Phishing – eine Maßnahmenhierarchie für die erfolgreiche Abwehr

Matt Linton von Google hat vor Kurzem einen sehr guten Artikel mit dem Titel "On Fire Drills and Phishing Tests" veröffentlicht, in dem er heutige Phishing- mit früheren Brandschutzübungen vergleicht. Aber es gibt ja (zum Glück!) für beziehungsweise gegen Phishing nicht nur Trainings. Um alle möglichen Gegenmaßnahmen einzuordnen, können wir die Maßnahmenhierarchie aus dem Arbeitsschutz heranziehen. Diese unterteilt die Werkzeuge in die Ebenen Vermeidung, Verringern, technische Maßnahmen, administrative Maßnahmen, Schulungen und persönliche Schutzausrüstung.

Ein Kommentar von Janis König

Janis König wollte eigentlich Software-Archäologin werden. Bei intcube verwirklicht sie nun ihre Begeisterung für Kryptographie, gute Prozesse und Softwarearchitektur. Für die iX schreibt sie über ihre Vorstellungen für eine bessere Informationssicherheit.

Schulungen allein reichen nicht aus

Ebenfalls ist bekannt: Je weiter wir in dieser Hierarchie nach unten gehen, desto ineffektiver werden die Mittel. In diesem Kontext ist es deprimierend festzustellen, dass sich der Fokus in vielen Firmen komplett auf Schulungen verfestigt hat. Aber gehen wir durch die einzelnen Ebenen: Die komplette Vermeidung der Gefahrenquelle wäre in E-Mail-basierten Phishingvorfällen das Abschaffen (extern erreichbarer) E-Mail. Man kann hier schnell geneigt sein, diesen Ansatz zu verwerfen, aber in der Tat gibt es doch einige Unternehmen, bei denen ich hinterfragen möchte, ob wirklich alle Mitarbeitenden eine eigene öffentliche E-Mail-Adresse benötigen. Zugegeben, durch die vermehrte Nutzung von Cloud-Diensten wird eine solche Einschränkung immer schwieriger – für alles sind extern erreichbare Mailadressen notwendig –, aber nicht unmöglich. Sobald aber Kundenkontakt nötig wird, ist es vorbei – oder?

Auch hier ist es möglich, die verbleibende Gefahrenoberfläche zu verringern. Wir alle kennen – und hassen – sie: Kundenkontaktformulare. Aber aus Anti-Phishing-Sicht sind das großartige Tools, da sie das Format der übertragenen Daten und des Kontaktes stark einschränken, sichtbar für alle im jeweiligen Supportteam machen, und das auch kontrollierbar. Offensichtlich kann auch diese Methode nicht alle Use Cases abdecken, und gerade im B2B-Kontakt ist auch ein interaktiverer Kanal oft gewünscht. Hier setzt sich langsam selbst für B2B Microsoft Teams durch – auch wenn es hier offensichtlich Verbesserungspotenzial gibt, an sich aber ebenfalls eine Möglichkeit, Phishing einzuschränken.

Achtung, Schlangenöl

Wir bewegen uns nun schon in Richtung technischer Maßnahmen, die gut skalierend über eine Unternehmensinfrastruktur verteilt werden können: Passwort-Policies, Mailscanner, Blocken verdächtiger Anhänge – eine wahre Fundgrube für Schlangenölverkaufende. Als administrative Maßnahmen könnte man Strukturen innerhalb der Organisation bezeichnen, die die Auswirkungen eines Phishingangriffs zu verringern suchen, indem es für bestimmte Vorgänge feste Prozesse gibt, die hoffentlich zumindest einige Klassiker abfangen.

Und final: persönliche Schutzausrüstung, also technische Maßnahmen. Die bedingen aber eine korrekte Bedienung (und damit eine erfolgreiche Schulung), damit sie greifen, etwa das Flagging möglicherweise gefährlicher Inhalte. Diese Maßnahmen unterstützen Schulungen und können deren Effektivität etwas pimpen, sollten aber eigentlich keine kritische Säule unserer Sicherheitsarchitektur sein.

Und doch liegt immer wieder der Fokus auf den Menschen. Die kriegen wir nicht geändert, auch wenn wir ihnen zu helfen versuchen. Einfach ist es zwar, in der Hierarchie unten anzusetzen. Wenn wir aber das Risiko bekämpfen möchten, sollten wir das Phishingproblem grundsätzlicher angehen.

(pst)