Phishing-Mails sind berühmt-berüchtigt und die häufigste Methode für Angriffe auf Unternehmensdaten. Mit dem Attack Simulator von Microsoft können Firmen ein solches Szenario durchspielen und wertvolle Erkenntnisse über den Umgang mit Phishing-Mails gewinnen.
Mit dem gestiegenen Anteil von Arbeit im Homeoffice ist IT-Security zu einem der zentralen Themen des allerorts verkündeten „New Normal“ geworden. Die Krise wirkte für viele Unternehmen wie ein Brandbeschleuniger, um auf digitale Technologien zu setzen. Vernachlässigt wurden dabei allerdings oft die technische Absicherung und der Datenschutz. Bring Your Own Device (BYOD) etwa ist ja schön und gut. Aber wie sicher sind eigentlich sensible Geschäftsdaten auf dem eigenen Handy oder Laptop?
Phishing-Mails sind besonders beliebt
Laut dem „Phishing and Fraud Report“ 2019 von F5 Networks und Webroot ist Phishing die häufigste Methode für Angriffe auf Daten. Heutzutage stammen die Zieladressen für Phishing-Mails aus einer Vielzahl von Quellen und können, je nach Ansatz und Intensität, an Tausende potenzieller Opfer oder an eine bestimmte Person versendet werden. Inzwischen beinhalten Phishing-Mails dreimal häufiger einen bösartigen Link als einen Anhang. Die am häufigsten genannten Marken und Dienste sind Facebook, Microsoft Office Exchange und Apple.
Auch Microsoft spricht in seinem „Digital Defense Report 2020“ davon, dass die größte Bedrohung unter anderem von Phishing unter dem Deckmantel von COVID-19 ausgeht. Eigenen Aussagen zufolge konnte Microsoft beobachten, dass sich Angreifer weltweit gezielt die Angst der Menschen vor COVID-19 und ihr Informationsbedürfnis zunutze gemacht hätten. Vor allem Schwachstellen in Virtual Private Networks (VPN), wie sie häufig für die Arbeit im Homeoffice zum Einsatz kommen, seien ein beliebtes Einfallstor für Angriffe.
Phishing-Mails erkennen
Mit dem Microsoft Attack Simulator existiert ein Tool, mit dem Unternehmen einen solchen Angriff durchspielen können, um zu wichtigen Erkenntnissen über den Umgang mit Phishing-Mails zu gelangen. Auch wir haben das getan, um zu testen, wie eine solche Simulation abläuft, ob und wie schnell die Phishing-Mail erkannt wird und wie unsere Mitarbeiterinnen und Mitarbeiter auf die E-Mail reagieren. Unsere eigenen Erkenntnisse und Erfahrungen aus dieser Angriffssimulation können auch wichtige Impulse für (potenzielle) Kunden sein, die zukünftig mehr auf IT-Sicherheit im Umfeld von Microsoft 365, respektive Microsoft Azure achten möchten.
Anfang Oktober 2020 ging bei uns folgende E-Mail ein:
Die scharfen Augen der busitec-Mitarbeiterinnen und -Mitarbeiter können sofort die falsche Absender-Adresse erspähen: „busilec“ statt „busitec“. Allein das sollte schon einmal skeptisch machen. Dann die Frage: Wer ist eigentlich Max Borden? Eine mögliche Reaktion darauf könnte ein Anruf bei unserem Mitarbeiter am Standort Kanada sein. „Hey Thomas! Du hast Verstärkung bekommen? Wer ist denn dieser Max?“ Gewöhnlich werden neue Mitarbeiter*innen intern angekündigt und dann im Organigramm aufgeführt. So kann man überprüfen, ob es sie tatsächlich gibt.
Die hier aufgeführten Fragen können, müssen aber von den Empfängerinnen und Empfängern der Phishing-Mail nicht zwingend gestellt werden. Das, was für einige offensichtlich ist, ist für andere möglicherweise nicht so eindeutig oder wird schlichtweg übersehen. Genau darin liegt die Gefahr, die von Phishing-Mails ausgeht. Außerdem gibt es wohl wesentlich uneindeutigere Phishing-Mails als die, die unser Mitarbeiter für den Test erstellt hat.
Sensibilisierung für das Thema Phishing-Mails
Der Microsoft Attack Simulator hilft herauszufinden, wie schnell die Beschäftigten bei einem externen Angriff reagieren, wie anfällig die Benutzerkonten sind und ob alle Sicherheitseinstellungen so konfiguriert sind, dass sie die Sicherheit des Unternehmens gewährleisten. Dadurch können alle Mitarbeiter*innen für mögliche Gefahren aus dem Cyberspace sensibilisiert werden.
In unserem Fall hatte ein Mitarbeiter in einem Zeitraum von zehn Tagen mehrere Phishing-Mail-Angriffe auf busitec gestartet, ohne das Unternehmen darüber zu informieren. Die E-Mails gingen zum einen an die Geschäftsführung, zum anderen an alle Mitarbeiterinnen und Mitarbeiter.
Social Engineering als Angriffstyp
Mit dem Angriffstest wollten wir herausfinden, wie unsere Mitarbeiter*innen auf die Phishing-Mails reagieren beziehungsweise was sie tun, wenn sie diese als solche identifiziert haben. Anhand dieser Erkenntnisse leiten wir in einem zweiten Schritt ab, wo es möglicherweise noch Verbesserungsbedarf bei unseren internen Prozessen gibt.
In unserem Fall wurde die Phishing-Mail als Typ „Social Engineering“ festgelegt. Beim Social Engineering geht es um zwischenmenschliche Beeinflussungen, die zum Ziel haben, bestimmte Verhaltensweisen auszulösen. Dies können zum Beispiel die Preisgabe vertraulicher Informationen oder – wie in unserem Fall – der Klick auf den Link zur Master-Thesis des Absenders in der E-Mail sein. Die Öffnung des Links aktiviert dann bestimmte Schadprogramme.
Social-Engineering-Angreifer nutzen also bestimmte menschliche Eigenschaften, wie etwa Neugier oder auch Unsicherheit aus, nachdem sie die Empfänger der Phishing-Mail im Vorfeld ausspioniert haben. Dies passiert beispielsweise über die sozialen Medien.
Fragen vor und nach dem Test mit dem Attack Simulator
Unternehmen können wir deshalb empfehlen, diesen Angriffstest mit dem Microsoft Attack Simulator selbst einmal durchzuspielen und sich im Vorfeld sowie nach dem Test folgende Fragen zu stellen:
– Was wollen wir mit dem Angriffstest herausfinden?
– Gibt es schon bekannte Schwachstellen beim Umgang mit Angriffen aus dem Cyberspace?
– Wurden die Empfänger*innen als erstes über die eigentliche Phishing-Mail oder die Warnung vor dieser informiert?
– Wie reagieren die einzelnen Empfänger auf die Phishing-Mails?
– Wie lassen sich die unterschiedlichen Reaktionen bezüglich des Gefahrenpotenzials einordnen?
– Welche Schlussfolgerungen für den Umgang mit Phishing-Mails und die internen Prozesse können aus den Testergebnissen abgeleitet werden?
– Inwieweit sollten die Beschäftigten zum Thema „Umgang mit Phishing-Mails“ geschult werden?
IT-Sicherheit ist gerade für KMU relevant
Was das Risiko anbelangt, selbst einmal Opfer von Angriffen aus dem Cyberspace zu werden, so schätzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Lage ernst ein. In seinem „Bericht zur Lage der IT-Sicherheit in Deutschland 2020“ heißt es:
„Die aktuelle Gefährdungslage ist weiterhin geprägt von Cyber-Angriffen mit Schadsoftware, die in immer neuen Varianten und mit teils ausgefeilten Methoden eingesetzt wird. Die Zahl der Schadprogramme übersteigt inzwischen die Milliardengrenze. Allein im Berichtszeitraum sind 117,4 Millionen neue Varianten hinzugekommen, somit etwa 320.000 neue Schadprogramme pro Tag.“
Von Cyber-Angriffen betroffen seien Unternehmen und Institutionen aller Größen und Branchen. Auch kleine und mittelständische Unternehmen, die sich durch Alleinstellungsmerkmale wie zum Beispiel die Produktion spezieller Komponenten im Maschinenbau auszeichnen.
Was IT-Security heute leisten muss
Möglicherweise ist vielen Unternehmen noch gar nicht bewusst, dass sie keine oder eine unzureichende Strategie für den Umgang mit Phishing-Mails haben. Solange schließlich nichts passiert, gibt es auch keinen Grund etwas zu tun. Es sollte sich allerdings mittlerweile herumgesprochen haben, dass Virenscanner oder Anti-Spam-Schutz schon längst nicht mehr ausreichen, um den immer komplexer und raffinierter werdenden Angriffen Herr zu werden.
Was es stattdessen braucht, ist ein umfassendes IT-Sicherheitsmanagement, das präventiv ausgelegt ist: Es analysiert potenzielle Risiken und erkennt Angriffe bereits in einem frühen Stadium.