Gezielte Phishing-Angriffe auf dem Vormarsch Phishing-Ping-Pong und das Management

Von Hannes Hahn und Falk Hofmann

Die Phishing-Angriffe nehmen zu, werden raffinierter und in ihrer Wirkung sind sie zweifelsohne nicht mehr zu unterschätzen. Einen einzigen Phishing-Angriff isoliert zu betrachten, kann sich zu einer großen Gefahr auswachsen.

Anbieter zum Thema

Es ist davon auszugehen, dass neben breit angelegten Phishing-Angriffen eine hoch individualisierte Phishing-Angriffstechnik entstehen wird oder schon entstanden ist.
Es ist davon auszugehen, dass neben breit angelegten Phishing-Angriffen eine hoch individualisierte Phishing-Angriffstechnik entstehen wird oder schon entstanden ist.
(© Elnur - stock.adobe.com)

Ein Teil eines unternehmensübergreifenden Netzwerks zu sein, ist erstrebenswert. Teils für die berufliche Karriereleiter, teils fachlich aus dem Aufgabengebiet heraus oder auch aus privaten Gründen baut sich unser bewusstes und zum Teil auch unbewusstes Netzwerk über die Unternehmensgrenzen kontinuierlich aus. Man ist verdrahtet.

Dass Phishing-Angriffe trotz technischer Sicherheitsmaßnahmen und Schulung der User erfolgreich sind, macht die stetige Auseinandersetzung mit diesen Angriffsmustern notwendig. Auch, weil die Angreifer sich unermüdlich weiterentwickeln. Durch die steigende Raffinesse der Phishing-Angreifer, sich bewusst unterhalb des Radars der technischen Abwehrsysteme zu bewegen und die angelernten oder instinktiven Schutzmechanismen der User auszuhebeln, ist dies mehr als geboten.

  • Versendung kleiner, unscheinbarer Mengen an Phishing-Mails
  • Verwendung unterschiedlicher Textpassagen
  • Antwort auf Rückfragen von vorsichtigen Phishing-Adressaten
  • Sofortige Löschung des generierten Mailverkehrs
  • U.v.m.

Entsetzlich genug, erkennen zu müssen, dass die Angreifer mit jedem Schritt selbst dazu lernen und die Angriffsstrategie anpassen, kommt folgende erweiterte Bedrohungslage dazu. Durch die reine Konzentration bei der Abwehr des einen Phishing-Vorfalls (Sperren der Domains und weiterführenden Links, etc.) übersehen die handelnden Akteure der unternehmenseigenen Sicherheitsorganisation oftmals die Wirkung des persönlichen Netzwerks, in welchen sich das oder die Opfer bewegen.

Was macht nun ein persönliches Netzwerk eines Phishing-Opfers besonders aus? Zunächst ist ein solches Netzwerk natürlich geprägt von der blanken Anzahl von Mail-Kontakten, auf welches Angreifer abzielen. Besonders macht sich das Netzwerk aber durch folgende Merkmale, welche über die reine Nutzung der Mail-Adresse für Phishing-Attacken hinaus geht:

  • Es gibt immer besondere Kontakte mit erhöhtem Vertrauensniveau, langjähriger Beziehung sowie ständigem Austausch. Diese Kontakte verbinden sich mit starker Vertrauensstellung und eignen sich besonders für Angriffe.
  • Selbst ältere, vielleicht bereits ruhende Kontakte sind entsprechend gezielt und raffiniert zu adressieren.
  • Es gibt durch den im Zugriff befindlichen archivierten Mailverlauf erkennbaren aktuellen und inhaltlichen Austausch, welcher zusätzlich als Brandbeschleuniger wirken kann. Gut gemachte Anreize, das Ausüben von Druck, das Setzen von Fristen erhöhen den Angriffserfolg, wenn zeitlich passender Mailverkehr vorliegt.
  • Der analysierte Mailverkehr gibt auch Auskunft über den Beziehungsstatus (berufliche Über- oder Unterstellung, Funktionsbeziehungen zwischen Einkäufer und Verkäufer, etc.).
  • Innerhalb eines Netzwerks ist die Wahrscheinlichkeit groß, dass die anvisierten Netzwerk-Opfer auch untereinander wieder vernetzt sind, ggf. auch nur mittelbar. Das Erkundungspotenzial des sich mit jedem Angriffserfolg erweiternden Netzwerks ist enorm.
  • Es ist dann mehr als nachvollziehbar, dass bereits abgewehrte Angriffe über die weitere Verbreitung wieder mehrfach und noch perfider ins ursprüngliche Unternehmen eindringen und dies mit erweiterten Kenntnisstand – ein Phishing-Ping-Pong-Spiel sondergleichen!

Je verdrahteter diese Netzwerkblase ist, in welchen sich die anvisierten Opfer befinden, umso wertvoller ist diese und rechtfertigt eine solchen Analyseaufwand. Führt dieser doch letztlich zu einer hohen Effizienz und Effektivität des Angriffs.

Ein gefährliches Phishing-Ping-Pong im sich stetig erweiternden individuellen Netzwerk entsteht, welches ohne eine übergreifende Abwehrstrategie nicht zu durchbrechen ist. Warum? Die Angreifer greifen auf ein fast endloses scheinendes Potenzial zurück:

  • Die gestiegenen Anzahl der erfolgreichen Datendiebstähle in Social-Media oder aus Datenbank mit erheblichen privaten und beruflichen Inhalt führen dazu, dass das Knowhow über die anvisierten Opfer immer mehr Profil annimmt. Das stützt die Angreifer, um vertraut erscheinende Mail-Texte zu generieren, sicherlich zukünftig vermehrt mit der Unterstützung künstlicher Intelligenz bzw. Machine Learning.
  • Die technischen Abwehrmaßnahmen sind wichtig und mehr als notwendig, aber auch hier ist es immer eine Frage der Zeit, wann konzeptionelle, technische oder organisatorische Sicherheitslücken in der Sicherheitstechnik ausgenutzt werden können. Die Liste der CVEs wächst beständig.

Es ist also davon auszugehen, dass – in Abgrenzung zu breit angelegten Phishing-Angriffen, welche ein gekauftes Adressmaterial aus dem Darknet verwenden und mittels Massenversendungen auch über die üblichen technischen Gegenmaßnahmen erfolgreich abgewehrt werden können – eine hoch individualisierte und auf eine persönliche Netzwerkblase ausgerichteter Angriffstechnik entstehen wird oder schon entstanden ist.

Diese Art der Angriffsmethode ist – nach heutigem Kenntnisstand – nur durch eine Erweiterung der organisatorischen Maßnahmen zu entgegnen. Nämlich durch die Ausweitung von Beobachtung und Analyse. Solange technische Abwehrmaßnahmen in einem Unternehmen noch nicht ausreichen, ist es angeraten, dass alle Phishing-Adressaten, bei welchen die vorhandenen Gegenmaßnahmen ins Leere liefen, in eine Art erhöhten, zeitlich begrenzten Beobachtungsstatus versetzt werden. Das sind zusätzliche manuelle Kontrollen auf Kompromittierungs-Hinweise, wie z. B.:

  • Regeln im Postfach werden angelegt, welche Mail-Aktivitäten eines Angreifers verschleiern sollen.
  • Versendung von Mails zu unüblichen Zeiten.
  • Versendung von Mails, welche auf einen Automatismus schließen lassen.
  • Neuerliche oder veränderte Nutzung von Mail-Protokollen.
  • Unübliche Zugriffe auf den Account und weitere IT-Ressourcen.
  • Log-Dateien der vorhandenen Sicherheitsinstrumente zeigen besondere Anomalien.
  • Etc.

Und dieser Beobachtungsmodus wäre auf alle Phishing-Adressaten anzuwenden, bei welchen der bisherige technische Schutz nicht gewirkt hat.

Und nun wird deutlich, dass hier das obere Management gefordert ist. Denn die kapazitative Ausstattung der IT und die für die Sicherheit zuständigen Einheiten sind oftmals nicht so gegeben, dass eine derartige Beobachtung umgesetzt werden könnte. Kommt man unternehmensindividuell zur Erkenntnis, dass solche Angriffsmethoden möglicherweise erfolgreich sein könnten, sind somit auch die technischen Abwehrmaßnahmen nicht so ausgestattet, wie es angebracht wäre. Dies deutet auf erhöhten Investitionsbedarf in weitergehende Sicherheitstechnik hin.

Vor dem Hintergrund, dass die Angriffsmethoden in der Zukunft insgesamt zunehmen und in jedem Fall sich ständig verbessern werden, sind neben den oben beschriebenen kurzfristigen Maßnahmen aus dem Management folgende Schwerpunkte zu setzen:

  • Konsequente Ausrichtung des Informationssicherheitsmanagement an den Unternehmensanforderungen
  • Besondere sicherheitsrelevante Analysen und Maßnahmen bei Änderungen, Wartung und Vorfallbehandlung (insbesondere Phishing-Mails, die es bis zum User geschafft haben)
  • Einbindung des Risikomanagements der Informationssicherheit in das Risikomanagement des Unternehmens
  • Einpreisung von Sicherheit in die Budgetplanungen jeder Einheit der Wertschöpfungskette im Unternehmen, denn Informationssicherheit ist nicht alleine die Aufgabe der IT
  • Adäquate personelle Ausstattung der Informationssicherheitsorganisation

Über die Autoren

Hannes Hahn ist Partner bei Rödl & Partner und Leiter des Teams „Digital GRC“ sowie Geschäftsführer der Rödl IT Secure GmbH. CISA, CSP, CSX:F, CDPSE, DSB – Datenschutzbeauftragte (TÜV Nord), Zertifizierter ISIS12 Berater, Schwerpunktthemen: Informationssicherheitsmanagement, Datenschutzmanagement, Cybersecurity, Governance Risk & Compliance der IT, Governance Risk & Compliance mit IT, IT-Audit, IT-Revision, IT-Consulting

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Falk Hofmann ist Partner bei Rödl & Partner und Leiter des Teams „Digital GRC“ sowie Geschäftsführer der Rödl IT Secure GmbH. Dipl. Ing. (Universität) Informatik / Nachrichtentechnik, Akkreditierter ISO27001 Auditor, Schwerpunktthemen: Risikomanagement der Informationssicherheit, Beratung und ISMS- Implementierung im Bereich Kritischer Infrastrukturen (KRITIS), Datenschutz- und IT-Sicherheits-Audits von Sicherheitskonzepten nach ISO 27001 und BSI-Grundschutz, Managementberatung zur Entwicklung ITSM- Prozessstrukturen (ITIL)

(ID:48078673)