Menschen und Phishing Mails - eine gefährliche Kombination
Die Sicherheitsstrategie am Mensch ausrichten
31.10.2017 von Thomas Ehrlich
Um in Unternehmensnetzwerke einzudringen gibt es zahlreiche Wege. Einer der meistgenutzten - da wohl einer der erfolgreichsten - ist dabei sicherlich Phishing.
Einerseits werden die entsprechenden Mails sprachlich immer besser und zielen auch immer genauer auf den Adressaten, andererseits investieren Unternehmen immer mehr in die Sensibilisierung ihrer Mitarbeiter, um sie vor genau diesen Angriffen zu schützen. Ist dies also das klassische Katz-und-Maus-Spiel wie in anderen Bereichen der IT-Security?
In den meisten Fällen wird ein Mail-Adressat nicht so spektakulär gewarnt, wenn eine Phishing-Mail im E-Mail-Client ankommt. Foto: Rawpixel.com - shutterstock.com
Ich fürchte nein. Dr. Zinaida Benenson von der Friedrich-Alexander-Universität (FAU) Erlangen-Nürnberg forscht seit einiger Zeit unter anderem in diesem Bereich. Und ihre Ergebnisse lassen einen etwas beunruhigt zurück. So scheint es nahezu keine Korrelation zwischen Sicherheitsbewusstsein und dem tatsächlichen Klicken auf entsprechende Links zu geben. Sie betont zwar, dass dies momentan noch eher eine Hypothese sei und keine wissenschaftlichen Beweise vorlägen, aber die Ergebnisse ihrer Studie "Unpacking Spear Phishing Susceptibility" deuten allzu stark in diese Richtung.
Woran liegt es also, dass durchaus intelligente und geschulte Menschen auf Phishing-Mails hereinfallen? "Meine Theorie ist, dass die Leute nicht immer wachsam sein können. Und die psychologische Forschung hat tatsächlich gezeigt, dass Interaktion, Kreativität und gute Laune mit gesteigerter Leichtgläubigkeit verbunden sind", sagt Dr. Benenson. Die gleichen Forschungen zeigen auch, dass Wachsamkeit und Misstrauen - das, was sich IT-Verantwortliche letztlich von den Anwendern wünschen - eher mit schlechter Laune und erhöhten Anstrengungen einhergehen. Dies wirkt sich negativ auf die Atmosphäre im Unternehmen aus, was nicht im Sinne der Arbeitgeber sein kann.
Zudem steigt mit erhöhter Anstrengung natürlich auch die Müdigkeit, auf die wiederum Entspannungsphasen folgen, in denen die Menschen wieder ihre Wachsamkeit verlieren. "Und wenn die Nachricht zu dieser Zeit ankommt, dann ist es für alle plausibel - und ich meine wirklich für alle, mich, dich und jeden Sicherheitsexperten auf der Welt - etwas anzuklicken!", so Dr. Benenson.
Keine E-Mails, keine Probleme?
Was bedeuten diese Ergebnisse nun für die Sicherheit der Infrastruktur und vor allem der Daten eines Unternehmens? Soll -und vor allem: kann - man den Mitarbeitern ihre E-Mail-Accounts sperren? Ihnen verbieten, auf Links zu klicken? Wohl eher nicht, da dies massiven Einfluss auf die Produktivität und die Zufriedenheit der Mitarbeiter hätte.
Machen Sie Ihr Security Awareness Training besser
Bestimmen Sie Metriken Seien Sie in der Lage, den Erfolg Ihrer Bemühungen zu belegen. Das können Sie nur, wenn Sie Kennzahlen definieren, bevor Sie Ihr Awareness-Programm beginnen. Möglich sind Fragebögen zum Verhalten in bestimmten Situationen oder Phishing-Simulationswerkzeuge, die einen Angriff vor und einen nach den Trainigsmaßnahmen nachstellen. Ebenfalls lassen sich durch Mitarbeiter ausgelöste Incidents zählen - wie versuchte Besuche gesperrter Websites.
Bleiben Sie flexibel Konzentrieren Sie sich nicht nur auf die Präventionsarbeit. Die Idee der "menschlichen Firewall" ist weit verbreitet, sie kommt aber erst dann zum Einsatz, wenn ein Angriff erfolgt. Warum nicht auch auf "menschliche Sensoren" setzen und bevorstehende Attacken versuchen zu erkennen? Lassen Sie Ihre Angestellten nach Indikatoren Ausschau halten, die einen möglichen Angriff ankündigen. Wenn Phishing-Simulationen stattfinden, sollte man auch darauf achten, wie viele Testteilnehmer den Angriff erkennen und melden.
Lassen Sie Regeln brechen Wer sich nicht an Security-Regeln hält, kann seine eigene Security-Awareness steigern. Das Unternehmen sollte seinen Mitarbeitern ab und zu - nicht regelmäßig, damit es nicht zur Gewohnheit wird - die Freiheit geben, bestimmte Sicherheitsregeln zu brechen - aber nur solche, die keinen unmittelbaren Schaden anrichten. Nur wenn sie die Regel brechen, können die Mitarbeiter erkennen, was passiert, wenn die Regel gebrochen wird und warum es sie letztlich gibt. In einem Gespräch zwischen IT-Sicherheitsteam und Mitarbeitern lässt sich dann gemeinschaftlich nachvollziehen, welchen Zweck eine bestimmte Richtlinie verfolgt.
Wählen Sie einen neuen Ansatz Die meisten Awareness-Programme haben nicht dazu geführt, dass die Mitarbeiter ihr Verhalten geändert haben. Das liegt nach Meinung vieler Experten aber daran, dass sie gar nicht darauf ausgelegt waren, das Verhalten zu ändern - sie sollten einfach nur geltende Compliance-Vorgaben erfüllen. Also wurde wenig in diese Trainings investiert - sowohl finanziell als auch inhaltlich. Nur, wer Gehirnschmalz in die inhaltliche Ausgestaltung seiner Securiy-Trainings steckt, kann das Mitareiterverhalten ändern.
Holen Sie sich Unterstützung vom C-Level Wer die Unterstützung der Entscheiderebene hat, macht seine Security-Trainigs erfolgreicher. Wer ein Awareness-Programm plant, sollte sich zunächst starke Unterstützung von oben holen - und sei es nur mit Worten. Das führt zwangsläufig zu einer größeren Aufmerksamkeit in der Belegschaft, mehr Freiraum in der Ausgestaltung und Unterstützung anderer Abteilungen.
Machen Sie gemeinsame Sache mit anderen Abteilungen Wenn ein IT-Security-Mitarbeiter ein Awareness-Trainingsprogramm aufsetzt, sollte er neben dem Vorstand auch andere Fachbereiche mit ins Boot holen - Personal, Marketing, Legal, Compliance, Datenschutzbeauftragter und Hausverwaltung. All diese Abteilungen haben ein direktes oder indirektes Interesse an dem Thema Security und können bei der Werbung und der Finanzierung helfen. Außerdem haben sie die Möglichkeit, die Trainings für die Mitarbeiter verpflichtend zu machen.
Seien Sie kreativ Wer nicht kreativ ist, kann kein gutes Security-Training anbieten. Dazu könnte beispielsweise gehören, im Rahmen einer Firmenfeier im Eingangsbereich des Gebäudes eine Security-Wand aufzubauen, auf der - neben anderen Dingen - zehn gängige Sicherheitsfehler aufgeführt sind. Die Mitarbeiter, die alle zehn Fehler benennen können, nehmen an einer Verlosung teil.
Setzen Sie sinnvolle Zeitfenster Die meisten Trainingsprogramme laufen über ein Jahr - jeder Monat steht unter einem bestimmten Thema. Besser ist ein 90-Tage-Plan - dadurch werden Inhalte und Ziele jedes Quartal neu auf den Prüfstand gestellt. So sind viele Programme deshalb erfolgreich, weil sie über ein Vierteljahr hinweg jeweils drei Themen parallel behandeln und die Themen dann wieder neu ausgesucht werden. So bleiben Sie auf dem Laufenden.
Wählen Sie einen multimedialen Ansatz Jeder Mitarbeiter bringt andere Voraussetzungen mit, was IT-Sicherheit angeht. Jede/r möchte anders abgeholt werden. Setzen Sie daher auf verschiedenste Kommunikationskanäle, um für das Thema IT-Sicherheit zu sensibilisieren - beispielsweise über Newsletter, Poster, Spiele, Newsfeeds, Blogs, Phishing-Simulationen etc.
Wie sollte man also seitens des Unternehmens reagieren? Zunächst einmal, den Menschen als das zu nehmen, was er ist: eben ein Mensch, der Fehler hat und macht. "Wir Sicherheitsexperten neigen dazu, Benutzer als Belästigung zu betrachten, die immer die falschen Sachen machen", erklärt Dr. Benenson. "Eigentlich sollten wir als Sicherheitsexperten Menschen schützen! Und wenn die Angestellten in der Firma nicht da wären, dann hätten wir ja auch unseren Job nicht. Wichtig ist es also, den Menschen Mensch sein zu lassen - mit all seinen positiven, aber auch negativen Eigenschaften. Gerade so etwas wie Neugierde kann beides sein."
Besonders gefährdet (aus IT-Sicht: gefährlich) sind dabei Führungskräfte. Dies liegt zum einen an ihrer Exponiertheit. Je mehr Informationen ein Hacker über eine Person zur Verfügung hat - LinkedIn und Xing sind hier hervorragende Quellen - umso gezielter kann er seine Mails an die Opfer anpassen.
Phishing-Mails sind vor allem dann erfolgreich, wenn sie dem Empfänger als plausibel erscheinen. Zum anderen liegt dies auch am Charakterbild: "Ich denke, dass es auch einige Persönlichkeitsmerkmale von Führungskräften gibt, die sie dazu veranlassen könnten, häufiger zu klicken. Denn sie haben ihre Positionen nicht dadurch erreicht, dass sie besonders vorsichtig waren und kein Risiko eingegangen sind! Ich denke, dass Führungskräfte vielleicht sogar noch mehr Risiken eingehen als ein durchschnittlicher Angestellter und selbstbewusster sind. Das könnte ein Problem allerdings noch schwieriger machen. So kann es auch sein, dass sie sich ungern etwas von anderen sagen lassen." Der eine oder andere Sicherheitsverantwortliche kann davon bestimmt ein Lied singen.
Folgt der Mensch der Sicherheitsstrategie oder umgekehrt?
Aus all dem folgt letztlich, dass so sicher wie das Amen in der Kirche irgendwann irgendjemand auf eine Phishing-Mail hereinfällt und auf einen Button klickt, auf den er besser nicht klicken sollte. Die entscheidende Frage ist dann: Was passiert nach dem Klick? Steht für diese Fälle eine zweite Verteidigungslinie, sozusagen um die Daten herum, zur Verfügung? Ist sie in der Lage, ungewöhnliches Verhalten durch intelligente Nutzer- und Systemanalyse zu erkennen und entsprechende Gegenmaßnahmen einzuleiten?
Ransomware-Opfer: Die Ziele der Hacker
Notfall- und Rettungsdienste Behörden warnen vor Cyberattacken auf Krankenhäuser, Feuerwachen und sonstige Notfall- und Rettungsdienste. Die Funktion der IT-Systeme entscheidet in diesen Fällen unter Umständen über Leben und Tod. Das macht sie zu vielversprechenden Zielen für Ransomware-Kampagnen.
Der Durchschnittsuser Nicht nur auf dem Feld der IT-Sicherheit gilt der Mensch als schwächstes Glied. Das liegt auch daran, dass Durchschnitts-User sowohl die ergiebigsten, als auch die am leichtesten zu manipulierenden Quellen für Hacker darstellen. Das betrifft ganz besonders diejenigen, die sich leicht unter Druck setzen lassen und/oder technisch nicht allzu bewandert sind. Zum Ransomware-Ziel wird der normale User, weil so gut wie Jeder in Zeiten der Digitalisierung persönliche und/oder Unternehmensdaten auf einem oder mehreren seiner Devices vorrätig hält.
Unternehmen Egal ob groß oder klein: So gut wie jedes Unternehmen muss sich heutzutage auf seine IT-Systeme verlassen, um die täglich anfallenden Geschäftsprozesse abwickeln zu können. Diese Systeme enthalten in der Regel wertvolle Informationen, weswegen Unternehmen auch die ideale Zielscheibe für Ransomware darstellen. Dazu kommt, dass sich viele Unternehmen Ausfallzeiten schlicht nicht leisten können - es ist also sehr wahrscheinlich, dass sie deshalb auf Lösegeldforderungen eingehen.
Strafverfolgungs- und Regierungsinstitutionen Strafverfolgungsbehörden, Geheimdienste und sonstige Regierungsinstitutionen werden von kriminellen Hackern vor allem aus Gründen der Rache ins Visier genommen - schließlich sind sie es, die die Cyberkriminellen verfolgen. Zwar verfügen große Organisationen wie BND oder FBI über die Ressourcen, standesgemäße Abwehrmechanismen einzurichten, bei kleineren Behörden - zum Beispiel Polizeiwachen oder lokale Verwaltungsbehörden - sieht das anders aus. Entsprechend sind die Ransomware-Attacken auf solche Organisationen gestiegen.
Gesundheitswesen Anfang 2016 sorgten die Ransomware-Angriffe auf zwei Krankenhäuser in Nordrhein-Westfalen für Schlagzeilen. Die Folgen der Cyberattacke waren gravierend: Die IT-Systeme mussten komplett abgeschaltet werden, der Offline-Modus zwang die Krankenhäuser in die prädigitale Ära und sorgte dafür, dass große OPs verschoben werden mussten und Notfallpatienten in anderen Kliniken aufgenommen werden mussten.
Bildungseinrichtungen Auch Schulen und Universitäten geraten verstärkt ins Visier der Ransomware-Hacker. Schließlich verfügen sie in aller Regel über ausreichend Ressourcen, um auf Lösegeldforderungen einzugehen - insbesondere in den USA. Im Februar 2016 wurden mehrere Schulen in den Vereinigten Staaten von Crypto-Ransomware heimgesucht. Eine Schule in South Carolina bezahlte rund 8500 Dollar, um wieder an die Daten ihrer 25 Server zu kommen.
Religiöse Institutionen Die Netzwerke von religiösen Institutionen werden für erpresserische Hacker zunehmend attraktiv. Schließlich ist deren Personal in der Regel nicht im Umgang mit Cyberbedrohungen wie Phishing-E-Mails geschult. Ende Februar 2016 waren zwei Kirchengemeinden in den USA betroffen - eine vom Schlagzeilen-trächtigen Crypto-Trojaner Locky. Die Kirchengemeinde bezahlte eine Lösegeld von 570 Dollar, um wieder an ihre Daten zu kommen.
Finanzwesen Der Banken- und Finanzsektor wird regelmäßig zum Ziel von Ransomware-Hackern und Botnets - schließlich ist auch hier in der Regel einiges zu holen. Die Cyberkriminellen, die hinter der Ransomware TeslaCrypt stecken, initiierten Mitte Februar 2016 eine Spam-Mail-Kampagne. Hinter einem infizierten Anhang versteckte sich ein JavaScript-Downloader, der die TeslaCrypt-Malware auf das System der Opfer schleuste.
Nur wenn dies der Fall ist, wird der Faktor Mensch weniger als IT-Sicherheits-Problem, sondern wieder mehr als wesentlicher Teil des Unternehmenserfolgs gesehen. Wir werden den Menschen in seiner Natur nicht ändern können, also sollten wir ihn besser verstehen und unser Verhalten als IT-Security-Verantwortliche daran ausrichten. Die Versuche in umgekehrter Richtung sind letztlich allesamt gescheitert.