Phishing ist in der breiten Öffentlichkeit eines der bekanntesten IT-Sicherheitsthemen; jeder hatte bereits Kontakt damit. Phishing-Angriffe sind für Privatpersonen lästig bis gefährlich, aber für Unternehmen bergen sie enorme finanzielle und rechtliche Risiken. Wie groß die reale Bedrohung durch Phishing ist, zeigt der Verizon Data Breach Report: 32 Prozent aller digitalen Einbrüche gelingen mittels Phishing. Der jährliche Schaden allein für Unternehmen in den USA soll bei einer halben Milliarde Dollar liegen. 72 Prozent aller Angriffe sind monetär motiviert.

Dabei verschiebt sich der Schwerpunkt der Angriffe zunehmend: Immer häufiger dient Phishing der (Wirtschafts-)Spionage. Wenn Angreifer versuchen, das private Userpasswort für eine Kleinanzeigenplattform zu ergattern, ist das eine Sache. Wenn es darum geht, das Benutzerpasswort eines Konzernaccounts mit privilegierten Userrechten zu übernehmen, hat das eine deutlich andere Brisanz. In der IT gilt Phishing in erster Linie als ein Problem unvorsichtiger User. Doch auch die IT steht in der Verantwortung und muss Phishing-Prävention vorantreiben sowie Folgeschäden im Ernstfall effektiv verhindern.

Für die IT eines Unternehmens sind Phishing-Angriffe besonders tückisch. Denn wenn ein Angreifer im schlimmsten Fall ein Nutzerkonto eines Mitarbeiters übernommen hat, ist ein Angriff und auffälliges Verhalten im System deutlich schwerer zu erkennen als bei anderen Attacken. Deshalb spielen Versuche, Unternehmensaccounts direkt aus der Hand der User zu übernehmen, eine wichtige Rolle bei Angriffen. In Sicherheitstests zeigt sich, dass die Klickrate der Mitarbeiter auf Phishing-Fallen zwischen 1,3 und knapp 5 Prozent liegt. Dies unterstreicht zugleich, warum eine gute Sicherheitsarchitektur passend gestaffelte Nutzerprivilegien benötigt, die zumindest potenzielle Folgeschäden durch gekaperte Accounts eingrenzen. Vor allem ist die Prävention wichtig. Denn laut Verizon entstehen Unternehmen mit der Größenordnung von 10.000 Mitarbeitern durch Phishing im Schnitt jährlich 3,7 Millionen US-Dollar an Kosten und Schäden. Investitionen in Gefahrenabwehr lohnen sich.

 

Neue, clevere Bedrohungen

Das Phishing hat sich in den letzten Jahren deutlich weiterentwickelt. Im Geschäftsumfeld treten Angriffe mit klassischen gefälschten Emails, die einen auffordern das „Passwort zurückzusetzen“ und das „Konto zu bestätigen“ inzwischen seltener auf. Von diesen Praktiken mit gefälschten Nachrichten von großen Portalen gehen organisierte Angreifer zu deutlich raffinierteren Methoden über. Organisierte Banden wie aktuell „Emotet“ besorgen sich zunächst detaillierte Informationen über ein Unternehmen, bevor sie ganz gezielt nach Schwachstellen, Anknüpfungspunkten und lohnenden Zielen suchen. So erhalten Mitarbeiter hierbei direkte Antworten auf echte Email-Konversationen mit Schadsoftware im Anhang. Emotet ist kein klassisches Phishing, sondern eher im Bereich der Verschlüsselungstrojaner anzusiedeln, nutzt jedoch sehr ähnliche Mechanismen wie Phishing: Gefälschte Emails mit einem Link oder einer Datei, die als Türöffner fungieren und verwundbare Systeme infizieren.

 

Grundlegende Gefahrenabwehr gegen Phishing

Der entscheidende Faktor bei Phishing ist immer der Mensch. Viele lassen sich von gut konzipierten Phishing-Angriffen täuschen, geschulte Mitarbeiter sind dagegen aufmerksam und skeptisch. Ein zweiter wichtiger Schutzmechanismus sind E-Mail- und Nachrichtenfilter. Ein großer Teil aller Phishing-Versuche geschieht über E-Mails. Wirkungsvolle Filter können verdächtige Nachrichten verschwinden lassen, noch bevor ein User sie zu Gesicht bekommt. Eine dritte Sicherheitsvorkehrung kann im Browser der Userinnen und User vorgenommen werden: Verdächtige URLs werden im Unternehmensnetz automatisch blockiert. Eine Mehrfaktor-Authentifizierung kann Unternehmen auch helfen, Phishing zu vermeiden oder die Folgen erfolgreicher Passwortdiebstähle zu minimieren.

Da bei Phishing und damit verwandten Angriffen die Mitarbeiter im Mittelpunkt stehen, muss die IT in Unternehmen kreativ werden. Eine mögliche Lösung sind intelligente Plattformen mit Phishing-Trainings, die interaktiv zeigen und erklären, wie Mitarbeiter Phishing erkennen können. Hierzu werden Mitarbeitern Test-Emails gesendet, die wie echte Phishing-Emails aufgebaut sind. Wer diese erkennt, kann beispielsweise virtuelle Punkte sammeln, denn Gamification kann hier zur Mitarbeit motivieren. Gleichzeitig können Mitarbeiter echte Phishing-Versuche melden und damit ebenfalls Punkte sammeln und zudem das interne Filtersystem trainieren. Nach einiger Zeit können die Sicherheitssysteme die Gefahren besser filtern und gleichzeitig werden die Anwender ideal darin geschult, Phishing-Angriffe routiniert zu erkennen.

 

Wie cleveres Zugriffsmanagement Gefahren abwehren kann

Identity und Access Management hat in Unternehmen meist die Aufgabe, Nutzer eindeutig zu identifizieren und Accounts mitsamt der Nutzerrechte zu verwalten. Ein kompromittierter Account mit Adminrechten oder einer anderweitig hoher Freigabestufe ist das ideale Einfallstor für Angreifer. Dadurch können erfolgreiche Hacks mit enormen Schadenspotential durchgeführt werden. Phishing und andere Formen des Social Engineerings werden sich nie vollständig verhindern lassen. Aus diesem Grund ist es sehr wichtig, dass frühzeitig Abwehrstrategien implementiert werden. Denn in der Praxis dauert es häufig nur wenige Minuten bis Angreifer erbeutete Nutzerdaten dazu verwenden, verheerende Schäden anzurichten.

Wenn ein Mitarbeiter bemerkt oder befürchtet, dass sein Account kompromittiert sein könnte, sollte er geschult sein, sofort richtig zu handeln. Ab diesem Zeitpunkt sollte der Abwehrprozess voll automatisiert ablaufen. Das Identitätsmanagement sollte so aufgesetzt sein, dass der Account automatisch in Quarantäne versetzt wird, sobald ein Nutzer eine mögliche Attacke über das Anti-Phishing-System meldet. Gleichzeitig sollte das Security Operations Center automatisch über den möglichen Vorfall informiert werden. Die sofortige Gefahrenabwehr hat höchste Priorität. Noch bevor die IT analysiert und nachforscht, muss der gefährdete Account automatisch gesperrt werden, sobald der Nutzer den Verdacht meldet, dass das Konto kompromittiert sein könnte.

Dieses Vorgehen kann weiteren Schaden abwenden, denn die Nutzerdaten werden für die Angreifer wertlos. Hacker warten oft nur wenige Minuten, bevor sie erbeutete Nutzerdaten für weitere Attacken nutzen. Zeit für die Analyse bleibt auch später noch. Wenn ein Unternehmen eine Trainingssoftware einsetzt, um Phishing-Angriffe zu melden, kann die Account-Sperre darüber automatisiert werden. Sollte es sich um falschen Alarm handeln, ist ein vorübergehend gesperrtes Konto schnell wieder aktiviert. So ist die Datensicherheit gewährleistet und gleichzeitig gehen keine Daten des Nutzers verloren.