Bei NSIDE ATTACK LOGIC hören wir einige Fragen immer wieder. Dazu zählen „Was kann man denn gegen Phishing überhaupt machen?“ oder „Gegen Phishing kann man doch eh nichts tun, oder?“. Auch wir erleben immer wieder in Red Team Assessments, dass bei einem stark auf das Ziel zugeschnittenen Spear Phishing trotz ausgefeilter technischer Abwehrmaßnahmen am Ende doch unsere RATs („Remote Access Trojan“) ausgeführt werden und wir einen Zugang zum internen Netzwerk unseres Kunden erhalten. Auch Phishing Simulationen, die wir im Rahmen von Awareness Trainings bei unseren Kunden durchführen, haben wir – trotz teilweise häufiger Wiederholungen – noch nie auf 0 % Fehlverhalten gelenkt bekommen. Selbst Kunden, die regelmäßig, also z.B. einmal im Quartal, ein Phishing mit ihren Mitarbeitern durchführen, schaffen es im Durchschnitt auf minimal 5-10 %. Also stimmt es, dass man „eh nichts“ gegen Phishing machen kann?

Nein, natürlich stimmt das nicht. Es ist wie immer in der IT-Sicherheit: Es gibt keine hundertprozentige Sicherheit. Technische Maßnahmen alleine reichen nicht, genau wie organisatorische Maßnahmen für sich alleine nicht ausreichend sind. Eine Kombination der Maßnahmen mit erhöhter Intensität für besonders gefährdete Gruppen ist das Mittel zum Zweck: „Security in Depth“ nennt sich dieses aus der technischen IT-Sicherheit stammende Prinzip: Die Sicherheitsmaßnahmen werden wie Zwiebelschalen übereinandergelegt und bieten so insgesamt einen deutlich stärkeren Schutz als eine einzige Schale.

Ein weiterer wichtiger Aspekt ist die Frage, was eigentlich verhindert werden soll, wenn man „Phishing“ verhindern möchte:

  1. Dass die Phishing-E-Mail im Postfach landet?
  2. Dass Mitarbeiter den Anhang öffnen/auf den Link in der E-Mail klicken?
  3. Dass der bösartige Anhang bzw. die Phishing-Webseite nicht erkannt wird?
  4. Dass der Virus ausgeführt wird bzw. Mitarbeiter ihr Passwort auf der Webseite eingeben?
  5. Dass der Virus sich im Netzwerk ausbreiten kann bzw. der Hacker sich mit den erbeuteten Zugangsdaten Zugang zu internen Systemen/Daten verschaffen kann?
  6. Dass der Angriff nicht rechtzeitig erkannt wird?

Wenn Phishing wirklich verhindert werden soll, muss es für jede dieser Fragen eine entsprechende Maßnahme im IT-Sicherheitskonzept geben. Jede einzelne „Zwiebelschale“ filtert weitere Angriffe heraus, so dass am Ende kein Angriff mehr sein Ziel erreicht. Also ist eine Kombination der Maßnahmen entscheidend.

  1. Verhindern, dass die Phishing-E-Mail im Postfach landet, z.B.:
    • Sperren von bekannten bösartigen Versendern durch Beziehen von Spam- bzw. Sperrlisten.
    • E-Mail-Spoofing oder Typosquatting sollte verhindert bzw. erkannt werden.
    • Nur ausgewählte Dateitypen sollten empfangen werden können (z.B. nur Office-Formate, die keine Macros enthalten können (z.B. .docx, .xslx)). Macros sollten blockiert bzw. nur signiert zugelassen werden.
    • Prüfung des Anhangs auf Schadsoftware.
  2. Verhindern, dass Mitarbeiter den Anhang öffnen/auf den Link in der E-Mail klicken, z.B.:
    • Regelmäßige Durchführung von Awareness Kampagnen (Awareness Workshops und Phishing-Simulationen als Übung).
    • Erkennungstipps leicht auffindbar und prominent platziert im Wiki/Intranet.
    • Phishing-Schulungen und Aufklärung während des Onboarding-Prozesses.
  3. Verhindern, dass der bösartige Anhang bzw. die Phishing-Webseite nicht erkannt wird?
  4. Verhindern, dass der Virus ausgeführt wird bzw. Mitarbeiter ihr Passwort auf der Webseite eingeben, z.B.:
    • Einen Virenscanner und einen Webgateway/-proxy nutzen.
    • Mit Inside-/Out-Assessments überprüfen, ob Anhänge/Downloads korrekt blockiert werden.
    • Mitarbeitern das Melden von Phishing-Angriffen beibringen oder z.B. über Plugins im Mailprogramm sogar zu vereinfachen.
  5. Verhindern, dass der Virus sich im Netzwerk ausbreiten kann bzw. der Hacker sich mit den erbeuteten Zugangsdaten Zugang zu internen Systemen/Daten verschaffen kann, z.B.:
    • Sicherheitsmodell Zero Trust/Assume Breach anwenden: bei der Konzipierung der Sicherheit davon ausgehen, dass interne Systeme (z.B. Mitarbeiter-PCs) kompromittiert werden können.
    • Das Active Directory Ebenenmodells (jetzt EAM) für die administrative Verwaltung des Active Directorys anwenden.
    • Regelmäßige interne Penetrationstests und Lateral Movement Simulationen (Ransomware Simulationen) durchführen.
  6. Verhindern, dass der Angriff nicht rechtzeitig erkannt wird, z.B.:
    • Implementierung von SIEM/SOC und Erhebung relevanter Log-Dateien von relevanten Systemen (z.B. Domain Controller).
    • Durchführung von Red Team Assessments zur Sicherstellung der Funktionalität und Identifikation von Problemen und Schwachstellen in den etablierten Prozessen.

Schließlich integriert sich damit die Abwehr gegen Phishing-Angriffe in das Gesamtkonzept zur Abwehr von Hacker-Angriffen. Letztendlich muss man also jede einzelne Verteidigungsstrategie gegen Phishing im Kontext betrachten: Ja, es wird immer wieder passieren, dass eine bösartige E-Mail am Mailgateway vorbeikommt. Ja, man schafft es vermutlich nie, eine Fehlverhaltensrate von 0 % zu erreichen. Und ja, es wird auch passieren, dass Schadsoftware auf Mitarbeiter-PCs ausgeführt wird. Die interne Sicherheit muss damit umgehen können. Dennoch sollte weiter in eine sorgfältige E-Mail-Filterung und in die Awareness-Schulung der Mitarbeiter investiert werden: bei beispielsweise 500 Mitarbeitern bedeutete eine Fehlverhaltensquote von 10 % 50 kurzfristig ausfallende Mitarbeiter, 50 Passwörter, die zurückgesetzt werden müssen, 50 Computer, die neu aufgesetzt werden müssen. Ohne regelmäßiges Training ist jedoch eher eine Quote von 40-60 % zu erwarten, und alleine, dass 60 % der Belegschaft für kurze Zeit nicht arbeiten können bzw. dürfen, verursacht bereits Probleme. Von dem Aufwand, für die IT wieder zu Status Quo zurückzukommen, ganz zu schweigen.