Wenn ich nach einem Cyberangriff mit Führungskräften des betroffenen Unternehmens spreche, treibt diese häufig zunächst die Frage nach dem Warum um. Weshalb haben Cyberkriminelle genau diese Person, dieses Unternehmen, diese Firmenkultur für ihren Angriff ausgewählt? Tatsächlich ist das nur schwer nachzuvollziehen. Natürlich sind da die gängigen Motive: Bereicherung, Diebstahl von geistigem Eigentum, Ausspionieren von Betriebsgeheimnissen, Sabotage, das Streben nach Berühmtheit oder politischer Aktivismus. Aber warum gerade ich? Warum wir?
Die meisten Cyberangriffe sind nicht sonderlich raffiniert und erfordern weder fortgeschrittene Programmierkenntnisse noch Quantenmechanik. Ihre Stärke liegt darin, überzeugend zu wirken und die Gefühle ihrer potenziellen Opfer anzusprechen. Dahinter verbirgt sich aber oft ein recht schlichtes Modell. Möglicherweise ist Ihr Unternehmen also nur das letzte Angriffsziel auf einer endlosen Liste.
Es wird häufig berichtet, dass sich bei neun von zehn Cyberangriffen die Hauptursache für den Schaden auf Phishing zurückführen lässt. Einfach ausgedrückt ist Phishing ein Versuch, jemanden zu einer Handlung zu bewegen, die unwissentlich zu einem Schaden führt. Solche Angriffe sind leicht zu konfigurieren, kosteneffizient und effektiv. Für Phishing-Kampagnen benötigen die Angreifer menschliche Ziele, die durch E-Mail-Adressen repräsentiert werden. Sie erwerben diese Adressen, laden sie in eine Datenbank und starten dann ihre Angriffe. Ziel ist es dabei, möglichst viele Klicks zu bekommen.
Bei Phishing wird eher auf Masse gesetzt, als ein ganz bestimmtes Ziel in den Blick zu nehmen. Wenn Ihre Adresse in einer solchen Angriffsdatenbank steht, sind Sie ein ständiges Ziel jeder Phishing-Kampagne dieses jeweiligen Akteurs oder der betreffenden organisierten Gruppe. Meine Erfahrungen bei der National Security Agency (NSA) – und Untersuchungen meines Teams zu anderen Staaten, kriminellen Vereinigungen usw. – haben gezeigt, dass Cyberakteure ihre Aktionen wie am Fließband abwickeln. Unterschiedliche Teams sind für das Zielauswahl, den Start, die Ausführung, die technischen Ausbeutungsmethoden, die zielgerichteten Aktivitäten, die Analyse und die Auswertung nach der Kampagne verantwortlich. Es werden kaum Anstrengungen unternommen, diese „Fließbänder“ im Laufe der Zeit zu optimieren – insbesondere, wenn die Angreifer Erfolg haben.
Das Cloudforce One-Team hat umfangreiche Untersuchungen darüber angestellt, wie eine relativ einfache Phishing-Kampagne mehreren Unternehmen langfristig schweren Schaden zufügen kann. Wir haben uns eine Angriffskampagne angesehen, die 2016 am Tag nach den Präsidentschaftswahlen in den USA von einer russischen Spionagegruppe namens RUS2 gestartet wurde, die es auf politische Organisationen abgesehen hat.
Bei der Rekonstruktion der Zieldatenbank stellten wir fest, dass zu den Phishing-Zielen nicht nur aktuelle Regierungsbeamte, sondern auch ehemalige Beamte und politische Mitarbeitende gehörten. Die Zielpersonen erhielten weiterhin Phishing-E-Mails über ihre persönlichen E-Mail-Adressen, auch lange nachdem sie den Arbeitsplatz gewechselt hatten. Einige Personen befanden sich zum Zeitpunkt des Angriffs bereits seit fast zehn Jahren in der Datenbank und stehen auch heute noch im Fadenkreuz.
Und genau hier wird es interessant.
Erbeutete Namen, Telefonnummern und E-Mail-Adressen bleiben auf unbestimmte Zeit in Phishing-Datenbanken gespeichert. Egal, ob E-Mails nicht zugestellt werden können oder die Empfänger den Köder nicht schlucken – die Angreifer machen sich nicht die Mühe, ihre Listen zu bereinigen. Wenn Sie einmal Ziel eines Phishing-Angriffs geworden sind, bleiben Sie es womöglich auf unbestimmte Zeit.
Für Unternehmen und Behörden stellt die Langlebigkeit von Kontaktdaten in Phishing-Datenbanken eine zusätzliche Gefahr dar. Denn wenn eine Zielperson den Arbeitsplatz wechselt, setzt sie auch ihre neue Organisation einem Risiko aus, weil dadurch ein neuer Angriffsvektor für deren Netzwerk geschaffen wird.
Angesichts der Einfachheit und Effektivität von Phishing werden Angreifer aus dem Cyberspace diese Taktik auch in absehbarer Zukunft weiter anwenden. Sie von ihren Versuchen abzuhalten, ist kaum möglich. Wir können aber verhindern, dass sie Erfolg haben.
Es muss davon ausgegangen werden, dass immer ein Risiko besteht und dass jeder und jede ein potenzielles Einfallstor ist.
In den letzten 20 Jahren meiner beruflichen Laufbahn – in der ich für die National Security Agency (NSA) und die United States Cyber Command tätig war und Technologien zur Verhinderung von Phishing-Angriffen entwickelt habe – bin ich zu der Feststellung gelangt, dass sich die Auswirkungen von Phishing-Angriffen am besten durch eine Zero Trust-Sicherheitsstrategie abmildern lassen. Bei dem herkömmlichen IT-Netzwerksicherheitsansatz wird jedem und allem innerhalb des Netzwerks vertraut: Sobald Personen oder Geräte Zugriff auf das Netzwerk erhalten, genießen sie standardmäßig Vertrauen.
Mit Zero Trust dagegen wird niemandem und nichts vertraut. Niemand erhält jemals völlig ungehinderten und vorbehaltlosen Zugriff auf alle Anwendungen oder andere Ressourcen innerhalb eines Netzwerks.
Der beste Zero Trust-Ansatz ist mehrschichtig. Als erste Verteidigungslinie können Sie zum Beispiel präventiv nach Phishing-Infrastrukturen Ausschau halten und Kampagnen blockieren, bevor Nutzer überhaupt auf schädliche Links in Texten oder E-Mails klicken können. Sie können auch eine Multi-Faktor-Authentifizierung (MFA) mit hardwarebasierter Sicherheit einsetzen, um Netzwerke selbst dann zu schützen, wenn Angreifer an Benutzernamen und Kennwörter gelangen. Wenn Sie sicherzustellen möchten, dass MFA-Kontrollen umgehende Hacker nur auf eine begrenzte Anzahl von Anwendungen zugreifen können, empfiehlt sich die Anwendung des Prinzip der geringstmöglichen Rechte anwenden. Außerdem können Sie das Netzwerk mit Mikro-Segmentierung in verschiedene Einzelbereiche aufteilen, um etwaige Sicherheitsverstöße frühzeitig einzuhegen.
Vergangenes Jahr hat Cloudflare durch den Einsatz von MFA mit Sicherheits-Token im Rahmen eines mehrschichtigen Zero Trust-Ansatzes einen Phishing-Angriff vereitelt. Alles begann damit, dass mehrere Angestellte eine Textnachricht erhielten. Diese leitete sie zu einer echt wirkenden Okta-Login-Seite, die den Zweck hatte, unerlaubt Anmeldedaten zu sammeln (Credential Harvesting). Die Angreifer versuchten dann, sich mit den erbeuteten Anmeldedaten und zeitlich begrenzt nutzbaren Einmalkennwörtern (Time Based One-Time Passwords – TOTP) bei Cloudflare-Systemen einzuloggen. Dafür waren sie aber auf das Zutun der Mitarbeitenden bei der Authentifizierung angewiesen. Doch die Angreifer hatten Pech, weil Cloudflare bereits vom TOTP-Verfahren auf Security-Token umgestellt hatte.
Wäre dies nicht der Fall gewesen, hätten zwar andere Sicherheitsvorkehrungen die erfolgreiche Ausführung des Angriffs verhindert, doch glücklicherweise kam es gar nicht so weit. Unser Sicherheitsvorfallreaktions-Team sperrte rasch den Zugriff auf die von der falschen Login-Seite genutzten Domain und beendete dann aktive, kompromittierte Sitzungen mithilfe unsere Zero Trust Network Access (ZTNA)-Dienstes. Wäre es den Angreifern irgendwie gelungen, soweit zu kommen, dass sie mit der Installation von Schadsoftware begonnen hätten, wäre dies von der von uns verwendeten Endpunktsicherheit unterbunden worden. Eine solche mehrschichtige Strategie hat den Vorteil, dass ein Angriff selbst dann keinen ernsthaften Schaden anrichtet, wenn er unter bestimmten Aspekten erfolgreich ist.
Cyberangriffe erfolgen überfallartig. Aber wenn Sie sich einen Moment Zeit nehmen, werden Sie feststellen, dass sie sich nicht wirklich signifikant weiterentwickeln.
Wie können Sie sie durchkreuzen?
Sie sollten zunächst sicherstellen, dass Sie über robuste Anti-Phishing-Kontrollen verfügen. Nicht alle MFA-Kontrollen sind gleich wirksam. Achten Sie deshalb darauf, dass Sie eine Phishing-resistente MFA einsetzen und eine selektive Durchsetzung mit identitäts- und kontextbezogenen Richtlinien implementieren. Erzwingen Sie überall eine starke Authentifizierung für alle Nutzer, alle Anwendungen und sogar für ältere und nicht webbasierte Systeme. Stellen Sie schließlich sicher, dass alle für Cybersicherheit sensibilisiert sind. Sie sollten eine interne Kultur schaffen, die in dieser Hinsicht einerseits ein gesundes Misstrauen fördert und andererseits ohne Schulzuweisungen auskommt, damit verdächtige Aktivitäten frühzeitig und häufig gemeldet werden.
Phishing lässt sich kaum verhindern, aber es kann viel getan werden, um Schäden vorzubeugen. Mit einem Zero Trust-Ansatz können Sie sicherstellen, dass bei der nächsten Phishing-Nachricht an Ihre E-Mail-Adresse kein Schaden entsteht. Erfahren Sie mehr über die mehrschichtige Zero Trust-Plattform von Cloudflare.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Oren Falkowitz — @orenfalkowitz
Security Officer, Cloudflare
Folgende Informationen werden in diesem Artikel vermittelt:
Sobald Ihre persönlichen Daten in die Hände von Angreifern gelangen, verbleiben sie auf unbestimmte Zeit in deren Datenbank.
Phishing-Angriffe sind Teil eines kruden Fließbandverfahrens
Phishing lässt sich kaum verhindern, aber es kann viel getan werden, um Schäden vorzubeugen