Der aspectra-Blog seit 2012

Gastbeitrag terreActive: Das Zwei-Säulenkonzept zur Bekämpfung von Phishing-Attacken

phishing

Mit technischen Massnahmen und gezielter Mitarbeiter-Sensibilisierung zu mehr Sicherheit.

Phishing ist als Cyberattacke sehr beliebt, da Kriminelle mit relativ wenig Aufwand grosse Beute machen können. Die Wahrscheinlichkeit, dass zumindest einige Mitarbeitende hereinfallen ist hoch. Phishing gilt als kostengünstiges Einfallstor in das Firmennetzwerk, denn mit fingierten Mails erlangen Hacker Zugriff auf interne, vertrauliche und teils geheime Daten eines Unternehmens. Hierzu liefert der Blogartikel «Phishing als günstiges Einfallstor ins Firmennetz» mehr Informationen.

Um ein Unternehmen vor Phishing-Attacken zu schützen, braucht es ein Zwei-Säulenkonzept: Die erste Säule ist technischer Natur und umfasst eine Reihe von Massnahmen, die dafür sorgen, dass ein Phishing-Mail gar nicht bis zum Empfänger vordringen kann. Die zweite Säule betrifft die Sensibilisierung der Mitarbeitenden, damit auch die letzte Instanz der Cyber Defence eine Phishing-Attacke erkennt und entsprechende Massnahmen einleitet.

1. Säule: Technische Schutzmassnahmen − empfohlen auch von SWICO

Es gibt präventive Schutzmassnahmen, die für jedes Unternehmen zu empfehlen sind. In diesem Blog gehen wir konkret auf jene ein, die ihre Firma gegen Phishing-Attacken sowie DNS-Angriffe (Domain Name System) besser schützen sollen.

Unsere Massnahmen decken sich zum grossen Teil mit den von der SWICO im Februar 2022 lancierten Empfehlung zur Bekämpfung von E-Mail-Phishing. Gemäss SWICO sind Schweizer Anbieter von E-Mail-Diensten die erste Anlaufstelle für Kunden im Zusammenhang mit Phishing. Anbieter können auf technischer Ebene bereits einen grossen Beitrag zur Erhöhung der Sicherheit leisten, sprechen Sie daher unbedingt auch mit Ihrem Provider.

DNS-Dienst

Das Domain Name System, kurz DNS, ist ein essentieller Bestandteil des Internets. Die Aufgabe dieses Dienstes ist es, Domainnamen auf die IP-Adressen aufzulösen. Mittlerweile gibt es für diesen älteren Dienst (seit 1983) gute Sicherheitserweiterungen, die Angriffe wie DNS-Cache-Poisoning bzw. DNS-Spoofing verhindern. Solche Angriffe können unter bestimmten Umständen Phishing-Attacken begünstigen.

Unversehrtheit und Echtheit der DNS-Daten

Eine gute Sicherheitserweiterung stellt Domain Name System Security Extensions kurz DNSSEC dar. Diese sorgt für die Authentizität und Integrität der Daten von DNS-Antworten. Die Vertraulichkeit der Daten wird dabei nicht berücksichtigt, d. h. die DNS-Daten werden weiterhin unverschlüsselt übertragen. Um diese Problematik zu lösen, wurde eine weitere Sicherheitsfunktion für den DNS-Dienst ins Leben gerufen, der im nächsten Abschnitt beschrieben wird.

Verschlüsselte Übertragung von DNS-Daten mit DANE

Aus heutiger Sicht ist es nicht Best Practice, die Daten bzw. Informationen unverschlüsselt zu übertragen, da ein Angreifer — unter bestimmten Umständen — diese Informationen abfangen, mitlesen und entsprechend auswerten kann. Aus diesem Grund sollen DNS-Daten unbedingt verschlüsselt übertragen werden, dafür kommt das DNS-based Authentication of Named Entities, kurz DANE zum Einsatz. Dieses Netzwerkprotokoll sorgt für eine verschlüsselte Übertragung und somit für mehr Sicherheit, da verwendete Zertifikate nicht unbemerkt ausgewechselt werden können.

Prüfung der Absenderreputation mit DMARC

Die Absenderreputation einer E-Mail kann mit Hilfe der Domain-based Message Authentication, Reporting and Conformance, kurz DMARC überprüft werden. Diese Spezifikation baut auf das Sender Policy Framework (SPF) und Domain Keys Identified Mail (DKIM) auf. Bei SPF werden in der Regel IP-Adressen sowie Domains eingetragen, die berechtigt sind im Namen der Domain-Halter Mails zu versenden. Dabei ist es essentiell, die Konfiguration des SPF-Records korrekt vorzunehmen bspw. Fail vs. Softfail. Das Ziel von Sender Policy Framework ist es, gefälschte Absenderadresse zu entdecken und entsprechend darauf zu reagieren bspw. Mails von nicht autorisierten Sendern zu verwerfen. Beim DKIM handelt es sich um eine digitale Signierung einer Mail. Dabei wird die Mail mit Signatur des Domain-Halters versehen. Anhand des öffentlichen Schlüssels im DNS des Senders nimmt der Mailserver des Empfängers eine Validierung der E-Mail vor. Somit wird die Echtheit des Absenders sichergestellt.

terreActive empfiehlt DMARC, denn damit können legitime Domain-Namen nicht mehr für Phishing missbraucht werden, was wiederum die E-Mail-Sicherheit steigert.

Weitere Schutzmassnahmen gegen Phishing-Angriffe

  • Filterung von E-Mails bspw. von nichtexistierenden Domain-Namen, E-Mails ohne Absendernamen etc.
  • DNS-basierte Blockliste bspw. Abusix, Spamhaus, Nixspam etc.
  • Ablehnung von E-Mails, die URLs enthalten, die gemäss Swiss Internet Security Alliance (SISA) Feed auf bekannte Phishing-Domains verweisen

2. Säule: Sensibilisierung der Mitarbeitenden

Investitionen in technische Schutzmassnahmen allein reichen heute nicht mehr aus. Beim Phishing wird die Schwachstelle «Mensch» (Human Firewall) ausgenutzt, der entscheidet, ob ein schädlicher Mail-Anhang gedankenlos geöffnet wird oder nicht. Er ist die letzte Schutzinstanz, von dessen Aktion in dem Moment die Sicherheit des Unternehmens abhängt. Aus diesem Grund sind Sensibilisierungsmassnahmen von grosser Bedeutung und sorgen für eine stärkere Cyber Defence.

Mittels einer simulierten Phishing-Attacke, auch Phishing-Simulation genannt, wird die Sensibilisierung bzw. das Awareness-Level der Mitarbeitenden überprüft. Dabei können einzelne Phishing-Szenarien kundenspezifisch angepasst werden, z. B. für das Management oder Mitglieder verschiedener Abteilungen. Im nächsten Schritt wird durch ein Awareness-Training das Sicherheitsbewusstsein der Mitarbeitenden gesteigert. Hierbei gibt es eine Vielzahl von Trainings — Mehr Informationen dazu finden Sie auf der Webseite zu Social Engineering bei terreActive.

Es ist zu empfehlen, die Sensibilisierungsmassnahmen als einen kontinuierlichen Prozess zu etablieren. Dabei sollen die Mitarbeitenden regelmässig — mindesten einmal im Jahr — trainiert und sogleich getestet werden, da der Mensch über die Zeit hinweg Informationen vergisst, nachlässig und unvorsichtig wird. Durch Übung geben Sie Ihren Kollegen Sicherheit und steigern kontinuierlich den Schutz und die Cyber Defense Ihres Unternehmens. Zudem profitieren geschulte Mitarbeitende vom angeeigneten Know-how über das Thema Phishing nicht nur im geschäftlichen, sondern auch im privaten Bereich.

Zögern hilft nicht, reagieren dagegen schon!

Möchten Sie mehr über DMARC, SPF, DKIM, DNSSEC oder DANE erfahren?
Möchten Sie Ihre Mitarbeitenden im Bereich Phishing sensibilisieren oder ein Awareness-Training organisieren?

terreActive verfügt über 25 Jahre Erfahrung in der Cyber Security und unterstützt Sie gerne dabei, geeignete Massnahmen auf die gesamte Firma oder kleinere Gruppen abzustimmen und entsprechende Schulungen zu planen, durchzuführen und anschliessend auszuwerten.

Zahlen und Fakten zu Phishing

•         Phishing-Attacken stehen beim NCSC an zweiter Stelle der Schadensmeldungen: In KW2/2022 gab es beispielsweise 558 Meldungen wegen Betrug und 167 wegen Phishing.
•         96 % der Phishing-Attacken erfolgten 2020 via Mail, 3 % via Websites und 1 % via Telefon
•         Eine Analyse von über 88 Millionen E-Mails zeigte auf, dass 1 von 99 E-Mails ein Phishing-Versuch ist.
•         95 % aller Netzwerk-Attacken sind die Folge eines gezielten Phishings
•         Ein Test unter 410’000 Teilnehmenden zeigte auf, dass über 50 % eine Phishing-E-Mail öffneten und über 32 % auf den verseuchten Link bzw. Anhang klickten.