Die Anwender sind der neue Perimeter: Wie man sich vor Phishing in Corona-Zeiten schützen kann

bei

 / 16. December. 2020

Mit der Verlagerung des Arbeitsplatzes heraus aus der geschützten Umgebung des Büros hinein ins Homeoffice können sich die Mitarbeiter nicht mehr auf den Perimeterschutz des Unternehmens verlassen und werden so selbst zum neuen Perimeter. Die „neue Normalität“ bedeutet, dass Remote-Benutzer in der Lage sein müssen, von jedem Ort und möglicherweise von jedem Gerät aus auf die Unternehmensdaten zuzugreifen. Herkömmliche, von den Unternehmen lokal eingesetzte Sicherheitstechnologien wie Firewalls, Web- und E-Mail-Sicherheitsgateways sind hier nicht in der Lage, die erforderliche Sicherheit zu gewährleisten. Aus der Sicht der Cyberkriminellen sind die Remote-Mitarbeiter das schwächste Glied und damit das bevorzugte Angriffsziel: Sie befinden sich außerhalb der physischen Grenzen ihres Unternehmens und sind aufgrund der aktuellen Umstände in einer emotionalen Notlage und daher noch verwundbarer. Auch nach über einem halben Jahr gibt es in zahlreichen Unternehmen noch Defizite bei der Schulung und Awareness-Bildung der Mitarbeiter sowie bei der technischen Sicherheitsausstattung der entfernten Arbeitsplätze. Dies kann gravierende Folgen haben: Wurde ein Endpunkt, also etwa ein Laptop im Homeoffice, kompromittiert, erhalten die Angreifer den „Schlüssel zum Königreich“. Dies galt zwar schon bereits vor der Pandemie, jedoch hat sich durch COVID-19 die Angriffsfläche dramatisch vergrößert.

Gefahr aus dem Postfach

Nach wie vor sind E-Mails der bevorzugte Angriffsvektor der Cyberkriminellen. Dies hat sich durch Corona sogar noch verstärkt, da die Pandemie den Angreifern etliche Ansatzpunkte für „erfolgreiche“ Kampagnen bietet. So führt die Einführung von Kollaborationstools wie Zoom, Microsoft Teams oder Cisco Webex sowie von Cloud-Diensten zu zahlreichen Phishing-Kampagnen, bei denen Nutzer durch gefälschte Nachrichten, die auf bösartige Seiten verlinken, dazu gebracht werden sollen, ihre Anmeldedaten preiszugeben. Ebenso sind vermeintlich aus der Personalabteilung stammende Mails zu beobachten, die ebenfalls die Situation der Mitarbeiter ausnutzen.

Um Unternehmenskonten zu schützen, haben die IT-Abteilungen mehrere Verteidigungsschichten eingeführt, wie Anti-Spam, Anti-Malware und E-Mail-Tagging, um Nachrichten, die von außerhalb des Unternehmensbereichs gesendet werden, schnell zu identifizieren. Leider sorgen diese sinnvollen Maßnahmen jedoch nicht für umfassende Sicherheit. Dies hat mehrere Gründe:

  • Bösartige E-Mails sind immer schwieriger zu identifizieren. Um eine Erkennung zu umgehen, werden für die Phishing-Seiten und die bösartigen Payloads Cloud-Dienste wie Microsoft OneDrive oder Google Drive verwendet, denen E-Mail-Sicherheitsgateways vertrauen und entsprechend keine Alarme auslösen.
  • E-Mail-Labelling ist nach wie vor nicht weit verbreitet und wird zudem von Benutzern häufig ignoriert.
  • Mitarbeiter greifen im Homeoffice häufig mit demselben Gerät sowohl auf persönliche Anwendungen als auch auf Unternehmensdienste zu. Dies zeigt auch der aktuelle Cloud & Threat Report: Demnach nahm der private Gebrauch von Geräten um 97 Prozent zu. Dies öffnet eine Lücke in die Unternehmens-Infrastrukturen. Phishing-Seiten oder Malware können über persönliche E-Mails zugestellt werden und den Endpunkt kompromittieren, der dann zum Einstiegspunkt für den kriminellen Zugriff auf das Unternehmen wird.

Vorsicht Falle

Das alles bedeutet aber nicht, dass Homeoffice-Mitarbeiter diesen Bedrohungen hilflos ausgesetzt sind. Sicherlich spielt Sicherheitstechnologie eine entscheidende Rolle, aber letztlich ist es der Mensch, der die erste Verteidigungslinie bildet. Es gibt ein paar einfache Schritte, um das Risiko, per E-Mail gehackt zu werden, deutlich zu reduzieren.

  • In schwierigen und bedrohlichen Zeiten wie diesen sollte jede eingehende E-Mail als potenzielle Bedrohung betrachtet werden. Prüfen Sie jede E-Mail sorgfältig auf falsche Angaben oder merkwürdige Details, sowohl in der Form als auch in der Sprache und dem Inhalt. Die Zeiten, in denen man Phishing-Mails auf den ersten Blick erkennen konnte, sind leider vorbei. Professionelle Angreifer sind in der Lage, sehr realistische Nachrichten zu entwerfen. Dennoch ist es möglich, sie zu identifizieren.
  • Wenn Ihr Unternehmen externe Nachrichten markiert, achten Sie darauf und erkennen Sie so, wenn vermeintlich interne Mails von außerhalb verschickt wurden.
  • Überprüfen Sie sorgfältig jeden Link in der Mail. Ziehen Sie die Maus über den Link und überprüfen Sie, ob die URL mit dem angeblichen Ziel übereinstimmt. Angreifer verwenden häufig Tricks wie HTML-Tags, Verkürzungen oder Homograph-Techniken, um das eigentliche Ziel zu verbergen. Selbst wenn die Domäne legitim aussieht, überprüfen Sie jedes einzelne Zeichen. Erkennen Sie den Unterschied zwischen I und l? Der erste Buchstabe ist ein großes i, der zweite ein kleines L.
  • Cyberkriminelle verwenden zunehmend Cloud-Dienste, um Phishing-Seiten oder Malware bereitzustellen. Überprüfen Sie daher immer die Ziel-URL und achten Sie auf Details, etwa wenn ein vermeintliches OneDrive-Dokument auf Dropbox oder Google Drive gespeichert ist.
  • Typische Phishing-Nachrichten verwenden einen emotionalen Köder, um das Opfer dazu zu verleiten, auf den Link zu klicken oder den Anhang zu öffnen. Hierzu zählen unter anderem eine angeblich offene Rechnung, die Bitte, ein Konto nach einigen verdächtigen Aktivitäten zurückzusetzen, die Notwendigkeit, einige persönliche Informationen zu bestätigen, oder auch Sonderangebote und Gutscheine. COVID-19 eröffnet den Cyberkriminellen weitere Themenfelder, etwa vermeintliche Nachrichten der Personalabteilung, Hinweise auf angeblich verpasste Besprechungen über Zoom oder Microsoft Teams sowie vorgebliche Informationen über die aktuelle Pandemie-Lage.
  • Die meisten E-Mail-Programme erlauben eine Überprüfung der Originalnachricht (z.B. mittels der Option „Quelle anzeigen“ in Microsoft Outlook oder der Option „Original anzeigen“ in der Web-Schnittstelle von Google Mail). Erfahrenere Benutzer können diese Funktion nutzen, um die Kopfzeilen zu überprüfen und festzustellen, ob die Nachricht von dem echten Unternehmen gesendet wurde oder ob der Absender gefälscht wurde.
  • Setzen Sie, wann immer möglich, auf Multi-Faktor-Authentifizierung (MFA). Diese sollte aus etwas bestehen, über das Sie verfügen (wie eine Authentisierungs-App), und etwas, das Sie sind (so erlauben mobile Authentisierungs-Apps die Verwendung des Fingerabdrucks, um die App selbst zu entsperren) oder das Sie kennen (eine PIN). Auf diese Weise sollten nicht nur die beruflich genutzten Konten und Dienste gesichert werden, sondern auch alle privaten Konten. Dies ist insofern wichtig, da die Firmen-PCs wie beschrieben auch häufig zu persönlichen Zwecken verwendet werden und Angreifer jeden möglichen Einstiegspunkt nutzen.
  • Betrachten Sie das Firmengerät immer als eine Erweiterung des Büroarbeitsplatzes. Von zu Hause aus zu arbeiten und mehr Zeit mit der Familie zu verbringen, bedeutet nicht unbedingt, dass Sie Ihren Firmenlaptop oder Ihr Firmentelefon mit anderen für deren persönliche Dinge teilen können oder sollten. Denken Sie immer daran: Wenn Sie kompromittiert werden, ist das ganze Unternehmen potenziell gefährdet. Genauso wenig wie es Unternehmen zulassen, dass Außenstehende Ihr Büro betreten und an Ihrem Schreibtisch arbeiten, sollten Sie zulassen, dass andere Ihr Firmengerät für ihre Erledigungen nutzen.

Die Befolgung dieser einfachen Schritte senkt das Risiko einer Kompromittierung erheblich. Das – zugegebenermaßen nicht neue, aber stets aktuelle – Mantra lautet „Vorsicht ist besser als Nachsicht“. Wenn Ihnen also etwas komisch vorkommt, zögern Sie nicht, zum Telefon zu greifen und Ihre IT-Abteilung anzurufen. Fürchten Sie, auf einen bösartigen Link geklickt oder eine Malware heruntergeladen zu haben, verharren Sie nicht in Schrecken aus Angst vor Konsequenzen für Sie oder in der Hoffnung, das nichts weiter geschehen wird. Informieren Sie Ihr Sicherheitsteam so schnell wie möglich, um den Schaden möglichst klein zu halten. Denn dies haben Cyberangriffe und Pandemien gemeinsam: Je schneller und entschlossener man gegen sie vorgeht, desto geringer ihre Ausbreitung.

 

 

Über den Autor / die Autorin:


Paolo Passeri ist ein Sicherheitsexperte und Blogger mit über 20 Jahren Erfahrung im Bereich der Informationssicherheit. Als Cyber Intelligence Principal von Netskope unterstützt er Unternehmen dabei, ihre Cloud-Migration sicher voranzutreiben.