Jeder kennt die lästigen E-Mails, die ihre Adressaten auf verschiedene Arten dazu bringen sollen, Anhänge auszuführen, vertrauliche Informationen preiszugeben oder auf schädliche Links zu klicken. Solche massenhaft versendeten E-Mails werden dem „Phishing“ zugeordnet, bei dem über die Verbreitung an viele Empfänger versucht wird, unvorsichtige Opfer zu finden. Im Gegensatz dazu wird beim „Spear-Phishing“ ganz individuell und gezielt auf das schwächste Glied in der Sicherheitskette eingegangen: die MitarbeiterInnen eines Unternehmens.

Recherche und Vorbereitung für hohe Präzision und Treffsicherheit

Bei Spear-Phishing werden vorab spezifische Informationen gesammelt, um das Vertrauen und dadurch die Mitarbeit der Opfer zu erreichen. Je nach Möglichkeit und Situation geben sich AngreiferInnen als GeschäftspartnerInnen, KollegInnen, KundInnen oder Dienstleister aus. Sie verwenden passende Absendernamen und vertraute Inhalte, um Glaubwürdigkeit und Vertrauen zu erzeugen. Oft helfen zusätzlich Informationen aus sozialen Medien, die Anfragen noch glaubwürdiger erscheinen zu lassen. Das Ziel ist immer dasselbe: Die Opfer sollen dazu zu bewegt werden, Aktionen im Interesse des Angreifenden auszuführen oder interne Informationen preiszugeben. Es geht um Finanzbetrug, das Stehlen von Geschäftsgeheimnissen oder sonstige wertvolle Informationen.

Wie können Sie solche Angriffe erkennen?

Ein gesundes Misstrauen und das Wissen um diese Attacken helfen Ihnen dabei, Betrugsversuche zu erkennen. Wenn Sie Nachrichten von vermeintlichen Dienstleistern, KollegInnen, KundInnen oder PartnerInnen bekommen, die Sie auffordern vertrauliche Informationen zu übermitteln, Ihren Account zu überprüfen, das Passwort zu ändern oder andere eigentlich unübliche Aktionen auszuführen – hinterfragen und überprüfen Sie diese. Oft finden sich auf den zweiten Blick kleine Unstimmigkeiten, die nicht dem üblichen Vorgehen entsprechen. Da sich der erste Kommunikationskanal unter Umständen in der Kontrolle eines Angreifers befinden kann (z.B. wenn ein E-Mailkonto übernommen wurde), sollte anderweitig, z.B. via Telefonanruf, rückgefragt werden. Zusätzliche Kommunikation kann helfen, Spear-Phishing-Versuche zu identifizieren und abzuwenden.

Welche präventiven Maßnahmen sind möglich?

Genau wie Banken inzwischen klar und offen kommunizieren, dass nie persönliche Daten und Kontoinformationen abgefragt werden, können unternehmensintern vergleichbare Prinzipien vereinbart werden und einer aktiven Kommunikation unterliegen. Vor allem in kritischen Unternehmensbereichen wie Finanzen, Entwicklung oder Support sollte eine ausreichende Schulung und Sensibilisierung aller MitarbeiterInnen selbstverständlich sein. Für wichtige Abläufe ist das Vier-Augen Prinzip eine mögliche Absicherung. Zusätzlich wird empfohlen, nicht zu viele persönliche Informationen über einzelne Personen und Unternehmensinterna frei zugänglich zu machen, um Angriffspunkte zu minimieren.

Warum sind Spear-Phising Angriffe noch immer erfolgreich?

Inzwischen sind alle MitarbeiterInnen im Unternehmen geschult und für solche Vorkommnisse sensibilisiert. Doch nicht immer wird dieses Wissen durchgängig angewandt, wenn konkrete Nachrichten von vermeintlichen KollegInnen oder anderen vertrauenswürdigen Personen ankommen.  Spear-Phishing-Versuche werden immer angepasster und ausgeklügelter, um das Vertrauen der Opfer zu erlangen. Speziell wenn sich FreundInnen oder KollegInnen in einer vermeintlichen Notlage befinden und um Hilfe bitten, setzen Vorsicht und Wissen allzu oft aus. Hier helfen zwei Ansätze: Regelmäßiges Auffrischen der Informationen und Schulungen sowie ein technologisches Sicherheitsnetz. Gute Anti-Malware-Systeme können inzwischen auch viele Ungereimtheiten bei Nachrichten und das Nachladen von Schadsoftware sichtbar machen und verhindern. IKARUS berät Sie gerne!

Linktipp: E-Mail-Sichereit und Schutz vor gezielten Angriffen mit IKARUS mail.security