„Mittelweg zwischen restriktiver Netzkontrolle und Usability“ – Die 4 wichtigsten Fragen zum Umgang mit dem Thema Phishing
Ein Interview mit unserem Nachwuchsexperten René Decker
Die größten Schwachstellen der IT befinden sich in Unternehmen nicht zwingend in der Technik. Denn nicht selten ist menschliches Fehlverhalten die Ursache für das Gelingen von Hackerangriffen. Indem Angreifer die Gutgläubigkeit, Unwissenheit, Bequemlichkeit und das Vertrauen von Mitarbeitern ausnutzen, machen sie sie häufig unwissentlich zu ihren Helfern. Über Social Engineering-Attacken aller Art können sie an wertvolle Informationen gelangen. Ein vielfach verwendeter Weg ist dabei der Versand von Phishing-Mails. Im folgenden Interview gibt René Decker, Security Analyst bei der TÜV TRUST IT, Einblicke in seine Erfahrungen und beantwortet die wichtigsten Fragen zum Thema Phishing und wie man sich als Unternehmen davor schützen kann.
Welche Arten von Phishing gibt es?
René Decker: Es gibt grundsätzlich viele Formen von Phishing, je nachdem wie man es klassifizieren möchte. Bezieht man sich auf Phishing, welches sich gezielt gegen Personen, Personengruppen und Unternehmen richtet und voraussetzungslos mit dem Sammeln von Informationen beginnt, spricht man von “Spear Phishing“, womit gegenwärtig circa 90 Prozent aller Phishing-Angriffe bezeichnet werden können. Angreifer versuchen hierbei über elektronische Kommunikationswege (Telefon, E-Mail, SMS etc.) Nutzer zur Preisgabe von Informationen und/oder zur Installation von Malware zu verleiten, um so Zugang zu Informationsinfrastrukturen zu erhalten. Die Phishing-Phase kann man i.d.R. als den ersten Stepstone betrachten, als Eintrittstor, durch das weitergehende Angriffe erfolgen können. Erhält ein Angreifer etwa durch eine Phishing-Mail Zugriff auf den Account eines Angestellten innerhalb eines Intranets einer Firma, eröffnen sich ihm viele weitere Angriffsvektoren. Es können Daten kompromittiert, gestohlen oder gelöscht werden. Häufig werden Informationen ausspioniert und an Interessenten über verschlüsselte Netzwerke weiterverkauft. Zudem kann es auch vorkommen, dass die Installation von Malware zwecks Spionage nicht via E-Mail erfolgt, sondern Sicherheitslücken in Webanwendungen ausnutzt (cf. Cross-Site-Scripting, Cross-Site-Request-Forgery).
An welchen Merkmalen erkenne ich eine Phishing-Mail?
René Decker: Generell kann man sagen, dass es immer schwieriger wird, eine Phishing Mail zu erkennen. Es gibt jedoch ein paar Hinweise, die immer noch als Indikatoren dienen können, wie beispielsweise Rechtschreibfehler oder unpassende Sonderzeichen. Der wichtigste Indikator ist jedoch die Bewertung des E-Mail-Inhalts und in welchem Kontext man die E-Mail erhalten hat. Bekomme ich beispielsweise von einem Lieferanten eine Rechnung per Mail mit einem Text, der von der Art und Weise von der sonstigen Kommunikation abweicht, sollte ich hellhörig werden. Darüber hinaus sollte auch besonderes Augenmerk auf die E-Mail Domain des Versenders gelegt werden. Denn besonders beliebt ist es bei Angreifern, eine ähnliche Domain wie die eines bekannten Unternehmens zu benutzen (z.B. wird ein reguläres „i“ durch eines ohne i-Punkt ersetzt, oder es werden Subdomains der eigentlichen Domain verwendet). Misstrauisch sollte man auch werden, wenn man zur Eingabe eines Passworts aufgefordert wird. Es gibt nahezu keine Services, die auf diese Weise agieren. Neugierde, Angst, oder Unaufmerksamkeit verleiten Benutzer aber immer wieder dazu, dies zu tun.
Weiterhin gibt es Dinge, die nicht sofort ins Auge fallen und vielen Nutzern gar nicht bewusst sind, dass es diese Angriffsszenarien überhaupt gibt. Dazu zählen versteckte oder nicht sichtbare Links in E-Mails. Darüber hinaus können Links oder Programme in Bildern versteckt und dann unwissentlich vom Empfänger ausgeführt werden.
Inwiefern haben sich Art und Weise der Phishing-Angriffe in den letzten Jahren verändert?
René Decker: Während sich die Transportwege für Phishing kaum verändert haben – die meisten Phishing Angriffe erfolgen nach wie vor per E-Mail – haben sich die Vorgehensweisen der Angreifer massiv gewandelt. Früher setzten Angreifer mit Phishing vorwiegend auf Masse; sprich sie versandten ungeheure Mengen an Phishing-Mails mit generischem Content und hofften darauf, dass jemand auf den Betrugsversuch hereinfallen würde. Heutzutage passiert Phishing gezielter, besser vorbereitet und komplexer durchdacht. Teilweise geschehen Phishing-Attacken in sehr eingeschränkten Nutzerkontexten, z.B. auf der Ebene von CEO-Profilinformationen oder Kontodaten (sogenanntes “whaling“). Was sich ebenfalls geändert hat, ist die enorme Bandbreite an Möglichkeiten für Angreifer, sich Informationen über potentielle Ziele zu verschaffen. Es gibt heute deutlich mehr Portale, über die man Informationen über Personen gewinnen kann wie beispielsweise eine besonders große Anzahl von sozialen Netzwerken. Darüber hinaus gibt es viele kostenlose Tools, die Angreifern noch komfortabler und schneller die nötigen Daten liefern. Dazu zählen z.B. auch Meta-Suchmaschinen, welche über soziale Netzwerke und andere Dienste an Informationen gelangen, die über gewöhnliche Google-Suchen nicht ohne Weiteres zu erhalten sind.
Was kann ich als Unternehmen gegen Phishing tun?
René Decker: An dieser Stelle muss man zwischen technischen Maßnahmen und Awareness-Maßnahmen für Mitarbeiter unterscheiden.
Es gibt diverse technische Möglichkeiten, um zu vermeiden, dass Phishing-Mails die Postfächer der Mitarbeiter erreichen. Kompromittierte Dateianhänge in E-Mails werden teilweise von Antivirenprogrammen erkannt und wandern direkt in den Spam-Ordner. Doch nicht alle technischen Maßnahmen sind so benutzerfreundlich. Um die Mitarbeiter vor gefährlichen Links zu schützen, könnte man theoretisch jede E-Mail, in deren Inhalt ein Link zu finden ist, blocken. Von der Usability her macht dies jedoch keinen Sinn. Deshalb muss jeweils ein Mittelweg gefunden werden zwischen restriktiven Kontrollmechanismen und erforderlicher Usability. Sinnvoller ist es, die Mitarbeiter auf die verschiedenen Bedrohungen und die Merkmale von Phishing Mails aufmerksam zu machen. Denn am Ende sitzt immer noch der User an der Maus und fällt die Entscheidungen.
Nach wie vor sind also die Mitarbeiter eines Unternehmens die am häufigsten ins Visier genommenen Ziele von Phishing-Angriffen. Daher gehören Schulungen zur Informationssicherheit und Awareness-Maßnahmen, die Mitarbeiter für Gefahren sensibilisieren, zum absoluten Pflichtprogramm. Mit Social Engineering-Kampagnen in Zusammenarbeit mit Security-Experten können solche Angriffe in Zusammenarbeit mit den jeweiligen Unternehmen simuliert werden. Die Ergebnisse geben den Verantwortlichen ein transparentes Bild über den Status des Sicherheitsbewusstseins ihrer Mitarbeiter. Solche Social Engineering Kampagnen lassen sich gut vor oder nach gezielten Awareness-Maßnahmen anwenden. Und nicht zuletzt gilt grundsätzlich: Lieber einmal zu viel beim hausinternen Informationssicherheitsbeauftragten / CISO nachfragen, wenn einem etwas Verdächtiges aufgefallen ist, als einmal zu wenig.
Dennoch muss man betonen, dass, wenn eine einzige erfolgreiche Phishing-Mail ausreicht, um ein komplettes Firmennetzwerk zu kompromittieren, die Schuld keineswegs beim Mitarbeiter zu suchen ist. Um die potentiellen Auswirkungen von Phishing a priori einzugrenzen sind z.B. sinnvolle, d.h. eher „steile“ als „flache“ Netzwerkhierarchien unabdinglich. Technische Umsetzungen und auf ein geschultes Bewusstsein der Mitarbeiter abzielende Maßnahmen sollten daher stets Hand in Hand gehen.