Schnelle Klicks mit schlimmen Folgen

Millionen Menschen fallen jeden Tag auf gefälschte E-Mails herein. Sie öffnen schädliche Links oder Dateianhänge, geben sensible Daten preis oder überweisen hohe Geldsummen auf falsche Konten. So unterschiedlich die einzelnen Spear-Phishing-Attacken auch sein mögen, haben sie doch eines gemeinsam: Sie zielen so geschickt auf die Gefühle ihrer Opfer, dass diese die eingehenden Mails unüberlegt öffnen und so ziemlich alles tun, was darin von ihnen verlangt wird.

Unternehmensumfeld besonders lukrativ

Da Arbeitnehmer zu den attraktivsten Zielgruppen von Spear-Phishing-Angreifern zählen, haben sich die Betrüger für das Unternehmensumfeld eine besondere Taktik zugelegt. Zunächst durchforsten sie die sozialen Medien und andere Internet-Quellen akribisch nach Unternehmens- und Mitarbeiterinformationen. Dann fertigen sie daraus täuschend echt wirkende E-Mails an, in denen sie sich als Vorgesetzte, Kollegen oder Geschäftspartner ausgeben. Zuletzt hilft ein Griff in die psychologische Trickkiste, um ihre Opfer hereinzulegen.

Zu den wichtigsten emotionalen Einflussfaktoren zählen:

Autoritätshörigkeit
Im Namen eines Vorstandsmitglieds wird der Mitarbeiter aufgefordert, Zahlungen auf ein fremdes Konto vorzunehmen. Durch diese als Chef-Masche (CEO-Fraud) bekannte Betrugsmethode gingen allein dem deutschen Automobilzulieferer Leoni 2016 rund 40 Millionen Euro verloren.

Zeitdruck
Der angebliche IT-Administrator warnt: Falls der Mitarbeiter nicht sofort sein Passwort ändert, wird sein Nutzerkonto deaktiviert. Der Anwender gehorcht – und spielt seine Log-in-Daten direkt den Angreifern in die Hände. Schlimmstenfalls können diese als Einfallstor ins gesamte Unternehmensnetzwerk dienen.

Hilfsbereitschaft
Die Angreifer geben an, von einem Kollegen weiterverwiesen worden zu sein. Da ihr Unternehmen die Zusammenarbeit mit der Firma des E-Mail-Empfängers sucht, senden sie einen Link zu einer Datei „mit ersten Ideen“. Da der Mitarbeiter seinen Kollegen natürlich gerne unterstützen möchte, öffnet er den Link – und lädt sich Schadsoftware auf seinen Rechner.

Angst
Im Namen der Finanzbuchhaltung wird eine Rechnung moniert, die nicht beauftragt worden sei und keinen Bezug zu vorhandenen Verträgen habe. Der Mitarbeiter bekommt einen Heidenschreck – er will der Sache sofort auf den Grund gehen. Auch hier genügt ein Klick auf den Link zu der Rechnung, um das System des Mitarbeiters zu kompromittieren.

Neugier
Angeblich teilt die Geschäftsleitung wichtige strukturelle und personelle Änderungen im Unternehmen mit und stellt im Intranet ein Organigramm mit den neuen Verantwortlichkeiten zur Verfügung. Der Mitarbeiter ist gespannt, wer wohl nun für welche Bereiche zuständig ist. Die Betrüger frohlocken, ein neues Opfer am Haken zu haben!

Nachfrage nach Awareness Trainings wächst

Dank dieser Methoden hat sich Spear Phishing zu einer der riskantesten Arten von Cyberkriminalität entwickelt. Viele Unternehmen haben die Gefahr erkannt und setzen auf Security Awareness Trainings, um ihre Mitarbeiter für den richtigen Umgang mit betrügerischen E-Mails zu schulen. Doch greifen die klassischen Ansätze zu kurz, da sie sich auf die Vermittlung theoretischen Wissens im Rahmen von Präsenzschulungen, E-Learnings und Webinaren fokussieren. Warum dies bei Phishing-Angriffen nicht genügt, zeigt ein Blick auf die Thesen des Psychologen und Nobelpreisträgers Daniel Kahnemann.

In seinem Bestseller „Schnelles Denken, langsames Denken“ unterscheidet Kahnemann zwischen zwei Denksystemen. Während System 1 – das schnelle Denken – unterbewusst abläuft und zu intuitiven Entscheidungen tendiert, trifft System 2 – das langsame Denken – seine Entscheidungen erst nach systematischer und logischer Prüfung eines Sachverhalts. Da Spear-Phishing-Attacken die Gefühle der Opfer und damit Denksystem 1 adressieren, ist es mit herkömmlichen, auf das rationale Denken zielenden Security Awareness Trainings nicht getan. Sie sollten unbedingt um Spear-Phishing-Simulationen ergänzt werden.

Phishing-Simulationen didaktisch wertvoll

Diese Phishing-Simulationen verwenden echte Unternehmens- und Mitarbeiterinformationen, um authentisch wirkende Angriffe nachzustellen. Doch statt in die Falle von Betrügern zu laufen, landen die E-Mail-Empfänger auf einer interaktiven Erklärseite. Dort wird ihnen Schritt für Schritt erläutert, an welchen Merkmalen sie die E-Mail als Fake hätten erkennen können: zum Beispiel an Buchstabendrehern in der Adresszeile, der Verwendung von Fake-Subdomains oder verdächtig wirkenden Links.

Spear-Phishing-Simulationen sind pädagogisch und didaktisch besonders wertvoll, weil sie den „Most teachable Moment“ eines Mitarbeiters nutzen. Er wird genau im richtigen Moment über sein potenziell schadhaftes Fehlverhalten aufgeklärt. Damit dieser Lerneffekt anhält, sollten die Phishing-Simulationen regelmäßig wiederholt werden. Denn nur so behält der Mitarbeiter die gespeicherten Informationen dauerhaft im Kopf und geht mit eingehenden E-Mails künftig vorsichtiger um.

Wichtig ist zudem, die Security Awareness Trainings am individuellen Lernfortschritt der Mitarbeiter auszurichten und die Lernfortschritte kennzahlenbasiert zu dokumentieren. So wird es möglich, die Lernerfolge im Unternehmen zu kommunizieren und ein gemeinsames Ziel festzulegen, für das IT-Sicherheitsverantwortliche, Manager und Mitarbeiter an einem Strang ziehen.

Kommunikation ist alles

Apropos Kommunikation: Unternehmen sind gut beraten, die Arbeitnehmer rechtzeitig auf geplante Awareness Trainings einzustimmen. So dürfen die Mitarbeiter keinesfalls das Gefühl bekommen, mit Spear-Phishing-Simulationen von ihrem Arbeitgeber kontrolliert oder – noch schlimmer: hereingelegt zu werden. Den meisten Erfolg haben Unternehmen, wenn sie das „Warum“ erklären und an die Selbstverantwortung und Selbstwirksamkeit ihrer Mitarbeiter appellieren. Auch wenn es den IT-Abteilungen heute bereits gelingt, viele betrügerische Phishing-Mails abzufangen, schaffen es doch etliche immer wieder in den Posteingang der Empfänger. Trotz ausgefeilter IT-Sicherheitstechniken bleibt der Mensch die größte Schwachstelle bei Spear-Phishing-Attacken.

David Kelm
ist Mitgründer und Geschäftsführer der IT-Seal GmbH, die auf den Schutz von Mitarbeitern gegen Social-Engineering-Angriffe spezialisiert ist, unter anderem auch im Rahmen einer Forschungstätigkeit an der TU Darmstadt.  IT-Seal bündelt innovative Methoden und Werkzeuge zur Messung und Schulung des Sicherheitsbewusstseins von Mitarbeitern.