Die Sensibilisierung der Benutzer ist ein wesentliches Element beim Schutz vor Phishing

Die Sensibilisierung der Benutzer ist ein wesentliches Element beim Schutz vor Phishing

Anti-Phishing-Taktiken für 2019

Ein Artikel von Tomé Spasov, Chief Business Development Architect bei Ectacom | 07.01.2019 - 10:49

Was ist eigentlich Phishing?


Der Begriff Phishing ist die verkürzte Darstellung der Begriffe „password harvesting“ und „fishing“. Phishing zielt ­darauf ab, Passwörter und Zugangsdaten über verschiedene Anreize oder das Vorspielen falscher Sachverhalte zu angeln bzw. zu stehlen. Das Vorspielen falscher Sachverhalte unter Ausnutzung von Empathie bzw. sogenanntem „Social Engineering“ gab es auch schon vor dem Internet in Form von Betrugsversuchen am Telefon, z. B. Anrufe durch vermeintliche Bankmitarbeiter, die bestimmte Konto­informationen einschließlich dem Telebanking-Passwort abgleichen wollten.

Für die Weitergabe oder Eingabe von ­Zugangsdaten gaukeln vermeintlich echt wirkende Phishing-E-Mails und Phishing-Webseiten Authentizität und Seriosität vor. Phishing-E-Mails suggerieren als Absender vermeintlich vertrauenswürdige Personen und Vorgesetzte, bekannte Online-Portale (Entertainment, Gambling, Shopping, etc), Hausbanken2, öffentlich bekannten Personen (Fußballer, Schauspieler, etc.), soziale Netzwerke, Versorgungsunternehmen, usw. 2017 gab es über 1,2 Millionen Phishing-Angriffe und die Anzahl der Angriffe wird in diesem und in den nächsten Jahren weiter zunehmen.

Wie schützen sich Unternehmen heute vor Phishing-Angriffen?


Um sich vor Phishing-Angriffen zu schützen, kombinieren Unternehmen gemäß Best Practise Anti-Phishing-­Sicherheitstechnologien mit auf Computer basierenden Sensibilisierungsschulungen für Mitarbeiter.

Zur Bekämpfung des Phishings werden verschiedene IT-Sicherheitstechnolo­gien wie Anti-Malware-Lösungen, Einbrucherkennungstechnologien (BDS), E-Mail-Sicherheitstechnologien, SIEM-Systeme, Web-Content-Filter sowie ­Threat Intelligence eingesetzt. Trotz aller Investitionen in Anti-Phishing-Gegenmaßnahmen sind Unternehmen mit Phishing-Vorfällen konfrontiert und sehen Optimierungspotenziale bei ihren Verteidigungsmechanismen. Die Teilnahme an Cybersecurity Awareness-Schulungen liefert jedem Benutzer ein besseres Verständnis über die Bedrohungen aus dem Internet. Um den Benutzer in Anti-Phishing-Strategien einzubinden, reicht dieses nicht mehr aus. Vielmehr sollte der Benutzer in die Lage gebracht werden, aktiver in die Erkennung von Anti-Phishing-Bedrohungen eingebunden zu werden.

Einbindung und Aufbau des E-Mail-Benutzers als Phishing-Verteidigungslinie


Da die Zahl der Datenschutzverletzungen durch Phishing weiterhin zunimmt und Sicherheitstechnologien alleine das Phishing-Problem nicht lösen können - diese können nach wie vor umgangen werden - sollte man darüber nachdenken, den Faktor Mensch als allerletzte Verteidigungsinstanz in die Anti-Phishing-Strategie einzubinden.

Die Einbindung eines Benutzers in ­Anti-Phishing-Strategien hat folgende Ziele:
  • Der E-Mail-Benutzer ist ausgebildet und befähigt, einen Phishing-Angriff zu erkennen, nachdem der Phisher alle Verteidigungslinien im Unternehmen umgangen hat.
  • Der E-Mail-Benutzer hat ein Werkzeug, einen Phishing-Angriff zu melden, damit IT-Sicherheitszentren/­-abteilungen (SOC) oder Incident ­Response Teams (IR) diesen Angriff schnell analysieren und dann auch entsprechende Gegenmaßnahmen einleiten können.
  • Der E-Mail-Benutzer wird zum menschlichen Phishing-Sensor aufgrund seiner hohen Reputation bei der effektiven Meldung von Phishing-­Angriffen.

In der Sensibilisierung, Ausbildung und Befähigung von Benutzern, Phishing-Angriffe zu erkennen, sind Fortschritte zu verzeichnen. In den letzten Jahren haben viele Unternehmen in Deutschland entsprechende Maßnahmen für die Teilnahme an Phishing-Simulationsschulungen, die Bestandteil von sogenannten „Security Awareness Computer-Based Training (CBT)“ sind, durchgeführt bzw. eingeleitet.

Damit E-Mail-Benutzer Phishing-Angriffe mit einem geringen Aufwand melden können, bedarf es der Integration eines intuitiven Add-ins für E-Mail-Clients von beispielsweise IBM Lotus Notes, MS Outlook oder Office365. So können verdächtige E-Mails mit einem einfachen Klick an das SOC oder IR ­gemeldet werden.

Das SOC oder das IR erhält dann diese Phishing-Meldung als benutzergenerierten Bericht mit der kompletten Kopfzeile sowie allen Anhängen der gemeldeten Phishing-E-Mail. Nach entsprechender Analyse des Angriffs werden präventive Reaktionsmaßnahmen eingeleitet.

Schnelle Reaktion auf Phishing-Vorfälle


Da nun Mitarbeiter verdächtige E-Mails melden, müssen SOC- oder IR-Teams diese sammeln, priorisieren, analysieren und effizient reagieren, um mit der Unmenge der gemeldeten Bedrohungen Schritt halten zu können.

Eine schnelle Reaktion auf Phishing-Angriffe kann durch die Automatisierung der internen Phishing-Erkennung und -Analyse, Bedrohungs-Priorisierung sowie der Reaktion auf Phishing realisiert werden. Man spricht von einem Triage-Prozess, bei dem die bestehenden Unternehmensressourcen effektiv zur Bedrohungseindämmung unter Berücksichtigung von minimalen Risiken eingesetzt werden sollen. Was sollen Unternehmen tun, wenn sie feststellen, dass einige E-Mail-Benutzer keine Phishing-Angriffe erkannt haben oder nicht wissen, dass sie bereits Opfer eines Phishing-Angriffs geworden sind?

Für diese beiden Szenarios müssen Phishing-Threat-Hunting Maßnahmen durchgeführt werden. Vereinfacht ausgedrückt, bedeutet Phishing-Threat-Hunting die gezielte Suche nach Phishing-Bedrohungen mit Isolierung und Abspeicherung derselben sowie E-Mail-Indizierung und E-Mail-Forensik durch den Triage-Prozess. Sollte durch den Triage-Prozess die Phishing-Bedrohung erkannt werden, so können dann Phishing-Desinfektionsmaßnahmen durch das IR eingeleitet werden.

Zusammenfassung Anti-Phishing-Taktiken für 2019


Anti-Phishing-Taktiken werden erfolgreich sein und eine hohe Wirksamkeit an den Tag legen, wenn Unternehmen E-Mail-Benutzer als Phishing-Verteidigungslinien aufbauen, um Phishing-Angriffe zu erkennen und dann als menschliche Phishing-Sensoren entsprechende Angriffe zur Einleitung von Gegenmaßnahmen schnell an IR-Teams zu melden.

Der Einsatz von Triage-Werkzeugen zur Phishing Orchestrierung, Automatisierung und Response (SOAR) kann auch bei nicht erkannten und erfolgten Phishing-Angriffen Schaden von Unternehmen abwenden bzw. die Risiken reduzieren.