„Irgendwann fällt jeder Mitarbeiter auf eine Phishing-Mail herein“

Die Zahl der Angriffsversuche auf Unternehmen ist im letzten Jahr stark gestiegen. Schon zu Beginn der Pandemie haben Kriminelle die Unsicherheit der Menschen ausgenutzt und Phishing-Mails mit Corona-Bezug verschickt. Es hat sich gezeigt, dass Phishing immer raffinierter wird und die Angreifer in kurzen Zeiträumen auf aktuelle Ereignisse reagieren. So gaukeln Kriminelle aktuell Nutzern den schnellen Zugang zu einer Corona-Impfung vor, in der verschickten E-Mail sind jedoch Dateien mit Schadsoftware angehängt. Oder ein in der Mail enthaltener Link führt zu einer präparierten Webseite, mit dem Ziel Login-Daten abzugreifen und diese zu verkaufen. Ich habe zuletzt mehrere Mails erhalten, die mir eine gefakte Banking App unterjubeln wollten und mich auf eine gefälschte Webseite gelockt haben.

Gleichzeitig spielt den Angreifern auch der Trend in die Karten, dass viele Mitarbeiter immer noch im Homeoffice arbeiten. Denn viele Unternehmen konnten ihren Mitarbeitern im Homeoffice unter dem gebotenen Zeitdruck keine ausreichend gesicherte Infrastruktur zur Verfügung stellen.

Eine zeitgemäße Endpoint Protection ist eine der wichtigsten Basis-Komponenten der IT-Sicherheit.  Diese Lösungen erkennen einen Großteil der Angriffsversuche und vereiteln den Zugriff von außen. Aber kriminelle Hacker wollen mit wenig Aufwand den maximalen Profit erzielen und suchen daher nach Schwächen in der Abwehr. Das sind natürlich Lücken wie etwa fehlende Software-Updates oder ein schlecht gesicherter RDP-Zugang mit einem zu einfachen Passwort. In der Realität ist jedoch immer wieder der schlecht informierte Anwender das schwächste Glied in der Kette.  Ein falscher Klick auf den Anhang oder einen Link in einer Mail kann ausreichen, um sich Zugriff auf das Netzwerk zu verschaffen. Sie können sich dann in aller Ruhe und unbemerkt im System umschauen, Daten kopieren und weitere Schadsoftware installieren, mit der sie dann schlussendlich wichtige Systeme verschlüsseln und Lösegeld fordern.

Cyberkriminelle verfolgen beim Phishing ein klares Ziel. Sie wollen ihr Opfer, zu einer bestimmten Handlung bewegen. Die Zielperson soll einen Mailanhang öffnen oder einen Link anklicken und dann vertrauliche Informationen wie etwa Login-Daten preisgeben. Mit diesen Informationen erhalten die Angreifer beispielsweise Zugang zu E-Mail Postfächern oder können das Netzwerk mit Schadsoftware infizieren. Dabei nutzen sie das menschliche Verhalten konsequent aus. Sie sprechen gezielt Hilfsbereitschaft, Neugier oder Gier bei ihrem Opfer an oder erzeugen ein Gefühl der Dringlichkeit, indem sie Druck aufbauen und beispielsweise verlangen, dass Passwörter sofort zu ändern sind. So sprechen die Angreifer mit Betreffzeilen und Dateinamen wie "Lebenslauf" oder "Neues Konzept" die natürliche Neugierde an. Oder die Mails imitieren vertrauenswürdige Marken. Beispielsweise werden etwa Nachrichten des Amazon-Supports nachgebaut, in der dazu aufgefordert wird, die Bankverbindung über einen Link - der zu einer nachgebauten Phishing-Webseite führt - zu aktualisieren. Die eingegebenen Daten gehen direkt an die Betrüger. Um Phishing-Mails noch glaubhafter wirken zu lassen, nutzen Angreifer vermehrt "gefälschte Ketten". Sie setzen "AW:", "Fwd:" oder "WG:" vor den Betreff und fügen manchmal sogar einen gefälschten E-Mail-Verlauf hinzu.

Nein, Phishing_Mails gehören auch für Unternehmen zum Alltag. Hier gehört der Umgang mit Bewerbungen auf ausgeschriebene Stellen oder Rechnungen zum Tagesgeschäft. Angreifer nutzen den gewohnten Umgang mit diesen Mails aus, da Mitarbeiter bei Routinearbeiten schneller unaufmerksam sind. Immer wieder bauen die Angreifer in den Mails Zeitdruck auf, um die Opfer zum raschen und unüberlegten Handeln zu zwingen. Es werden also sehr menschliche Eigenschaften ausgenutzt. Wenn ein Mitarbeiter erstmal davon überzeugt ist, dass er aus legitimen Gründen beispielsweise auf einer Webseite sein Passwort eingeben soll, lassen sich auch gute technische Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierungen umgehen.

Phishing wird immer raffinierter – zwar landen weiterhin unzählige Massenmails in den Postfächern, aber die Gefahr durch gezielte Attacken hat zugenommen. Dazu spähen die Angreifer in Sozialen Medien oder auf der Firmen-Homepage ihr Opfer aus und erstellen darauf aufbauend eine maßgeschneiderte Phishing-Mail. In dieser nehmen sie etwa auf eine Veranstaltung Bezug, die ein Mitarbeiter besucht hat. Solche so genannten Spear-Phishing-Mails sind von echten Nachrichten kaum zu unterscheiden. Wenn sie mit Hilfe von Malware, wie etwa Emotet, bestehende E-Mail-Verläufe auslesen und Mails von innerhalb der Organisation mit einem infizierten Anhang verschicken, wird es noch schwieriger, die zu erkennen. Hier braucht es schon eine AV-Lösung, die auf dem neuesten Stand ist. Hinzu kommt: Über diesen Weg greifen Cyberkriminelle auch weitere Opfer an.

Das hängt von der Art des Angriffs ab. Bei einfachen Massen-Spam-Mails fehlt beispielsweise die direkte Anrede. Eine solche Mail lautet dann die Anrede oft “Lieber Kunde/Liebe Kundin”. Zudem enthält die Mail oft Rechtschreib- und Grammatikfehler oder ist in ihrer Argumentation unlogisch, sodass sie eigentlich leicht als Fälschung zu identifizieren ist. Und trotzdem fallen genügend Empfänger auf die Nachricht herein.

Anders sieht es bei Spear-Phishing aus. Die Mail ist aufwändig gestaltet und direkt auf das Opfer angepasst. Da fällt es deutlich schwerer, den Betrug zu erkennen. Meist sind die Fälschungen sehr nah am Original und nur anhand von kleinen abweichenden Details erkennbar. Ein typisches Beispiel sind Mails mit Kontaktanfragen von einem sozialen Netzwerk. Wer hier stutzig wird, sollte den Link in der Mail unter keinen Umständen anklicken, sondern direkt die Webseite besuchen. Denn eine legitime Kontaktanfrage wird auch dort angezeigt und der Anwender senkt das Risiko, einer Phishing-Attacke zum Opfer zu fallen.

In unserem Berufsalltag, aber auch im privaten Leben sind viele Prozesse vollautomatisiert und IT-gestützt. Eine sichere Versorgung mit digitalen Informationen ist mittlerweile genauso wichtig, wie die Versorgung mit Strom oder Wasser. Aber beim Thema IT-Sicherheit verschließen Vorstände, Geschäftsführer und Angestellte immer noch die Augen. So setzen sehr viele Angestellte leicht zu merkende Passwörter für die IT-Benutzerkonten ein, doch einfache Kennwörter lassen sich sehr schnell knacken. Wenn sie dabei auch noch an die Login-Daten eines IT-Administrators gelangen, haben sie ihr Ziel schnell erreicht und können im Firmennetzwerk agieren.

Unternehmen müssen IT-Sicherheit ganzheitlich betrachten. Neben technischen Sicherheitsmaßnahmen sollten Mitarbeiter zum Bestandteil der Verteidigungsstrategie werden. Hier reicht ein Schulungsvideo, mit dem Mitarbeiter über Phishings-Mails und andere Cybergefahren informiert werden, nicht aus. Auch eine zweitägige Präsenzschulung greift auf Dauer zu kurz. Das Bewusstsein der Angestellten für IT-Sicherheitsrisiken zu schärfen, ist ein langfristiger Prozess. Das geht aus meiner Sicht nur mit Hilfe von umfangreichen Security Awareness Trainings. Wenn sich die Angestellten der Risiken bewusst sind, handeln sie vorsichtiger und gehen kritischer mit Mails um. Gleichzeitig haben sie dann auch Verständnis für Passwort-Vorgaben und andere sicherheitsrelevante Themen. So wird kein Mitarbeiter einen unbekannten USB-Stick ungeprüft an seinem Rechner anschließen.

Bei Phishing-Simulationen können Angestellte effektive Erfahrungen mit gefährlichen Mails sammeln. Es versetzt sie in die Lage, routinierter mit Phishing umzugehen und steigert ihr Selbstbewusstsein. Die Unternehmen können mit einer Simulation den Status der IT-Sicherheit messen. Ein Reporting zeigt dem Verantwortlichen ob und wie viele Mitarbeiter eine gefährliche Mail geöffnet und sogar den enthaltenen Link angeklickt haben. Damit ist klar, wie groß der Handlungsbedarf ist und an welcher Stelle dieser besteht. Anschließend sollten Firmen ein Security Awareness Training durchführen, um das Bewusstsein der Mitarbeiter für Cybergefahren nachhaltig zu verbessern und Wissen aufzubauen. Wer dann noch eine weitere Phishing-Simulation durchführt, kann sehen, wie sich das Sicherheitsniveau im Unternehmen verbessert hat. Natürlich ist das ein kontinuierlicher Prozess.

Idealerweise sollte die Übung drei bis vier Wochen dauern. Die Phishing-Mails sollten dabei verschiedene Schwierigkeitsstufen abdecken.  Auch die zeitliche Komponente, also die Uhrzeit des Versands sollte variieren, denn die Aufmerksamkeit der Mitarbeiter ist nicht konstant. So ist mancher Angestellter in Vorfreude auf den Feierabend oder das Wochenende nicht mehr so aufmerksam, wie zu Beginn des Arbeitstages. Ich bin mir ziemlich sicher, dass jeder Mitarbeiter auf mindestens eine Mail hereinfällt. Aber genau aus diesem Fehler lernen sie am meisten.

Natürlich müssen Firmen die arbeitsrechtlichen Rahmenbedingungen erfüllen. Daher sollten sie frühzeitig den Datenschutzbeauftragten oder den Betriebsrat einbeziehen.

Aus meiner Sicht ist aber ein anderer Punkt viel entscheidender: Für eine Phishing Simulation braucht es einen passenden Rahmen. Dazu gehört beispielsweise ein Meldeprozess für verdächtige Mails. Im Verdachtsfall sollten verdächtige Nachrichten nicht einfach gelöscht, sondern überprüft werden. Dann können die IT-Sicherheitsverantwortlichen umgehend Maßnahmen einleiten, wenn sich der Verdacht bestätigt. Dazu gehört etwa die Anpassung der eingesetzten Spam-Filter, damit diese Mails direkt blockiert werden. Zudem bedarf es auch einer Firmenkultur, die Mitarbeiter schützt, die auf eine Phishing-Mail hereingefallen sind. Nur wer offen über dieses Verhalten spricht und es nicht sanktioniert, schafft innerhalb der Belegschaft ein Bewusstsein für das bestehende Risiko. Ein Mitarbeiter, der auf einen Phishing-Angriff hereingefallen ist, sollte dies offen ansprechen können.