:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Phishing-Awareness und Zero Trust Phishing-resistent durch Zero Trust
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Es vergeht kaum ein Tag, an dem nicht neue E-Mails mit Phishing-Inhalten auftauchen. Schutzlos ausgeliefert muss aber kein Unternehmen sein. Mit einigen präventiven Maßnahmen kann die Gefahrenabwehr deutlich verbessert werden. Die Stärkung des Sicherheitsbewusstseins auf Mitarbeiterseite gehört ebenso dazu wie eine Identity-Security-Strategie mit der Anwendung eines Zero-Trust-Modells.
Nach wie vor gehört das Phishing zu den größten Cybergefahren. Dabei dominiert das Phishing per E-Mail in Form von breit angelegten „Spray and Pray“-Phishing-Attacken bis hin zu gezielten Spear-Phishing-Angriffen. Im Fokus der Angreifer stehen dabei nicht nur IT-affine Mitarbeiter wie Administratoren mit hoch-privilegiertem Zugang, sondern nahezu jeder Beschäftigte eines Unternehmens, von Führungskräften über Cloud- und DevOps-Ingenieure bis hin zu Fachanwendern mit direktem Zugriff auf vertrauliche Systeme oder Daten. Inzwischen gibt es sogar Anbieter, die Fake-Mails automatisiert und mehrsprachig zur Verfügung stellen.
Nicht nur die herkömmlichen Phishing-E-Mails stellen aber eine Gefahr dar, sondern auch neue Phishing-Methoden der Angreifer, die durch die Nutzung aktueller Technologien immer raffinierter werden. Im Trend liegen derzeit zum Beispiel Multi-Faktor-Authentifizierung (MFA)-Fatigue-Attacken, die SMS- und Voice-Phishing nutzen, um sich als vertrauenswürdige Quellen auszugeben – dabei „ermüden“ Angreifer die Nutzer mit zahlreichen MFA-Pushes bis sie Zugang zu den Zielsystemen erhalten. Auch das QR-Code-Phishing zählt inzwischen zu den neueren Betrugsmaschen. In Deutschland etwa haben Cyberangreifer Online-Banking-Kunden im vergangenen Jahr mit Phishing-Mails, die QR-Codes enthielten, auf gefälschte Webseiten geführt, um die Zugangsdaten zu entwenden. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt deshalb ausdrücklich, bei Verdacht keine QR-Codes zu scannen.
Risikoreduzierung durch Phishing-Awareness
Unternehmen müssen diesen Phishing-Gefahren aber nicht hilflos gegenüberstehen. Es gibt mehrere Abwehrmaßnahmen, die die IT-Sicherheit nachhaltig verbessern. Ein erster Schritt sind Sicherheitsschulungen und Awareness-Kampagnen, schließlich ist der Mensch das schwächste Glied in der Sicherheitskette. Die regelmäßige Sensibilisierung der Mitarbeiter für Sicherheitsgefahren und kontinuierliche Schulungen zu Cybersecurity Best Practices sind unverzichtbar. Dabei geht es etwa auch um die Durchführung von speziellen „Phishing-Übungen“ mit Live-Test-Szenarien und Red-Team-Trainings, um das sicherheitsbewusste Verhalten der Mitarbeiter zu stärken und um über neue Phishing-Angriffstechniken zu informieren. Im Rahmen solcher Trainings sollten Verantwortliche die Mitarbeiter auch darüber aufklären, dass etwaige Sicherheitsmaßnahmen keine Bevormundung darstellen, sondern ausschließlich der Risikominimierung dienen, auch wenn sie unter Umständen den Benutzerkomfort beeinträchtigen. Nur wenn ein Verständnis für die Maßnahmen besteht, ist auch breite Akzeptanz gewährleistet.
Phishing-Abwehr mittels Zero-Trust-Strategie
Die Mitarbeiter-Awareness ist somit eine elementare Maßnahme zur Gefahrenabwehr, ebenso wichtig sind aber eine technische und prozessuale Unterstützung. Ein zentrales Mittel zur Reduzierung der Risiken ist dabei die Etablierung einer Identity-Security-Strategie mit der Anwendung eines Zero-Trust-Modells. Bei diesem Sicherheitskonzept wird jede Anfrage für den Zugriff auf eine Unternehmensressource – seien es Daten, Anwendungen oder die Infrastruktur – geprüft, bevor der Zugang gewährt wird. Außerdem wird der Zugriff für verifizierte Benutzer und Geräte streng begrenzt. Zero-Trust-Initiativen zielen damit auch darauf ab, die Zugangssysteme Phishing-resistenter zu gestalten, die Endbenutzer beim Erkennen von Phishing-Versuchen zu unterstützen und den potenziellen Schaden einer Attacke zu minimieren.
Wirksame Zero-Trust-Strategien beinhalten eine Kombination verschiedener Technologien und Ansätze für eine umfassende Abwehr, darunter Multi-Faktor-Authentifizierung, Identity and Access Management (IAM), Privileged Access Management (PAM) oder Netzwerksegmentierung. Darüber hinaus basiert das Zero-Trust-Konzept auf Governance-Richtlinien wie dem Least-Privilege-Prinzip, dem Motto „Never Trust, Always Verify“ und einem kontinuierlichen Monitoring.
Konkret können Unternehmen verschiedene Sicherheitsmaßnahmen ergreifen: Empfehlenswert ist vor allem die Umsetzung von grundlegenden Zero-Trust-Richtlinien. Dazu zählen etwa eine Step-up-Authentifizierung beim Starten vertraulicher Anwendungen oder eine zwingende Verwendung der Multi-Faktor-Authentifizierung bei Profiländerungen. Prinzipiell spricht dabei viel für die Nutzung von Phishing-resistenten Multifaktor-Authentifizierungs-Verfahren wie FIDO2-Token oder Smartphone-Apps, die auf biometrischen Daten zugreifen. Darüber hinaus ist auch eine Einrichtung automatischer Warnungen bei einem riskanten Benutzerverhalten sinnvoll. Mittels KI-gestützter Lösungen können Erkenntnisse über das Benutzerverhalten in Echtzeit erfasst, analysiert und visualisiert werden. Damit ist es möglich, Abweichungen von der Normalität zu ermitteln, etwa Anmeldungen von ungewöhnlichen Orten aus oder zu unüblichen Zeiten. In diesen Fällen kann dann eine weitere Multi-Faktor-Authentifizierung erforderlich sein.
Von entscheidender Bedeutung ist auch die Sicherung der Endgeräte, die prinzipiell für Phishing und Malware anfällig sind, da der traditionelle Netzwerkperimeter durch die Nutzung von Public-Cloud-Services, Software-as-a-Service (SaaS)-Anwendungen und die Remote-Arbeit an Bedeutung verloren hat. Eine elementare Maßnahme ist dabei der Entzug der lokalen Administratorrechte für Standardanwender, um Angreifern im Fall einer Systemkompromittierung nur eingeschränkte Handlungsmöglichkeiten zu geben. Um das Malware-Infektionsrisiko auf den Endgeräten zu minimieren, ist zudem eine intelligente Anwendungssteuerung erforderlich, die die Ausführung schädlicher Programme verhindert. Hierbei sollte nicht nur eine klassische Software-Blacklist und -Whitelist eingesetzt werden, sondern auch die Möglichkeit bestehen, Anwendungen in einem „eingeschränkten Modus“ auszuführen. So kann der Anwender auch auf Applikationen zugreifen, die nicht explizit vertrauenswürdig oder unbekannt sind. Eingeschränkter Modus bedeutet, dass ein Zugriff auf Unternehmensressourcen, vertrauliche Daten oder das Internet unterbunden wird.
Minimierung der Phishing-Schäden
Awareness-Kampagnen und grundlegende technische Vorkehrungen wie Spam-Filter, die verhindern, dass verdächtige E-Mails in die Posteingänge der Mitarbeiter gelangen, können nicht immer verhindern, dass ein Benutzer Opfer eines Phishings wird. Folglich muss eine Verteidigungsstrategie auch auf eine Minimierung des potenziellen Schadens abzielen, also Seitwärtsbewegungen von Angreifern im Netzwerk verhindern, mit denen sie weitere Systeme und Server kompromittieren und die Zugriffsrechte ausweiten können – bis hin zu Domain-Controllern. Eine wichtige Maßnahme ist hier die Segmentierung des Netzwerks, um bei einem erfolgreichen Phishing die Bewegungsfreiheit des Angreifers innerhalb des Netzwerks einzuschränken und den Zugriff auf vertrauliche Ressourcen zu blockieren. Grundsätzlich sollte immer ein Least-Privilege-Prinzip in der gesamten Infrastruktur durchgesetzt werden, auch im Hinblick auf Anwendungen und Daten.
Insgesamt führt bei der Gefahrenabwehr – gerade auch im Phishing-Kontext – kein Weg an der Nutzung einer Identity-Security-Lösung und der Umsetzung einer Zero-Trust-Strategie vorbei. Mit einer solchen Lösung werden Identitäten sicher authentifiziert und mit den richtigen Berechtigungen autorisiert, sodass sie auf strukturierte Weise Zugang zu kritischen Ressourcen erhalten. Das heißt, es gilt ein Zero-Trust-Prinzip. Damit schaffen Unternehmen auch die Basis, um die Phishing-Risiken zu minimieren. Selbst bei einer erfolgreichen Attacke bleiben so die potenziellen Schäden begrenzt.
Über den Autor: Fabian Hotarek ist Solutions Engineering Manager DACH bei CyberArk.
(ID:49325263)
:quality(80)/p7i.vogel.de/wcms/98/1d/981de771a525a8f44b1b752531caed81/0111098213.jpeg "Einer Studie zufolge sind 56 Prozent der befragten Unternehmen bereits einer Insider-Attacke zum Opfer gefallen. Dabei legen die Mitarbeitenden zumeist keinerlei kriminelle Absichten an den Tag, sondern werden Opfer von Social Engineering. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/b0/b7b0230ab9171b829d91957e8613fb1f/0111196962.jpeg "Viele Organisationen tun sich schwer, ihre Infrastrukturen adäquat zu schützen. Finanzielle und personelle Ressourcen sind beschränkt und es fehlt oft auch am Bewusstsein, welchen Stellenwert IT-Security heutzutage einnimmt. (Bild: Azar - stock.adobe.com)")