Die heutige Realität wird von digitalen Interaktionen beherrscht und beruht auf diesen. An der Spitze der IT- und Sicherheitsrisiken stehen Phishing-Angriffe, die in 9 von 10 Fällen den Ausgangspunkt für Cyberangriffe bilden. Allein im vergangenen Jahr verursachte Phishing weltweit über 50 Milliarden US-Dollar an Verlusten für Unternehmen, wobei sich die Angreifer bei fast 40 Millionen Identitätsbetrügereien und über 1 Milliarde Versuchen von Markennachahmung als mehr als 1.000 verschiedene Organisationen ausgaben. Phishing funktioniert, Punkt. Und die Bedrohungsakteure werden nicht aufhören, sich Methoden zunutze zu machen, die zu erfolgreichen Exploits führen.
Warum? Diese Angriffe richten sich gegen Menschen, und wir freuen uns über spannende Geschichten. Manche behaupten sogar, dass Geschichten die Grundlage des menschlichen Handelns sind. Um diese Angriffe erfolgreich durchzuführen, müssen die Cyberkriminellen nur eine einzige Taktik einsetzen: Authentizität. Visuelle Authentizität steht in direktem Zusammenhang mit Phishing durch Nachahmung von Marken, und organisatorische Authentizität steht in engem Zusammenhang mit BEC-Phishing (Business Email Compromise – Übernahme von geschäftlichen E-Mail-Konten).
Das erste Ziel besteht darin, Authentizität zu erreichen, d. h. bekannte Marken ins Visier zu nehmen, um es den Menschen immer schwerer zu machen, zu erkennen, was echt und was bösartig ist. Ein Beispiel: E-Mail-Angreifer gaben sich am häufigsten (in 51,7 % der Fälle) als eine von 20 bekannten globalen Marken aus. Diese Marken sind beliebte Unternehmen, mit denen viel interagiert wird, wobei Microsoft auf Platz 1 der Liste steht, neben anderen Unternehmen wie Google, Amazon, Facebook und der WHO.
Bedrohungsakteure machen sich groß angelegte weltweite Ereignisse oder mit Marken verknüpfte Trends zunutze. Wenn zum Beispiel eine Fußball-WM stattfindet, gibt es Kampagnen, die sich auf die Weltmeisterschaft beziehen. Wenn ein G20-Gipfel stattfindet, gibt es Kampagnen, die Mittel im Zusammenhang mit dem G20-Gipfel nutzen. Als Covid-19 ausbrach, gab es eine ganze Reihe von Angriffen, die Covid-19-bezogene Trends ausnutzten. In gewisser Weise sind die Bedrohungsakteure unglaublich vorhersehbar, da physische Ereignisse in den Cyberspace übergreifen. Dies unterstreicht letztlich, dass Phishing wie jeder Angriff die schwächsten Glieder ausnutzt – in diesem Fall die menschliche Neigung, vertrauensvoll zu sein.
Wenn sich Bedrohungsakteure als legitim tarnen, kann ihr zweites Hauptziel – die Opfer dazu zu verleiten, auf Links zu klicken oder schädliche Dateien herunterzuladen – leicht erreicht werden. Es ist verständlich, dass Sie einen aktuellen Link oder eine Datei von jemandem, den Sie zu kennen glauben, öffnen möchten. Zu Beginn dieses Jahres nutzten Bedrohungsakteure die verheerenden Folgen des Zusammenbruchs der Silicon Valley Bank , aus, um Kunden zu betrügen. In einer weit verbreiteten Phishing-Kampagne gaben sich Bedrohung-Akteure als SVB aus, um DocuSign-bezogene „Links“ zu versenden, die, wenn sie angeklickt wurden, die Benutzer zu einer komplexen, vom Angreifer gesteuerten Weiterleitungskette führten.
Noch nie stand bei der Bekämpfung von Phishing-Angriffen so viel auf dem Spiel wie heute. Und auch wenn das Problem unüberwindbar erscheint, gibt es drei wichtige Maßnahmen, um die Sicherheitsmaßnahmen eines jeden Unternehmens zu verbessern:
Eine einzige betrügerische E-Mail kann einem Unternehmen erheblichen Schaden zufügen – und mit den üblichen Sicherheitstools für den E-Mail-Posteingang lassen sich solche Angriffe nicht bekämpfen. Zwischen 2013 und 2015 verloren Facebook und Google 100 Millionen Dollar, nachdem sie Opfer eines betrügerischen Rechnungsbetrugs geworden waren, bei dem ein Bedrohungstrojaner eine Reihe von Rechnungen im Wert von mehreren Millionen Dollar verschickte, indem er den Anbieter des Tech-Giganten kopierte. 2016 verlor der österreichische Luft- und Raumfahrtteilehersteller FACC 47 Millionen Dollar, als ein Angestellter Geld überwies, nachdem er einem Phishing-Schema geglaubt hatte, bei dem sich die Angreifer als der CEO des Unternehmens ausgaben.
Bedrohungsakteure nutzen für den Start ihrer Angriffe häufig beliebte Anbieter (z. B. Microsoft und Google), wodurch sie typische Authentifizierungsprüfungen umgehen können. Das heutige E-Mail-Sicherheitsverfahren erfordert mehrere Schutzschichten, die vor, während und nach dem Eintreffen von Nachrichten im Posteingang greifen. SPF-, DKIM- und DMARC-Authentifizierungsstandards sind zwar ein wichtiger Schritt für mehr Sicherheit, bieten aber allein keinen umfassenden Schutz vor Phishing-Angriffen. Diese Standards wurden nicht entwickelt, um die bei Phishing typischen, gefährlichen E-Mails und/oder Links zu erkennen – was durch die Tatsache bewiesen wird, dass 89 % der unerwünschten Nachrichten durch diese Tools gelöscht werden.
Der Schlüssel zur Bekämpfung moderner Phishing-Taktiken liegt in der Annahme, dass eine Sicherheitsverletzung vorliegt – „niemals vertrauen, immer verifizieren“. Unternehmen müssen ein Zero Trust-Sicherheitsmodell für jede E-Mail-Adresse implementieren. Die Implementierung einer Phishing-resistenten Multi-Faktor-Authentifizierung, die Erweiterung der Cloud-E-Mail-Sicherheit um mehrere Anti-Phishing-Barrieren und die Ausstattung der Mitarbeitenden mit sicheren Tools sind wichtige Bestandteile, um dies zu erreichen.
Wenn Prozesse und Werkzeuge nicht funktionieren, besteht die natürliche Neigung darin, mehr Ressourcen für das Problem bereitzustellen – mehr Mitarbeitende, Zeit und Geld. Das ist der falsche Weg, denn wenn man reaktive Maßnahmen ergreift, ist es bereits zu spät. Spam-Filter zum Beispiel waren zwar einmal die primäre Maßnahme der E-Mail-Sicherheit, sind aber nur die Spitze des Eisbergs, wenn es darum geht, Phishing-Angriffe proaktiv zu bekämpfen.
Phishing-Bedrohungen in verschiedene Kategorien einzuteilen, ist zwar in anderen Kontexten erfolgreich, aber ineffektiv, wenn man eine ganzheitliche Sicht auf Phishing mit dem Ziel verfolgt, das Problem direkt anzugehen. In vielen Phishing-Berichten wird das Thema so differenziert aufgeteilt, als ginge es um die Lösung von 100 verschiedenen Problemen – ein und dieselbe Bedrohung wird auf 100 verschiedene Arten diskutiert, was die Suche nach einer Lösung erschwert. Ein umfassender Ansatz ist unabdingbar, und wie die steigende Zahl von Angriffen beweist, führt die feinsäuberliche Unterteilung von Daten nicht zu einer Lösung. Da 90 % der Sicherheitsverantwortlichen der Meinung sind, dass Art und Umfang von Phishing-Bedrohungen zunehmen, liegt es auf der Hand, dass es einer optimierte, ganzheitliche Strategie zum Schutz unserer digitalen Umgebungen bedarf.
Die Cybersicherheitslandschaft wird von einer Vielzahl von Lösungen überschwemmt, die alle mehr Sicherheit versprechen. Nur sehr wenige gehen jedoch effektiv auf das immer größere Problemfeld: Phishing ein – ein Problem, gegen das kein Unternehmen immun ist. Allein 2022 entdeckte Cloudflare über 1,4 Millionen BEC-Bedrohungen, doppelt so viele wie 2021, wobei 71 % der Unternehmen von einem versuchten oder tatsächlichen Angriff auf ihre Geschäfts-E-Mails betroffen waren.
Diese Daten zeigen, dass Phishing branchenübergreifend verbreitet ist und herkömmliche Investments in Sicherheit mit einem Klick auf einen einzigen Link zunichtemacht. Die Nutzer klicken eher auf Links als auf Datei-Downloads, da sie den Link als eine authentischere Form der Kommunikation wahrnehmen. Bedrohungsakteure nutzen diese menschliche Schwäche immer wieder aus, wodurch bösartige Links zur häufigsten Bedrohungskategorie geworden sind und 35,6 % aller entdeckten Bedrohungen ausmachen. Diese Links und Dateien können zum Abfangen von Anmeldeinformationen, zur Remotecodeausführung, die es dem Angreifer ermöglicht, Schadsoftware oder Ransomware zu installieren, Daten zu stehlen oder andere Aktionen auszuführen, und schließlich zu einer vollständigen Kompromittierung des Netzwerks führen, indem er nur eine einzige Workstation übernimmt.
Da Phishing immer mehr im Vormarsch ist, müssen die Verantwortlichen in den Unternehmen die Datenpunkte nutzen, um Lösungen zu finden. So stellen Sie sicher, dass die Ressourcen für die proaktive Abwehr von Sicherheitsverletzungen infolge erfolgreicher Phishing-Angriffe angemessen zugewiesen werden. Die Daten machen deutlich, dass Phishing ein überwältigendes Problem für Unternehmen jeder Größe darstellt. Es gibt jedoch präzise Lösungsansätze, wie man Ressourcen einsetzen kann, um zu verhindern, dass Phishing-Angriffe irreversible Schäden verursachen.
Das digitale Ökosystem entwickelt sich ständig weiter. Wer Phishing-Angriffen einen Schritt voraus sein will, muss einen direkten, proaktiven Ansatz verfolgen. Unternehmen können E-Mails mit einem Zero Trust-Sicherheitsmodell schützen, sodass kein Nutzer oder Gerät vollständigen Zugriff mit uneingeschränktem Vertrauen auf E-Mails oder andere Netzwerkressourcen hat. Unternehmen können mehrere Anti-Phishing-Kontrollmechanismen in die cloudbasierte E-Mail-Sicherheit integrieren, um Hochrisikobereiche vor Angriffen zu schützen und Phishing-resistente MFA-Sicherheitstools zu implementieren.
Die technische Ausstattung ist ebenso wichtig wie die Unternehmenskultur: Teams in großen Unternehmen haben ihre eigenen bevorzugten Tools. Daher sollten die Mitarbeitenden dort abgeholt werden, wo sie stehen, indem die von ihnen bereits verwendeten Tools sicherer gemacht werden, um potenzielle Phishing-Angriffe zu verhindern. Die Förderung eines vorwurfsfreien, transparenten Ansatzes nach dem Prinzip „wer etwas Verdächtiges sieht, meldet es“ bei der Meldung verdächtiger Aktivitäten ist deswegen so wichtig, weil einzelne Minuten zwischen der Meldung einer verdächtigen Aktivität und dem Ergreifen von Maßnahmen den Unterschied machen können.
Indem sie moderne technische Lösungen implementieren, das Problem direkt angehen und datengesteuerte Lösungen nutzen, können sich Unternehmen von Behelfslösungen befreien und sich und ihre Daten umfassend vor Phishing-Angriffen schützen. Solche Lösungen erfordern einen funktionsübergreifenden Ansatz, bei dem technische Maßnahmen mit organisatorischen Maßnahmen kombiniert werden, um einen wirksamen Schutz gegen die heimtückische Bedrohung durch Phishing zu schaffen.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträgerinnen und -träger aus der Tech-Branche heute von Bedeutung sind.
Wenn Sie mehr über die neuesten Phishing-Trends erfahren möchten, holen Sie sich den aktuellen Bericht zu Phishing-Bedrohungen!
Oren Falkowitz — @orenfalkowitz
Security Officer, Cloudflare
Folgende Informationen werden in diesem Artikel vermittelt:
Phishing ist immer noch der Ausgangspunkt für 9 von 10 Cyberangriffen
89 % der unerwünschten Nachrichten haben SPF, DKIM und DMARC bestanden
3 wichtige Maßnahmen zur Stärkung des Sicherheitsniveaus eines jeden Unternehmens