Leitfaden gegen akute Phishing-Bedrohungen
Firewalls, Virenschutz und Spamfilter – die technischen Tools gegen Cyberkriminalität sind zahlreich. Doch um gegen Social-Engineering-Angriffe wie Phishing gewappnet zu sein, muss ein ganz anderes Einfallstor abgesichert werden: der Mensch. Gerade E-Mails dienen im Unternehmen noch als Hauptkommunikationskanal, weswegen eine Einweisung in die Do's and Don'ts der E-Mail-Sicherheit für jeden Mitarbeiter sowie der Aufbau einer nachhaltigen Sicherheitskultur in der ganzen Organisation unerlässlich sind.
E-Mail-Phishing, Spear-Phishing und Social Engineering sind nach wie vor die gängigsten und zuverlässigsten Methoden, um sich illegal Zugang zu einem Netzwerk zu verschaffen. Und die Tendenz steigt: Der Proofpoint-Bericht "State of the Phish 2022" zeigt, dass E-Mail-Phishing-Angriffe 2021 um 46 Prozent erfolgreicher waren als im Vorjahr. Einer der Gründe hierfür ist, dass Mitarbeiter im Home Office durch die mentale Belastung der Pandemie nachlässiger und gutgläubiger auf Betrugsversuche reagieren. Allein im Jahr 2021 landeten über 12 Millionen Phishing- und Social-Engineering-E-Mails in den Postfächern von mehr als 17.000 US-Unternehmen. Darüber hinaus waren 85 Prozent der Sicherheitsverletzungen auf einen menschlichen Insider zurückzuführen, und 61 Prozent der Sicherheitsverletzungen betrafen schwache Passwörter oder kompromittierte Anmeldedaten.
Password Phishing auf dem Vormarsch
Typisch für einen Phishing-Angriff sind täuschend echt nachgestellte Login-Eingabefenster, auf die die Opfer über einen getarnten Link in einer authentisch aussehenden E-Mail gelenkt werden. Besonders groß ist der Schaden, wenn das gleiche kompromittierte Passwort zum Einloggen in anderen Anwendungen Verwendung findet. Oft sind Phishing-Mails nicht oder nur minimal personalisiert und tarnen sich als automatisch verschickte E-Mails eines Diensts. Wird ein Angriff mit größerer Sorgfalt auf eine bestimmte Zielperson abgestimmt, ist auch von Spear-Phishing die Rede.
Selbst wenn die entsprechende Software, Hardware und Patches vorhanden sind, bietet das menschliche Element immer noch eine Schwachstelle für Social Engineering. Dieser Angriffsvektor wurde nach Beginn der Pandemie noch attraktiver, da viele Unternehmen auf dezentrale Arbeitsplätze umgestiegen sind und dabei die digitale Transformation überstürzt vollzogen haben. Zahlreiche Studien haben gezeigt, dass das Cyberrisiko mit der Zunahme der Telearbeit anstieg. Anti-Phishing-Software kann sicherlich helfen, sie ersetzt aber nicht das Bewusstsein für solche Attacken bei den Mitarbeitern. Hier müssen IT-Administratoren dabei helfen, eine Sicherheitskultur im Unternehmen zu etablieren.
Sicherheitstrainings und Sicherheitskultur
Gerade bei zunehmenden Phishing-Attacken gilt es, das Personal regelmäßig und gründlich zu schulen. Sicherheitstrainings sind wichtig, das ist bei den allermeisten Unternehmen angekommen. Nachhaltiger ist es aber, eine Sicherheitskultur im Unternehmen zu etablieren. Jedes Teammitglied sollte das Gefühl haben, dass das Thema Cybersicherheit im Unternehmen ernst genommen wird. Außerdem sollte jeder im Unternehmen das Gefühl von Teilhabe an der Unternehmenssicherheit haben. Cybersicherheit liegt nicht nur in der Verantwortung der IT-Teams. Das Engagement der Mitarbeiter ist ausschlaggebend für eine resiliente Sicherheitsstrategie.
Als allerersten Schritt sollten vor allem IT-Verantwortliche und ihre Teams ein sicheres Umfeld schaffen. Damit ist gemeint, dass Mitarbeiter sich vertrauensvoll an das IT-Team wenden können. Löst der Gedanke, einen Vorfall bei den IT-Administratoren zu melden, Furcht vor Schikane aus, schweigen Mitarbeiter aus Angst vor der vermeintlichen Verurteilung lieber. Authentisch werden Maßnahmen aber erst, wenn die IT-Verantwortlichen sich dem Thema der Sicherheitstrainings sowie der nachhaltigen Etablierung einer Sicherheitskultur im Unternehmen annehmen. Auf einige Dinge sollten IT-Verantwortliche bei der Umsetzung und Planung der Schulungen sowie der weiteren Sicherheitsmaßnahmen daher besonders achten.
Aufklärung durch konkrete Beispiele
Spoofing, Phishing, Whaling, Smishing – die Betrügereien werden immer kreativer und ausgeklügelter. Derzeit steigt etwa die Anzahl der Betrugsanrufe, die scheinbar von offiziellen Polizeibehörden wie Interpol, Europol oder dem BKA getätigt wurden.
Je mehr Mitarbeiter über die verschiedenen Arten von Phishing-Attacken wissen, desto besser ist das Verständnis dafür, auch gut umgesetzte Phishing-Versuche zu erkennen. IT-Verantwortliche sollten die verschiedenen Phishing-Arten in ihre Sicherheitsschulung aufnehmen und vor allem mit konkreten Beispielen darstellen. Einige Unternehmen setzen sogar auf interne Spam-Testmails, die nach den gleichen Prinzipien wie ein Angriff vorgehen, mit dem Ziel, die Mitarbeiter sensibilisieren, statt Schaden anzurichten. Gängige Aufforderungen, die als Einfallstor für Cyberangriffe dienen und über die somit aufgeklärt werden sollte, sind zum Beispiel:
Hinweise auf verdächtige Aktivitäten mit der Bitte, sich einzuloggen
Hinweise auf Probleme mit dem Konto oder den hinterlegen Zahlungsinformationen, mit der Bitte, diese zu aktualisieren,
eine gefälschte Rechnung zu begleichen,
für eine vermeintliche Rückerstattung oder Gutschein die Kontodaten oder ähnliches anzugeben.
Social Engineering: feste Richtlinien im Unternehmen
Ob nun bei Angriffen auf hochkarätige Opfer wie dem C-Level (Whaling) oder andere Kommunikationskanäle wie etwa über SMS (Smishing): In vielen Fällen setzen die Angreifer auf sozialen Druck. Beispielsweise erhalten neue Mitarbeiter in den ersten Wochen ihrer neuen Tätigkeit eine vermeintliche Anfrage einer Führungskraft. Auch werden Emotionen und Empathie gerne genutzt, um das Opfer dazu zu bringen, die bekannten Sicherheitsmaßnahmen zu umgehen. Die Hintergrundinformationen sammeln Cyberkriminelle etwa über Social-Media-Kanäle oder Onlineaktivitäten, die im Netz aufzufinden sind. Solche Informationen machen die Phishing-Attacken noch authentischer und personalisierter.
Daher gilt es, für alle Mitarbeiter Unternehmensrichtlinien aufzustellen. Prozesse zu dringenden Geldtransfers, Passwortweitergabe oder Mitteilungen des CEO müssen gemeinsam besprochen und ein zuverlässiger Workflow definiert werden. Wann ist es erlaubt, eine Überweisung anzustoßen? Was darf das Management von den Mitarbeitern anfordern und welche Anfrage darf niemals bearbeitet werden? Hier sollte auch die Führungsebene eine Sensibilisierung erfahren, dass solch ein Leitfaden definiert wurde und für alle Mitarbeiter gilt.
Maßnahmen für sichere E-Mail-Kommunikation
Selbstverständlich existieren auch technische Tools, um für etwas mehr Sicherheit bei der E-Mail-Kommunikation zu sorgen. Als Standard empfiehlt das BSI eine Kombination aus SPF, DKIM und DMARC – standardisierte Absenderreputationsverfahren. Das Sender-Policy-Framework (SPF) ist eine der gängigen Verfahren, das nicht autorisierte Absender durch die E-Mail-Adressen beziehungsweise Domains erkennt. IT-Teams können für Server Berechtigungen im SPF-Verzeichnis hinterlegen. Beim Eingang einer Mail wird vorher mittels eines Abgleichs der Mailserver überprüft, von dem die eingehende Mail stammt.
Bei der DomainKeys Identified Mail (DKIM) kann der Mail-Empfänger überprüfen, ob eine E-Mail, die scheinbar von einer bestimmten Domäne kommt, tatsächlich vom Eigentümer dieser Domain autorisiert wurde. Dies lässt sich über eine digitale Signatur bei jeder ausgehenden E-Mail realisieren, die mit dem Domain-Namen verknüpft ist.
Die Domain-based Message Authentication, Reporting and Conformance (DMARC) ist das dritte standardisierte Authentifizierungsverfahren, das die E-Mail-Absender prüft. Das Protokoll basiert auf SPF und DKIM und kann nach der vorangestellten SPF- und/oder DKIM-Authentifizierung der zuzustellenden Mail gegebenenfalls Maßnahmen ergreifen. Mit einem DMARC-Eintrag lassen sich zusätzliche Empfehlungen definieren, wie der Empfänger eine nicht regelkonforme E-Mail behandeln soll. E-Mails können bei Verdacht etwa in Quarantäne gestellt oder zurückgewiesen werden. Externe IT-Dienstleister und -Sicherheitsexperten wie Managed Service Provider sind meist darauf spezialisiert, solche gängigen Standards zu überprüfen und sauber aufzusetzen.
Zwar sind technische Hilfsmittel ein wesentlicher Bestandteil der Cybersicherheitsstrategie und bei gut betreuten Unternehmen auch häufig bereits implementiert, doch finden Cyberkriminelle immer wieder neue Methoden, um die technischen Sicherheitsmechanismen zu überlisten.
Fazit
Eine effektive Cybersicherheitsstrategie im Unternehmen muss sich auf die Schulung der Mitarbeiter konzentrieren, denn der Faktor Mensch wird stärker denn je als Einfallstor ausgenutzt. Hierfür ist es unabdingbar, dass IT-Verantwortliche sich dem Thema der Sensibilisierung annehmen. Technische Abwehrhilfen sind ebenfalls unerlässlich, doch zeigen die meisten Vorfälle, dass die IT-Teams sich nicht ausschließlich auf die Technologie verlassen können. Nur wenn eine resiliente Sicherheitskultur im Unternehmen etabliert ist, lässt sich das Risiko einer Kompromittierung durch immer häufiger auftretende Phishing-Attacken reduzieren.
Autor: André Schindler, General Manager EMEA bei NinjaOne