:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/71/d1714e2bf277fe66c02fb54dcf490967/0111445786.jpeg "Smart TVs sind ungenügend abgesichert, ergab der IoT-Security-Landscape-Report von Bitdefender und Netgear. (Bild: Bildwasser - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/08/bc08b024279eb8e2cc17fdc771db674a/0111557394.jpeg "Wir zeigen, was Administratoren beim Testen von Backups beachten müssen und wie sie Backup-Tests effizient durchführen und automatisieren können. (Bild: Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Gezielte Phishing-Angriffe auf dem Vormarsch Phishing-Ping-Pong und das Management
Die Phishing-Angriffe nehmen zu, werden raffinierter und in ihrer Wirkung sind sie zweifelsohne nicht mehr zu unterschätzen. Einen einzigen Phishing-Angriff isoliert zu betrachten, kann sich zu einer großen Gefahr auswachsen. Durch die zunehmende digitale Vernetzung von Usern sind Abwehr-Strategien notwendig, ein Phishing-Ping-Pong wirksam zu durchbrechen. Dabei ist zunehmend das obere Management gefordert.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Ein Teil eines unternehmensübergreifenden Netzwerks zu sein, ist erstrebenswert. Teils für die berufliche Karriereleiter, teils fachlich aus dem Aufgabengebiet heraus oder auch aus privaten Gründen baut sich unser bewusstes und zum Teil auch unbewusstes Netzwerk über die Unternehmensgrenzen kontinuierlich aus. Man ist verdrahtet.
Dass Phishing-Angriffe trotz technischer Sicherheitsmaßnahmen und Schulung der User erfolgreich sind, macht die stetige Auseinandersetzung mit diesen Angriffsmustern notwendig. Auch, weil die Angreifer sich unermüdlich weiterentwickeln. Durch die steigende Raffinesse der Phishing-Angreifer, sich bewusst unterhalb des Radars der technischen Abwehrsysteme zu bewegen und die angelernten oder instinktiven Schutzmechanismen der User auszuhebeln, ist dies mehr als geboten.
- Versendung kleiner, unscheinbarer Mengen an Phishing-Mails
- Verwendung unterschiedlicher Textpassagen
- Antwort auf Rückfragen von vorsichtigen Phishing-Adressaten
- Sofortige Löschung des generierten Mailverkehrs
- U.v.m.
Entsetzlich genug, erkennen zu müssen, dass die Angreifer mit jedem Schritt selbst dazu lernen und die Angriffsstrategie anpassen, kommt folgende erweiterte Bedrohungslage dazu. Durch die reine Konzentration bei der Abwehr des einen Phishing-Vorfalls (Sperren der Domains und weiterführenden Links, etc.) übersehen die handelnden Akteure der unternehmenseigenen Sicherheitsorganisation oftmals die Wirkung des persönlichen Netzwerks, in welchen sich das oder die Opfer bewegen.
Was macht nun ein persönliches Netzwerk eines Phishing-Opfers besonders aus? Zunächst ist ein solches Netzwerk natürlich geprägt von der blanken Anzahl von Mail-Kontakten, auf welches Angreifer abzielen. Besonders macht sich das Netzwerk aber durch folgende Merkmale, welche über die reine Nutzung der Mail-Adresse für Phishing-Attacken hinaus geht:
- Es gibt immer besondere Kontakte mit erhöhtem Vertrauensniveau, langjähriger Beziehung sowie ständigem Austausch. Diese Kontakte verbinden sich mit starker Vertrauensstellung und eignen sich besonders für Angriffe.
- Selbst ältere, vielleicht bereits ruhende Kontakte sind entsprechend gezielt und raffiniert zu adressieren.
- Es gibt durch den im Zugriff befindlichen archivierten Mailverlauf erkennbaren aktuellen und inhaltlichen Austausch, welcher zusätzlich als Brandbeschleuniger wirken kann. Gut gemachte Anreize, das Ausüben von Druck, das Setzen von Fristen erhöhen den Angriffserfolg, wenn zeitlich passender Mailverkehr vorliegt.
- Der analysierte Mailverkehr gibt auch Auskunft über den Beziehungsstatus (berufliche Über- oder Unterstellung, Funktionsbeziehungen zwischen Einkäufer und Verkäufer, etc.).
- Innerhalb eines Netzwerks ist die Wahrscheinlichkeit groß, dass die anvisierten Netzwerk-Opfer auch untereinander wieder vernetzt sind, ggf. auch nur mittelbar. Das Erkundungspotenzial des sich mit jedem Angriffserfolg erweiternden Netzwerks ist enorm.
- Es ist dann mehr als nachvollziehbar, dass bereits abgewehrte Angriffe über die weitere Verbreitung wieder mehrfach und noch perfider ins ursprüngliche Unternehmen eindringen und dies mit erweiterten Kenntnisstand – ein Phishing-Ping-Pong-Spiel sondergleichen!
Je verdrahteter diese Netzwerkblase ist, in welchen sich die anvisierten Opfer befinden, umso wertvoller ist diese und rechtfertigt eine solchen Analyseaufwand. Führt dieser doch letztlich zu einer hohen Effizienz und Effektivität des Angriffs.
Ein gefährliches Phishing-Ping-Pong im sich stetig erweiternden individuellen Netzwerk entsteht, welches ohne eine übergreifende Abwehrstrategie nicht zu durchbrechen ist. Warum? Die Angreifer greifen auf ein fast endloses scheinendes Potenzial zurück:
- Die gestiegenen Anzahl der erfolgreichen Datendiebstähle in Social-Media oder aus Datenbank mit erheblichen privaten und beruflichen Inhalt führen dazu, dass das know how über die anvisierten Opfer immer mehr Profil annimmt. Das stützt die Angreifer, um vertraut erscheinende Mail-Texte zu generieren, sicherlich zukünftig vermehrt mit der Unterstützung künstlicher Intelligenz bzw. Machine Learning.
- Die technischen Abwehrmaßnahmen sind wichtig und mehr als notwendig, aber auch hier ist es immer eine Frage der Zeit, wann konzeptionelle, technische oder organisatorische Sicherheitslücken in der Sicherheitstechnik ausgenutzt werden können. Die Liste der CVEs wächst beständig.
Es ist also davon auszugehen, dass – in Abgrenzung zu breit angelegten Phishing-Angriffen, welche ein gekauftes Adressmaterial aus dem Darknet verwenden und mittels Massenversendungen auch über die üblichen technischen Gegenmaßnahmen erfolgreich abgewehrt werden können – eine hoch individualisierte und auf eine persönliche Netzwerkblase ausgerichteter Angriffstechnik entstehen wird oder schon entstanden ist.
Diese Art der Angriffsmethode ist – nach heutigem Kenntnisstand – nur durch eine Erweiterung der organisatorischen Maßnahmen zu entgegnen. Nämlich durch die Ausweitung von Beobachtung und Analyse. Solange technische Abwehrmaßnahmen in einem Unternehmen noch nicht ausreichen, ist es angeraten, dass alle Phishing-Adressaten, bei welchen die vorhandenen Gegenmaßnahmen ins Leere liefen, in eine Art erhöhten, zeitlich begrenzten Beobachtungstatus versetzt werden. Das sind zusätzliche manuelle Kontrollen auf Kompromittierungshinweise, wie z. B.:
- Regeln im Postfach werden angelegt, welche Mail-Aktivitäten eines Angreifers verschleiern sollen.
- Versendung von Mails zu unüblichen Zeiten.
- Versendung von Mails, welche auf einen Automatismus schließen lassen.
- Neuerliche oder veränderte Nutzung von Mail-Protokollen.
- Unübliche Zugriffe auf den Account und weitere IT-Ressourcen.
- Log-Dateien der vorhandenen Sicherheitsinstrumente zeigen besondere Anomalien.
- Etc.
Und dieser Beobachtungsmodus wäre auf alle Phishing-Adressaten anzuwenden, bei welchen der bisherige technische Schutz nicht gewirkt hat.
Und nun wird deutlich, dass hier das obere Management gefordert ist. Denn die kapazitative Ausstattung der IT und die für die Sicherheit zuständigen Einheiten sind oftmals nicht so gegeben, dass eine derartige Beobachtung umgesetzt werden könnte. Kommt man unternehmensindividuell zur Erkenntnis, dass solche Angriffsmethoden möglicherweise erfolgreich sein könnten, sind somit auch die technischen Abwehrmaßnahmen nicht so ausgestattet, wie es angebracht wäre. Dies deutet auf erhöhten Investitionsbedarf in weitergehende Sicherheitstechnik hin.
Vor dem Hintergrund, dass die Angriffsmethoden in der Zukunft insgesamt zunehmen und in jedem Fall sich ständig verbessern werden, sind neben den oben beschriebenen kurzfristigen Maßnahmen aus dem Management folgende Schwerpunkte zu setzen:
- Konsequente Ausrichtung des Informationssicherheitsmanagement an den Unternehmensanforderungen
- Besondere sicherheitsrelevante Analysen und Maßnahmen bei Änderungen, Wartung und Vorfallbehandlung (insbesondere Phishing-Mails, die es bis zum User geschafft haben)
- Einbindung des Risikomanagements der Informationssicherheit in das Risikomanagement des Unternehmens
- Einpreisung von Sicherheit in die Budgetplanungen jeder Einheit der Wertschöpfungskette im Unternehmen, denn Informationssicherheit ist nicht alleine die Aufgabe der IT
- Adäquate personelle Ausstattung der Informationssicherheitsorganisation
Über die Autoren
Hannes Hahn ist Partner bei Rödl & Partner und Leiter des Teams „Digital GRC“ sowie Geschäftsführer der Rödl IT Secure GmbH. CISA, CSP, CSX:F, CDPSE, DSB – Datenschutzbeauftragte (TÜV Nord), Zertifizierter ISIS12 Berater, Schwerpunktthemen: Informationssicherheitsmanagement, Datenschutzmanagement, Cybersecurity, Governance Risk & Compliance der IT, Governance Risk & Compliance mit IT, IT-Audit, IT-Revision, IT-Consulting
Falk Hofmann ist Partner bei Rödl & Partner und Leiter des Teams „Digital GRC“ sowie Geschäftsführer der Rödl IT Secure GmbH. Dipl. Ing. (Universität) Informatik / Nachrichtentechnik, Akkreditierter ISO27001 Auditor, Schwerpunktthemen: Risikomanagement der Informationssicherheit, Beratung und ISMS- Implementierung im Bereich Kritischer Infrastrukturen (KRITIS), Datenschutz- und IT-Sicherheits-Audits von Sicherheitskonzepten nach ISO 27001 und BSI-Grundschutz, Managementberatung zur Entwicklung ITSM- Prozessstrukturen (ITIL)
(ID:48043508)
:quality(80)/images.vogel.de/vogelonline/bdb/1930700/1930780/original.jpg "Hacker infiltrierten mit einer neuen Angriffstechnik Ende 2021 Regierungssysteme in Westasien. (Thaut Images - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1940900/1940917/original.jpg "Beim Eisfischen wird ein Loch in ein gefrorenes Gewässer geschnitten, um Fische zu fangen, beim Ice-Phishing stehlen Cyberkriminelle durch Social Engineering Blockchain-Token. (Leonid Ikan - stock.adobe.com)")