Es ist ein Grundprinzip aller Offensivkoordinatoren im American Football: Wenn etwas funktioniert, mache weiter damit, bis die Verteidigung beweist, dass sie es stoppen kann. Dein bester Wide Receiver schlägt regelmäßig den Rookie-Cornerback des Gegners? Wirf weiter zu ihm. Deine Offensive Line öffnet Lücken, die zu 7 Yards pro Lauf führen? Mache weiter mit dem Laufspiel. Leider haben Cyberkriminelle dieselbe Lektion gelernt.
Ein aktueller Bericht der Anti Phishing Working Group (APWG) stellte einen Anstieg der Phishing-Angriffe um 61 % vom ersten zum zweiten Quartal 2016 fest. Die Zahl der Angriffe belief sich von Januar bis März auf 289.371, während sie in den folgenden drei Monaten auf 466.065 anstieg.
Warum?
Denn wenn Sie eine Schwäche bei Ihrem Gegner entdecken, sollten Sie diese so lange ausnutzen, bis er zeigt, dass er sie beheben kann. Phishing ist bei Kriminellen sehr beliebt, weil es funktioniert.
In einem früheren Blogbeitrag haben wir über die Erfolgsquote von Phishing-Angriffen gesprochen – 84 % im Jahr 2015. Diese Zahl dürfte kaum jemanden in der Unternehmenswelt überraschen, der täglich 100 neue E-Mails in seinem Posteingang vorfindet und nur 27 Minuten Zeit hat, diese vor der nächsten Besprechung zu bearbeiten. Selbst diejenigen unter uns, die im Bereich Cybersicherheit arbeiten, können getäuscht werden (siehe den Sicherheitsverstoß bei RSA im Jahr 2011).
Was Cybersicherheitsexperten am Erfolg und der daraus resultierenden Popularität von Phishing-Angriffen am meisten beunruhigt – oder beunruhigen sollte –, ist die Tatsache, dass diese Technik herkömmliche Sicherheitsmaßnahmen an den Endpunkten vollständig neutralisiert. Phishing-Angreifern sind SSL-Schwachstellen, offene Ports, Firewalls usw. völlig egal. Sie verlassen sich zu 100 % auf die Nachlässigkeit, die sich aus dem hektischen Arbeitsalltag eines typischen Unternehmensmitarbeiters ergibt. Niemand hat eine Software entwickelt, um dies zu verhindern, und es ist unwahrscheinlich, dass eine solche bald verfügbar sein wird.
Die Erkenntnis dieser Tatsache reicht bis ganz nach oben in der Cybersicherheitshierarchie. Ich habe kürzlich an der Aetna 2016 Global Security Third Party Conference in Orlando teilgenommen und hatte das Vergnügen, einen Vortrag von Brett Leatherman, einem der führenden FBI-Agenten für Cybersicherheit, zu hören: „Ich kann gar nicht genug betonen, wie wichtig die Erkennung ist ... niemand kann Angriffe zu 100 % verhindern.“ Er widmete einen Großteil seiner Präsentation dem von ihm so bezeichneten „Erkennungsdefizit“ und verglich die ersten Stunden nach einem erfolgreichen Einbruch mit den ersten Stunden nach dem Verschwinden eines Kindes. Je länger es einem Kriminellen gelingt, nicht gefasst und gestoppt zu werden, desto geringer ist die Wahrscheinlichkeit eines zufriedenstellenden Ausgangs, egal ob es sich um Cyberkriminelle oder Entführer handelt.
Phishing ist nicht nur deshalb heimtückisch, weil es erfolgreich ist, sondern auch, weil es subtil ist. Das Anklicken eines schädlichen Links in einer gut gestalteten Phishing-Attacke führt nicht dazu, dass der Computer des Benutzers heruntergefahren wird, ein Alarm ausgelöst wird oder ein Feuer entsteht. Es beginnt lediglich ein langer, heimlicher Prozess, der – wenn er eine Organisation trifft, die in der Vergangenheit lebt und auf die heutigen Bedrohungen nicht vorbereitet ist – zu erheblichen Schäden führen kann.
Bis die Cybersicherheitsbranche beweisen kann, dass sie Phishing-Angriffe stoppen kann, ist davon auszugehen, dass diese von Quartal zu Quartal weiter zunehmen werden. Daher wird es für durchschnittliche Cyberkriminelle in absehbarer Zukunft leider viel einfacher sein, ihre Angriffe zu planen, als für Offensivkoordinatoren.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
