Von Thomas Ehrlich, Country Manager DACH und Osteuropa von Varonis
Was bewegt Menschen, auf die Links in solchen Mails zu klicken? Liegt es an mangelndem Problembewusstsein der Mitarbeiter? An Langeweile? Ein Forscherteam der Friedrich-Alexander-Universität (FAU) Erlangen ging dieser Frage nach und kam zur Erkenntnis, dass der Hauptgrund schlichte Neugier ist, gepaart mit einem Inhalt, der in Bezug zum Empfänger steht.
Phishing erfolgreicher als E-Mail-Marketing
In dem zugrundeliegenden Experiment schickten die Wissenschaftler kurz nach Neujahr eine Mail an 1.200 Studenten. Der Inhalt war ganz knapp gehalten: „Hey, die Silvesterparty war toll, hier sind die Bilder (Link), zeige sie aber keinem, der nicht dabei war. Bis bald…“
Kommen wir nun zu dem Punkt, der IT-Verantwortliche blass und Marketing-Spezialisten grün vor Neid werden lässt: Die Klickrate betrug stolze 25 Prozent! Später nach den Gründen befragt, sagten 34 Prozent, dass sie neugierig auf die Fotos gewesen seien, 27 Prozent betonten das richtige Timing kurz nach Silvester und 16 Prozent glaubten, den Absender aufgrund des angegebenen Namens zu kennen. Diese Zahlen belegen eigentlich nur den Eindruck, den Sicherheitsverantwortliche in den letzten Jahren gewinnen konnten: Gerade die Aussicht auf Bilder lässt die Mitarbeiter auf Links gehen – und je besser der Text in die gegenwärtige Situation des Empfängers passt, desto wahrscheinlicher ist sie erfolgreich.
Neugier plus Kontext
Neugier liegt in der menschlichen Natur, welche sich bekanntermaßen – trotz Aufklärung, Schulung und Sensibilisierung – nur schwer ändern lässt. Kommt dann noch der passende Kontext hinzu (im Fall des Experiments: Studenten, die auf einer Silvesterparty waren), ist der Erfolg der Cyber-Kriminellen fast schon programmiert. Zumal sie momentan gerade am Kontext immer weiter feilen. Das Ziel von Spearfishing ist genau dies, den Kontext und Inhalt so zu gestalten, dass der Inhalt legitim erscheint und Links damit klickbar werden. Mit ein wenig Recherche in Sozialen Medien (Facebook bietet sich an, noch besser sind aber LinkedIn und Xing) ist es kein großer Aufwand, eine Mail auf den entsprechenden Mitarbeiter maßzuschneidern:
„Hallo Thomas,
schade, dass ich dich auf der InfoSec dieses Jahr nicht gesehen habe. Ich traf deinen Kollegen Carl, der mir sagte, dass du dich vielleicht für meine Studie über Phishing und Nutzerverhaltensanalyse interessieren könntest. Hier (Link) findest du die Ergebnisse.
Ich hoffe, in deinem neuen Job bei Varonis läuft alles gut, bis bald …“
Die Leiterin der FAU-Studie Dr. Zinaida Benenson sagt wohl zu Recht, dass „mit sorgfältiger Planung und Ausführung jeder dazu gebracht werden kann, solch einen Link anzuklicken, und sei es nur aus Neugier“ und hält „hundertprozentigen Schutz für nicht machbar.“ Was also ist die Konsequenz daraus? Was bedeuten diese Erkenntnisse für die Datensicherheit? An einer entsprechenden Schulung der Mitarbeiter, in der sie für die Problematik sensibilisiert werden, führt kein Weg vorbei, dies gilt gerade für technisch weniger versierte Angestellte. Aber dennoch wird es (wir erinnern uns: Neugier und Kontext) Fälle geben, in denen Mitarbeiter, auf Phishing-Mails hereinfallen.
Dabei wird klar, dass Perimeterschutz nicht ausreicht und Unternehmen gut daran tun, eine zweite Verteidigungslinie aufzubauen für eben jene Fälle, in denen Hacker ins Innere der Systeme gelangen. Diese muss in der Lage sein, ungewöhnliches Verhalten durch intelligente Nutzer- und Systemanalyse zu erkennen und entsprechende Gegenmaßnahmen einzuleiten.
Zum Autor: Seit April 2017 verantwortet Thomas Ehrlich als Country Manager DACH und Osteuropa das Wachstum und die Positionierung von Varonis in dieser Region, dessen Sicherheitslösungen Daten vor Insider-Bedrohungen und Cyber-Attacken schützen. Zuvor war er seit 1999 beim Datenspeicherungs- und -managementspezialisten NetApp in verschiedenen Positionen tätig, zuletzt als Vice President Global Accounts.