Gegen Phishing: Wie Unternehmen ihre Teams sensibilisieren können

Immer häufiger sehen sich Unternehmen, Behörden und Einrichtungen mit Cyber-Attacken konfrontiert. Ein Einfallstor sind Phishing-Mails, die ein Vertrauensverhältnis mit dem Empfänger vortäuschen. Schnell wird auf einen Link geklickt, Ransomware,  oder andere Malware unwissend heruntergeladen - der Schaden kann immens sein.

Wie können Unternehmen vorbeugen, dass sie und ihre Mitarbeiter Opfer von Phishing und Ransomware-Attacken werden? (Bild: Pixabay.com)

Die Zahl der Cyberangriffe steigt: Betroffen sind Unternehmen, Behörden und Gemeinden, aber auch Gesundheitseinrichtungen wie Krankenhäuser. Und die Berichte über erfolgreiche Angriffe mehren sich in der Schweiz: Erst kürzlich war das IKRK von einem Cyberangriff betroffen, auch Firmen wie Stadler Rail, Comparis, Griesser Storen oder auch die Waadtländer Gemeinde Rolle wurden schon angegriffen. In Deutschland war im November 2021 die MediaMarkt Elektronik-Handelskette von einem Erpressungsversuch mit Ransomware betroffen, Server und Systeme waren kompromittiert, was den Betrieb in Filialen erheblich störte. Laut einem Unternehmenssprecher erfolgte die Attacke gezielt. Im Jahr 2020 waren die Uniklinik Düsseldorf und die Funke Mediengruppe Opfer: Bei letzterer diente eine Phishing-Mail als Einfallstor für eine Ransomware-Attacke. Bei einem solchen Angriff geht Ransomware wie ein „Verschlüsselungstrojaner“ vor, indem es Daten für den Nutzer unauflöslich codiert und erst gegen Lösegeldzahlung wieder freigibt. Da Phishing menschliche Schwächen ausnutzt, kann es mit technischen Lösungen nur sehr schwer verhindert werden. 

Eine Form von Social Engineering

Phishing ist eine sogenannte Social Engineering Attacke: Sie nutzt die Schwächen und Arglosigkeit des Menschen aus. Phishing-Mails gaukeln dem Empfänger dabei eine gewisse Vertraulichkeit vor bzw. setzen ihn unter Druck. Dadurch wird er dazu verleitet, einen Link anzuklicken, einen Prozess anzustoßen oder vertrauliche Informationen preiszugeben. Dabei können drei Arten des Phishings unterschieden werden:

  • Beim sogenannten CEO Fraud geben die Angreifer vor, eine hohe Position innerhalb des angegriffenen Unternehmens zu haben, um zum einen Vertrauen zu erwecken, zum anderen mit Autorität des Hierarchiegefälles und angedrohten Konsequenzen ihr Opfer dazu zu verleiten etwa einen hohen Geldbetrag zu überweisen. Die Angreifer gehen hierbei oft gezielt vor und investieren ein hohes Maß an Zeit in die Auswahl des Unternehmens und der passenden Empfänger. Oft haben sie einen Fuß in der Tür und wissen, wie die Kommunikation im Zielunternehmen abläuft.
  • Das Gleiche gilt für die Variante des Spear-Phishings: Diese Mails sind gezielt auf das Opfer bzw. auf eine bestimmte Opfergruppe zugeschnitten. Die Individualisierung macht es sehr schwer, eine solche Mail als Phishing zu erkennen. Spear-Phishing ist häufig der initiale Angriffsvektor, um Malware in ein Unternehmen einzuschleusen.
  • Klassisches Phishing zielt häufig darauf ab, Zugangsdaten der Opfer zu Systemen und Diensten zu erlangen. Diese E-Mails sind aber nicht auf Personen oder Personengruppen zugeschnitten, sondern werden an eine breite Masse geschickt. Dabei kann es auch vorkommen, dass ein Empfänger den in der Mail angesprochenen Dienst nicht verwendet.

Phishing ist eine konstante Gefahr

Die Gefahr ist nicht zu unterschätzen, da Phishing-Mails mit Raffinesse verfasst werden. Sie weisen nicht mehr per se merkwürdige und dubiose Email-Adressen des Absenders oder Schreib- und Grammatikfehler auf. Zudem ist der Adressatenkreis äußerst breit: Alle Mitarbeiter, die über E-Mail mit Externen kommunizieren, sind potenzielle Opfer. Unternehmen sind in der Regel von CEO Fraud oder Spear-Phishing und damit von gezielten Kampagnen betroffen. Dabei zeigt sich, dass sich Phishing-Versuche vor allem bei jenen Adressaten häufen, deren Namen und E-Mailadressen öffentlich zum Beispiel auf der Unternehmens-Website gelistet sind – meist verfügen diese im Vergleich zu Angehörigen von IT-Abteilungen über weniger stark ausgeprägtes Knowhow zum Thema Malware. Dies bedingt, dass häufig genau jene Mitarbeiter ins Visier von Angreifern geraten, die hinsichtlich Schadsoftware wenig sensibilisiert sind. Damit wird es wahrscheinlicher, dass sie auf einen Link klicken oder einen kontaminierten Anhang herunterladen.

Die Gefahr für private Personen besteht darin, dass persönliche und sensible Daten abgegriffen werden. Es kann auch Malware über Phishing-Mails eingeschleust werden, so dass sich der Angreifer unbemerkt einen permanenten Systemzugang sichert. Er bewegt sich unsichtbar im Netzwerk und gelangt so an die sensiblen Daten.

In Unternehmen sind Phishing-Mails häufiges Einfallstor für Schadsoftware wie Ransomware. Die Angreifer können die Kontrolle über Rechner erlangen, Identitäten der Opfer stehlen und damit weitere Angriffe ausüben. Das Opfer kann auch mit sensiblen Daten um ein Lösegeld erpresst werden. Diese Angriffe sind für Unternehmen sehr kostspielig: Sie ziehen lange Ausfälle der IT nach sich, behindern oder verhindern das Geschäft und schaden der Reputation. Wird Malware eingeschleust, kann auch Industriespionage über Phishing erfolgen.

Phishing mit Simulationen gezielt vorbeugen

Da Phishing eine psychologische Waffe ist und auf menschliches Verhalten abzielt, ist es schwierig, diese auf technologischer Ebene abzuwehren: Spamfilter erkennen die E-Mails nur unzureichend und damit erreichen sie meistens den gewünschten Empfänger. Am Beispiel einer Personalabteilung besteht für diese die Möglichkeit, Bewerbungen über ein Portal entgegenzunehmen und Einfallstore via E-Mail so zu umgehen.

Eine zielführende Methode zur Phishing-Abwehr besteht deswegen im Training und der Sensibilisierung der Mitarbeiter. Dafür bieten sich Simulationen und regelmäßige Kampagnen an, um das Bewusstsein z. B. hinsichtlich möglicher Einfallstore zu schärfen und so das Risiko eines Angriffes zu minimieren.

Mitarbeiter werden gezielt unter realen, aber kontrollierten Bedingungen mit der Gefahr des Phishings konfrontiert. Simulationen bspw. von Spear-Phishing machen sie mit den Tricks der Angreifer vertraut, ohne dass Schaden entstehen kann. Bei einer solchen Kampagne werden über mehrere Stunden oder Tage Phishing-Mails in einem Unternehmen verschickt, an alle oder an einzelne Personen, Personengruppen oder Abteilungen. Ob die Mitarbeiter davon bzw. von der Dauer in Kenntnis gesetzt werden oder nicht, entscheidet das Unternehmen.

Öffnet ein Empfänger nun eine der Kampagnen-Mails oder klickt er sogar auf den Link, wird sein Verhalten in einer Datenbank anonymisiert gespeichert. Das ermöglichen userspezifische Links in den Mails. Über den vereinbarten Zeitraum der Kampagne erfolgt eine permanente Auswertung, am Ende werden die Ergebnisse zusammengefasst und aufbereitet. So wird nachvollziehbar, welche Bereiche oder Abteilungen für Phishing-Mails besonders anfällig sind. Es kann dann mit Schulungen und Aufklärung gegengesteuert werden.

Die Kommunikation ist hier von zentraler Bedeutung: Es geht nicht um Schuldzuweisungen, sondern es muss klar sein, dass mit den Simulationen Knowhow aufgebaut wird und es sich um ein Lernszenario handelt. Es besteht auch die Möglichkeit, Mitarbeiter direkt nach dem Klick auf einen Link über die Phishing-Simulation aufzuklären oder sie zunächst im Dunkeln zu lassen. Letzteres bietet sich an, da sich in Unternehmen sonst leicht herumspricht, dass eine Simulation im Gange ist, was die Ergebnisse verfälschen kann.

Mit Schulungen Skepsis und Awareness fördern

In den Folge-Schulungen können Prozesse etabliert werden, um das Bewusstsein zu fördern und Skepsis aufrechtzuerhalten. Manchmal reicht schon der Name des Chefs in einer E-Mail, um sofort zu handeln – auch unüberlegt. Mitarbeiter erhalten deswegen Merkmale an die Hand, um leichter zu erkennen, ob eine E-Mail valide ist, etwa ob Name des Senders und Provider zusammenpassen. Aber auch die Etablierung einer Kultur der Skepsis ist wichtig, also nachzufragen, auch, wenn eine E-Mail von einem vermeintlichen Vorgesetzten mit sofortiger Handlungsaufforderung einhergeht.

Sinnvoll ist es, dass Mitarbeiter in regelmäßigen Abständen an einer Phishing-Simulation teilnehmen, unternehmensabhängig zum Beispiel einmal im Quartal oder im halben Jahr, um den größten Effekt zu erzielen, das Trainingslevel hoch zu halten und das Bauchgefühl für Phishing-Mails zu entwickeln. Dabei kann die Breite der Streuung variieren und Einfallstore direkt mit maßgeschneiderten Kampagnen erneut trainiert werden.

Fazit

Bedrohungsszenarien durch Cyber-Angriffe weiten sich aus, immer mehr Unternehmen sind von Ransomware-Attacken betroffen, die den Betriebsablauf behindern und immense Kosten verursachen. Das Einfallstor sind oft Phishing-Mails, über die die Angreifer Zugriff auf Systeme und sensible Daten erhalten und damit Unternehmen erpressen können. Diesem Worst Case Szenario kann mit einer Sensibilisierung der Mitarbeiter über gezielte Phishing-Simulationen und Trainings vorgebeugt werden.

Autoren:
Leon Hormel ist Cyber Defense Consultant bei SECUINFRA Falcon Team in Berlin, Tobias Messinger ist Senior Cyber Defense Consultant ebenda. https://www.secuinfra.com/de/news/digitale-bedrohung-phishing/

(Visited 532 times, 1 visits today)

Weitere Artikel zum Thema