Menschen und Phishing Mails - eine gefährliche Kombination

Die Sicherheitsstrategie am Mensch ausrichten



Seit April 2017 verantwortet Thomas Ehrlich als Country Manager DACH und Osteuropa das Wachstum und die Positionierung von Varonis in dieser Region, dessen Sicherheitslösungen Daten vor Insider-Bedrohungen und Cyber-Attacken schützen. Zuvor war er seit 1999 beim Datenspeicherungs- und -managementspezialisten NetApp in verschiedenen Positionen tätig, zuletzt als Vice President Global Accounts. Nach seinem Studium der Wirtschaftsinformatik arbeitete er zudem als Systemingenieur bei Silicon Graphics.
Um in Unternehmensnetzwerke einzudringen gibt es zahlreiche Wege. Einer der meistgenutzten - da wohl einer der erfolgreichsten - ist dabei sicherlich Phishing.

Einerseits werden die entsprechenden Mails sprachlich immer besser und zielen auch immer genauer auf den Adressaten, andererseits investieren Unternehmen immer mehr in die Sensibilisierung ihrer Mitarbeiter, um sie vor genau diesen Angriffen zu schützen. Ist dies also das klassische Katz-und-Maus-Spiel wie in anderen Bereichen der IT-Security?

In den meisten Fällen wird ein Mail-Adressat nicht so spektakulär gewarnt, wenn eine Phishing-Mail im E-Mail-Client ankommt.
In den meisten Fällen wird ein Mail-Adressat nicht so spektakulär gewarnt, wenn eine Phishing-Mail im E-Mail-Client ankommt.
Foto: Rawpixel.com - shutterstock.com

Ich fürchte nein. Dr. Zinaida Benenson von der Friedrich-Alexander-Universität (FAU) Erlangen-Nürnberg forscht seit einiger Zeit unter anderem in diesem Bereich. Und ihre Ergebnisse lassen einen etwas beunruhigt zurück. So scheint es nahezu keine Korrelation zwischen Sicherheitsbewusstsein und dem tatsächlichen Klicken auf entsprechende Links zu geben. Sie betont zwar, dass dies momentan noch eher eine Hypothese sei und keine wissenschaftlichen Beweise vorlägen, aber die Ergebnisse ihrer Studie "Unpacking Spear Phishing Susceptibility" deuten allzu stark in diese Richtung.

Lesetipp: Spear-Phishing-Mails: Jetzt wird zurückgeschlagen

Woran liegt es also, dass durchaus intelligente und geschulte Menschen auf Phishing-Mails hereinfallen? "Meine Theorie ist, dass die Leute nicht immer wachsam sein können. Und die psychologische Forschung hat tatsächlich gezeigt, dass Interaktion, Kreativität und gute Laune mit gesteigerter Leichtgläubigkeit verbunden sind", sagt Dr. Benenson. Die gleichen Forschungen zeigen auch, dass Wachsamkeit und Misstrauen - das, was sich IT-Verantwortliche letztlich von den Anwendern wünschen - eher mit schlechter Laune und erhöhten Anstrengungen einhergehen. Dies wirkt sich negativ auf die Atmosphäre im Unternehmen aus, was nicht im Sinne der Arbeitgeber sein kann.

Zudem steigt mit erhöhter Anstrengung natürlich auch die Müdigkeit, auf die wiederum Entspannungsphasen folgen, in denen die Menschen wieder ihre Wachsamkeit verlieren. "Und wenn die Nachricht zu dieser Zeit ankommt, dann ist es für alle plausibel - und ich meine wirklich für alle, mich, dich und jeden Sicherheitsexperten auf der Welt - etwas anzuklicken!", so Dr. Benenson.

Keine E-Mails, keine Probleme?

Was bedeuten diese Ergebnisse nun für die Sicherheit der Infrastruktur und vor allem der Daten eines Unternehmens? Soll -und vor allem: kann - man den Mitarbeitern ihre E-Mail-Accounts sperren? Ihnen verbieten, auf Links zu klicken? Wohl eher nicht, da dies massiven Einfluss auf die Produktivität und die Zufriedenheit der Mitarbeiter hätte.

CIO E-Magazin

Wie sollte man also seitens des Unternehmens reagieren? Zunächst einmal, den Menschen als das zu nehmen, was er ist: eben ein Mensch, der Fehler hat und macht. "Wir Sicherheitsexperten neigen dazu, Benutzer als Belästigung zu betrachten, die immer die falschen Sachen machen", erklärt Dr. Benenson. "Eigentlich sollten wir als Sicherheitsexperten Menschen schützen! Und wenn die Angestellten in der Firma nicht da wären, dann hätten wir ja auch unseren Job nicht. Wichtig ist es also, den Menschen Mensch sein zu lassen - mit all seinen positiven, aber auch negativen Eigenschaften. Gerade so etwas wie Neugierde kann beides sein."

Besonders gefährdet (aus IT-Sicht: gefährlich) sind dabei Führungskräfte. Dies liegt zum einen an ihrer Exponiertheit. Je mehr Informationen ein Hacker über eine Person zur Verfügung hat - LinkedIn und Xing sind hier hervorragende Quellen - umso gezielter kann er seine Mails an die Opfer anpassen.

Phishing-Mails sind vor allem dann erfolgreich, wenn sie dem Empfänger als plausibel erscheinen. Zum anderen liegt dies auch am Charakterbild: "Ich denke, dass es auch einige Persönlichkeitsmerkmale von Führungskräften gibt, die sie dazu veranlassen könnten, häufiger zu klicken. Denn sie haben ihre Positionen nicht dadurch erreicht, dass sie besonders vorsichtig waren und kein Risiko eingegangen sind! Ich denke, dass Führungskräfte vielleicht sogar noch mehr Risiken eingehen als ein durchschnittlicher Angestellter und selbstbewusster sind. Das könnte ein Problem allerdings noch schwieriger machen. So kann es auch sein, dass sie sich ungern etwas von anderen sagen lassen." Der eine oder andere Sicherheitsverantwortliche kann davon bestimmt ein Lied singen.

Folgt der Mensch der Sicherheitsstrategie oder umgekehrt?

Aus all dem folgt letztlich, dass so sicher wie das Amen in der Kirche irgendwann irgendjemand auf eine Phishing-Mail hereinfällt und auf einen Button klickt, auf den er besser nicht klicken sollte. Die entscheidende Frage ist dann: Was passiert nach dem Klick? Steht für diese Fälle eine zweite Verteidigungslinie, sozusagen um die Daten herum, zur Verfügung? Ist sie in der Lage, ungewöhnliches Verhalten durch intelligente Nutzer- und Systemanalyse zu erkennen und entsprechende Gegenmaßnahmen einzuleiten?


Nur wenn dies der Fall ist, wird der Faktor Mensch weniger als IT-Sicherheits-Problem, sondern wieder mehr als wesentlicher Teil des Unternehmenserfolgs gesehen. Wir werden den Menschen in seiner Natur nicht ändern können, also sollten wir ihn besser verstehen und unser Verhalten als IT-Security-Verantwortliche daran ausrichten. Die Versuche in umgekehrter Richtung sind letztlich allesamt gescheitert.