SPONSORED-POST Dossier kompakt in Kooperation mit Proofpoint

Phishing: Wehe dem, der klickt!

Uhr
von Michele Rapisarda, Senior Channel Account Manager für die Schweiz und Österreich, Proofpoint

Cyberkriminelle zielen verstärkt auf Menschen ab, weil das Versenden betrügerischer E-Mails deutlich einfacher und weitaus profitabler ist, als die Entwicklung eines teuren, zeitaufwändigen, technik-basierten Exploits. Wie aber können sich Unternehmen gegen diese neuen Angriffsformen verteidigen ?

Michele Rapisarda, Senior Channel Account Manager für die Schweiz und Österreich, Proofpoint. (Source: zVg)
Michele Rapisarda, Senior Channel Account Manager für die Schweiz und Österreich, Proofpoint. (Source: zVg)

Die Investitionen in die Absicherung der IT-Infrastruktur sind getätigt. Doch wie sieht es mit der Absicherung des E-Mail-Kanals aus? Immerhin ist die E-Mail schon Mitte 30, also nicht mehr wirklich eine neue Technologie. Dennoch oder vielleicht gerade aus diesem Grund ist sie inhärent unsicher und kann Cyberkriminellen Tür und Tor zum Unternehmen, seinen sensiblen Informationen und finanziellen Mitteln öffnen. Zu bedenken gilt es ausserdem, dass heute mehr als 99 Prozent der Cyberangriffe auf eine menschliche Interaktion setzen und so den einzelnen Benutzer zur letzten Verteidigungslinie werden lassen. Was aber ist zu tun, wenn eine bösartige Phishing-E-Mail auf einen voreiligen Nutzer trifft, der im Eifer des Gefechts direkt klickt und erst danach überlegt, ob der Absender der E-Mail und die darin erbetene Aktion nicht vielleicht doch nur fingiert war?

Erster Schritt: isolieren

Im ersten Schritt muss die bösartige E-Mail isoliert und auf Betrugshinweise untersucht werden. Was ist den Routing-Informationen zu entnehmen? Von welcher IP-Adresse wurde sie verschickt und was erfährt man über IPvoid.com über die IP-Adresse? Welche Informationen erhält man, wenn man die enthaltenen URLs oder Anhänge auf einer Lookup-Seite wie virustotal.com überprüft?

Danach gilt es, die Parameter der E-Mail-Filter anzupassen, um anhand der identifizierten E-Mail-Merkmale ähnliche Nachrichten direkt abblocken zu können und eine weitere Verbreitung der Betrugs-E-Mail zu vermeiden. Man muss hier darauf achten, ein statisches Merkmal zu verwenden, da sich Absender, Betreff und andere Felder einfach ändern lassen.

Zweiter Schritt: analysieren

Im nächsten Schritt geht es an die Analyse der Firewall-Log-Daten hinsichtlich der identifizierten verdächtigen IP- und URL-Adressen. Zu bedenken ist, dass einige Command-and-Control-Domänen, die für Angriffe genutzt werden, ihre IP-Adressen alle paar Minuten ändern, deshalb muss auch das DNS-Log einer detaillierten Analyse unterzogen werden. Gleiches gilt für die Logs von Proxy- und Mail-Server. Wichtig ist bei diesem Schritt, dass alle Logs gespeichert werden müssen, um später nochmals genauer analysiert zu werden beziehungsweise für den Fall zur Verfügung zu stehen, dass rechtliche Schritte eingeleitet werden.

Während die Analyse noch andauert, müssen bereits alle Passwörter der betroffenen Nutzer geändert werden. Nachdem dies erfolgt ist, sollten die Nutzerkonten für einen gewissen Zeitraum nach dem Angriff engmaschig beobachtet werden. So werden einige Cyberkriminelle versuchen, auf das VPN zuzugreifen, um über eine längere Zeitspanne Daten aus dem Firmennetz abzugreifen. Auch Remote-Verbindungen müssen überprüft werden (gerade solche, die es eigentlich gar nicht geben sollte). Zu denken ist jetzt auch an die Kommunikation, um der Verbreitung von Gerüchten und Fehlinformationen vorzubeugen.

Letztlich ist jede Attacke eine Möglichkeit für die IT-Sicherheit des Unternehmens, die eigene Verteidigung zu verbessern. Egal ob klein oder gross, beinahe jeder Cyberangriff startet heute auf die gleiche Art und Weise – mittels einer zielgerichteten E-Mail an einen Mitarbeiter. Um dem entgegenzuwirken, sind drei Aspekte wichtig: Menschen, Prozesse und Technologie, die in sich schlüssig sind und den Menschen ins Zentrum der Sicherheitsstrategie rücken.

----------

Bei der Bedrohungsabwehr stehen die Menschen im Mittelpunkt

Obwohl Mitarbeiter immer wieder dafür sensibilisiert werden, sind Phishing-Mails immer noch viel zu häufig erfolgreich. Warum das so ist und was Unternehmen dagegen tun können, erklärt Michele Rapisarda, Senior Channel Account ­Manager für die Schweiz und Österreich bei Proofpoint. Interview: René Jaun

Sensibilisierungskampagnen zu Cyberangriffen mittels Phishing-E-Mails gibt es immer wieder. Warum sind solche Angriffe noch immer so erfolgreich?

Michele Rapisarda: Es gilt hier zwei Faktoren zu beachten. Zum einen die Kontinuität des Trainings. Noch immer führen 22 Prozent der Unternehmen Security-Awareness-Trainings nur ein Mal pro Jahr durch. Wir wissen jedoch, dass Anwender, die kontinuierliche Schulungen erhalten, bei Tests deutlich besser abschneiden als jene, die Schulungen nur sporadisch erhalten. Zum anderen sind Cyberkriminelle sehr gut darin, ihre Methoden ständig anzupassen. Es gilt also bei den Schulungen, aktuelle Bedrohungsmuster miteinzubeziehen. Schulung ist also nicht gleich Schulung.

Heute ist es einfacher denn je, Softwareupdates zu instal­lieren und damit Sicherheitslücken zu schliessen. Warum gelingt es Cyberangreifern dennoch, in Systeme einzudringen?

In der Tat ist es für Hacker deutlich schwieriger geworden, technische Schwachstellen zu finden. So setzen heute 99 Prozent aller Angriffe auf eine menschliche Interaktion. Sie können nur erfolgreich sein, indem sie den Mitarbeitenden zum unfreiwilligen Verbündeten machen und so beispielsweise Zugangsdaten zu Cloud-Anwendungen zu erhalten oder Malware einzuschleusen. Aus diesem Grund ist es auch so wichtig, bei der Bedrohungsabwehr den Menschen in den Mittelpunkt zu stellen.

Der Analyse- und Absicherungsprozess nach dem Klick auf eine Phishing-E-Mail ist mehrstufig und klingt komplex. Lässt er sich teilweise oder gänzlich automatisieren?

Absolut. Angriffe erfolgen nicht mit schöner Regelmässigkeit; vielmehr treten sie nach langen Phasen der Ruhe plötzlich und sehr intensiv auf. Deshalb sind Notfallpläne, die automatisch beziehungsweise auch im Zusammenspiel mit IT-Partnern abgearbeitet werden, so wichtig.

Welche Massnahmen kann ein Unternehmen jetzt schon treffen, um im Fall eines Angriffs vorbereitet zu sein?

Die Sensibilisierung der Mitarbeiter spielt dabei eine massgebliche Rolle. Aber auch technisch lässt sich einiges machen, um vorbereitet zu sein – gerade hinsichtlich der E-Mail-Sicherheit, die oftmals stiefmütterlich behandelt wird. Ein recht einfaches Mittel ist etwa, Internet-Domänen zu registrieren oder deren Registrierung überwachen zu lassen, die in der Schreibweise nur leicht von der eigenen abweichen, um diese für Angreifer zu blockieren. Bei Finanztransaktionen empfehlen sich zweistufige Verifizierungsprozesse, sodass für höhere Überweisungssummen immer eine zusätzliche Bestätigung über einen anderen Kommunikationskanal eingeholt werden muss, als den, über den die Anweisung übermittelt wurde.

Gibt es, abgesehen von der Grösse, einen Unterschied zwischen den Verteidigungsstrategien kleiner Unternehmen und grosser Konzerne?

Obgleich man vermuten könnte, das Cyberkriminelle primär grös­sere Unternehmen ins Visier nehmen, gibt es bei der Angriffshäufigkeit statistisch keine Unterschiede hinsichtlich der Grösse. In der Konsequenz bedeutet das, dass sich auch kleinere Unternehmen mit der Thematik befassen müssen. Während grössere Unternehmen über spezialisierte IT-Sicherheitsteams verfügen, kann kleineren Firmen der Spagat gelingen, indem sie auf IT-Partner setzen, die bewährte Lösungen anbieten und betreuen.

Wenn die E-Mail der häufigste Angriffspunkt ist, ist es an der Zeit, dass Unternehmen auf eine andere Kommunikationsform umstellen?

Unternehmensintern wird das häufig bereits über Collaboration Tools verwirklicht, doch in der externen Kommunikation ist die E-Mail zu weit verbreitet als dass man sie kurzerhand abschaffen könnte. Auch Kunden wäre es nicht zuzumuten, je nach Marke unterschiedliche Apps oder alternative Services zu nutzen. Bevor sich also ein neues universelles Kommunikationsmittel etabliert, wird uns die E-Mail wohl noch eine Weile erhalten bleiben. Umso wichtiger ist es deshalb, die technischen Schwächen der E-Mail abzusichern und Massnahmen wie DMARC zum Schutz vor Spoofing zu ergreifen.

Webcode
DPF8_160468