarbeiter bei der Authentifizierung zu entlasten, stellt Specops Secure Service Desk sicher, dass keine unbefugte Person über den Helpdesk Zugang zu sensiblen Informationen oder Diensten erhält. Mit Specops Secure Service Desk kann der Helpdesk

• Benutzer sicher und zweifelsfrei verifizieren, auch mit Hilfe bereits bestehender Identitätsdienste für das betreffende Konto (Duo Security, Okta Verify, PingID, Symantec VIP);
• verhindern, dass Unbefugte ein Passwort-Reset oder eine Kontoentsperrung vornehmen können – durch besitzbasierte, auch mehrstufige Verifizierung, die Betrug entscheidend erschwert;
• Benutzerkonten erst nach erfolgreicher Verifizierung zurücksetzen oder entsperren – kombinierbar mit der Self-Service-Lösung uReset, die es den verifizierten Nutzern ermöglicht, selbstständig Passwörter zurückzusetzen und Konten zu entsperren, und damit auch den Helpdesk sinnvoll entlastet.

Durch eine zuverlässige Benutzerverifizierung leisten Specops Secure Service Desk und uReset einen wirksamen Beitrag zur Unternehmenssicherheit – und entlasten zugleich die Helpdesks, damit die sich auf ihre Kernaufgabe konzentrieren können: echten Mitarbeitern die Nutzung ihrer Systeme zu erleichtern.