Schutzmaßnahmen vor Phishing-Angriffen

Wie wichtig ist die Phishing-Abwehr?

Wer die Presse auch nur halbwegs aufmerksam verfolgt, dem wird auffallen, wie häufig mittlerweile Nachrichten über gehackte Unternehmen und Einrichtungen sind, die dann von professionellen Banden erpresst werden. Ob Behörden, Krankenhäuser, Großindustrie, Hotelketten, Mittelständler – angegriffen wird, wer angreifbar ist. Die Umsätze der (teilweise semistaatlichen) Banden gehen in Millionenhöhe. Die erzeugten Schäden gehen noch weit darüber hinaus, da neben dem Lösegeld auch noch Reparaturkosten und ggfs. Bußgelder drohen – ganz zu schweigen vom Imageverlust.

Ein möglichst guter Schutz setzt dabei so früh wie möglich an. Da ein Hauptangriffsvektor ist, erschlichene oder gestohlene Zugangsdaten zu verwenden, und sich von dort aus weiter in die Systeme zu arbeiten, beginnt der Schutz bei der Abwehr von Phishing und Social Engineering.

Die Bedrohung ist so massiv, dass sich mittlerweile auch staatliche Stellen vermehrt mit Hinweisen an die Öffentlichkeit wenden. Im Folgenden fassen wir die Hinweise der US-amerikanischen Cyber Security and Infrastructure Security Agency (CISA) zusammen. Das verlinkte Dokument enthält noch weit mehr Informationen und Hinweise für interessierte Kreise. Wer sich vertieft mit dem Thema Phishing-Abwehr beschäftigen will, dem sei die Lektüre ans Herz gelegt.

Schulung und Sensibilisierung von Mitarbeitern

Wie in sehr vielen anderen Bereichen auch, ist es sehr wichtig, Mitarbeiter im Unternehmen für Phishing-Angriffe zu sensibilisieren. Alle Mitarbeiter sollten möglichst in der Lage sein, zu erkennen, ob eine Kommunikation oder ihr Inhalt in irgendeiner Weise verdächtig ist oder sein kann. Jeder Mitarbeiter muss wissen, wie er bei verdächtiger Kommunikation reagiert und dass insbesondere keine Links oder Anhänge etc. geöffnet werden dürfen.

Entsprechende Schulungsmaßnahmen müssen flächendeckend und gegebenenfalls wiederholt durchgeführt werden. Sie sollten möglichst auf die konkrete Situation der eigenen Organisation zugeschnitten sein. Eine lediglich theoretische allgemeine Schulung wird nicht den gewünschten Erfolg haben.

Technische Maßnahmen zur Phishing-Abwehr

Domain-based Message Authentication (DMARC)

Angreifer versuchen beim Phishing möglichst vertrauenswürdig aufzutreten. Nicht selten wird dazu vorgegaukelt, der Kontakt käme von intern, etwa indem eine E-Mail eine gefälschte interne Absenderadresse zeigt. Noch häufiger wird vorgetäuscht, die Nachricht käme von einem vertrauenswürdigen Partner, wie einer Bank oder einem IT-Dienstleister.

Domain-based Message Authentication baut auf dem Sender Policy Framework (SPF) und Domain Keys Identified Mail (DKIM) auf und kann solche Fälschungen erkennen. Vereinfacht gesagt wird überprüft, ob der in der Mail genannte und der tatsächliche Absender zusammenpassen.

Wichtig ist, dass die Technik nicht nur eingesetzt, sondern auch streng konfiguriert ist. Dubiose E-Mails sollten direkt am empfangenden Mailserver abgewiesen werden. Viele Organisationen scheuen diesen Schritt, da unter bestimmten Umständen auch einige legitime Nachrichten aussortiert werden können. Das Risiko, einzelne Nachrichten zu verpassen, bei denen sich der Absender – sollte es irgendwie wichtig sein – im Zweifel nochmals auf anderem Wege meldet, sollte im Vergleich zum Sicherheitsgewinn jedoch tragbar sein.

Monitoring von E-Mail und Messaging

Der interne Netzwerkverkehr sollte daraufhin überwacht werden, ob es verdächtige Abweichungen im Vergleich zur in der Organisation üblichen Nutzung von E-Mail und Messengern gibt.

Einführung weiterer Sicherheitsmechanismen

Organisationen sollten Überlegungen anstellen, welche weiteren Sicherheitstools eingesetzt werden können. Sinnvoll sind etwa Lösungen, die eine Manipulation des Domain Name Systems (DNS) erschweren.

Einsatz von Multifaktor Authentifizierung (MFA) als zusätzliche Absicherung starker Passwörter

Zumindest für einige Anmeldevorgänge mehr vorauszusetzen als lediglich einen Benutzernamen und ein Passwort, ist einer der wesentlichsten Schritte zur Erhöhung der Sicherheit. Jede Organisation sollte entsprechende Überlegungen anstellen, MFA einzusetzen.

Neben der Auswahl der geeigneten Lösung, sollten MFA-Anmeldeversuche dann auch überwacht werden. Angegriffene Zugänge müssen gegebenenfalls gesperrt werden und der Angriff als solcher sollte Verantwortlichen im Unternehmen auch bekannt sein.

Nur ergänzend sei darauf hingewiesen, dass MFA die Notwendigkeit der Verwendung starker und sicherer Passwörter nicht ersetzt.

Externer Zugang nur per VPN

Externe Verbindungen zum internen Netzwerk sollten ausschließlich per VPN möglich und in diesem Fall zwingend mittels MFA abgesichert sein.

Malwareschutz

Dass ein möglichst guter und aktueller Virenschutz zu den grundlegenden Maßnahmen gehört, ist meist bekannt. Er kann durch einige zusätzliche Schritte noch verbessert werden.

Bereits an Gateway und Firewall sollten Regeln eingerichtet werden, die bestimmte Vorgänge von vornherein unterbinden. Auch die gezielte Sperre bestimmter Adressen im Internet und ausgewählter Dateiarten, die anfällig für Infektionen sind, kann hilfreich sein.

Keine privilegierten Berechtigungen für Benutzer

Dieser Rat ist nicht neu, wird aber immer noch häufig missachtet. Unterbesetzte oder sonst überlastete IT, begehrliche Vorgesetzte oder Bequemlichkeit führen zu einer sehr leicht zu schließenden Sicherheitslücke: zu umfangreiche Zugriffs- und Bearbeitungsrechte.

Benutzer sollten weder lokal noch sonst irgendwelche privilegierten Rechte besitzen, sondern sich diese – falls erforderlich und unvermeidbar – im Einzelfall bei Bedarf gesondert verschaffen können. Jeder Benutzer sollte nur die Rechte erhalten, die er zwingend benötigt, um die ihm zugewiesenen Aufgaben zu erledigen (Need-to-know-Prinzip).

Die tägliche Arbeit unter erhöhten Rechten zu verrichten, ist grob fahrlässig.

Ausschließlicher Einsatz zugelassener Anwendungen

Nicht nur aus Sicht des Datenschutzes müssen Anwendungen technisch und juristisch beurteilt werden, auch allgemein aus Sicht der Informationssicherheit ist dies äußerst ratsam. Empfehlenswert ist in allen Fällen eine abschließende Liste nach ausführlicher Prüfung freigegebener Anwendungen, die möglichst zentral installiert/verteilt oder aber intern über eine vertrauliche Quelle zur Verfügung gestellt werden. Ebenfalls sollten verfügbare Updates für diese zugelassen Anwendungen unverzüglich und möglichst automatisiert und zwingend eingespielt werden.

Diese Maßnahme kann sinnvoll ergänzt werden durch die Blockade von Makros.

Reaktion auf Phishing-Vorfälle

Besteht der begründete Verdacht, dass Anmeldeinformationen kompromittiert oder Malware ausgeführt wurde, muss darauf reagiert werden:

• Betroffene Zugänge sollten deaktiviert/gesperrt und gegebenenfalls neu eingerichtet werden.
• Die Verwendung der betroffenen Konten sollten gründlich untersucht werden, welche Aktivitäten Angreifer gegebenenfalls bereits durchgeführt haben und dass diese Tätigkeiten jetzt beendet sind.
• Möglicherweise infizierte Hardware ist zu isolieren und darf keinen Internet- oder Netzwerkzugang mehr haben. Gefundene Malware ist zu untersuchen und nach Möglichkeit zu beseitigen.
• Betroffene Geräte dürfen erst wieder eingesetzt werden, wenn sie vollständig auf den Normalbetrieb zurückgesetzt wurden und ihre ordnungsgemäße Funktion sichergestellt ist.

Fazit

Angesichts der sehr hohen Risiken sollten alle Organisationen bzw. Unternehmen völlig unabhängig ihrer Größe das Thema Phishing-Abwehr sehr ernst nehmen. Phishing- bzw. Social-Engineering-Angriffe erfolgen teilweise voll automatisiert oder auf Bestellung. Angreifer interessiert es in erster Linie, Systeme zu kompromittieren. Ob sich das Ziel lohnt, ist eine ganz andere Frage. Verantwortliche müssen sich glasklar darüber sein, dass niemand zu klein oder uninteressant ist.

Die genannten Schutzmaßnahmen können das Risiko von Phishing-Angriffen deutlich verringern und sollten für alle Einrichtungen geeignet sein. Benötigen Sie dabei Hilfe, stehen Ihnen die Experten von activeMind gerne unterstützend zur Seite.