Interview mit Ronny Dobra

Mit Red-Teaming einen ganzheitlichen Phishing-Schutz gewährleisten

In der IT-Sicherheit von Unternehmen ist Phishing bereits seit langem keine Seltenheit mehr und eine reale Gefahr aufgrund der zunehmenden Professionalität in der Planung und Durchführung. Abwehrmaßnahmen müssen demnach verstärkt und auf ihre Wirksamkeit überprüft werden. Doch reicht es dabei nicht mehr aus nur die technischen Aspekte, wie Software-Schwachstellen oder offene Ports, zu berücksichtigen und sich auf die traditionellen Penetrationstests zu verlassen.

Unbedachtes oder falsches Verhalten von Mitarbeitern sind ein mindestens ebenso großes IT-Sicherheitsrisiko, so dass der Faktor Mensch vor allem bei Social-Engineering-Attacken, etwa über Phishing-Mails an Relevanz gewinnt. In den vergangenen Jahren wurde deshalb das Red-Team-/Blue-Team-Konzept entwickelt, was den Status der IT-Sicherheit eines Unternehmens ganzheitlich betrachtet. Sicherheitsexperten aus den zwei Teams treten dabei als Angreifer (Red Team) und Verteidiger (Blue Team) gegeneinander an. Im Interview mit Ronny Dobra, Project Manager für Red Teaming bei der Telekom MMS, erfahren Sie mehr über die Relevanz von regelmäßigen Awareness-Kampagnen für die Sensibilisierung Ihrer Mitarbeiter und den Schutz des Unternehmen gegen Phishing-Angriffe.

Wie hoch ist der Bedarf? Ist Phishing eine aktuell besonders genutzte Form des Angriffs?

Die aktuelle Projektlage zeigt, dass der Bedarf an Social Engineering Tests, insbesondere E-Mail Phishing stark steigt. Nicht zuletzt die Corona-Pandemie hat die Nachfrage stark beschleunigt. Viele tausend Arbeitnehmer greifen gezwungenermaßen auf ihre Homeoffice-Option zurück. Wie die Tagesschau vor kurzem erst berichtete, kann dies Angreifern in die Hände spielen. Die Opfer öffnen nun häufiger Phishing-E-Mails, ohne sich sicherheitshalber noch einmal beim Kollegen zu erkundigen.

Ursprünglich komme ich aus dem Bereich des klassischen Penetrationstests, in dem wir Systeme auf hard- und softwaretechnische Sicherheitslücken hin untersuchen. Die zahlreichen Ransomware-Fälle 2017 haben jedoch gezeigt, dass technische Gefahrenabwehr allein nicht ausreicht. Zu diesem Zeitpunkt wurden viele Infektionen durch Phishing-Emails ausgelöst, welche von unbedarften Mitarbeitern angeklickt wurden. Die Angreifer wissen, dass die größte Sicherheitslücke der Mensch ist.

E-Mail Phishing scheint recht einfach zu sein. Man schickt eine E-Mail raus und hofft, dass möglichst viele Leute den Link anklicken, oder?

Phishing-Attacken durchzuführen ist in der Tat ein Kinderspiel. Alles was ein Angreifer benötigt, ist eine vertrauenswürdige E-Mail-Aufmachung und ein glaubhaftes Anliegen. Dann stehen die Karten gut, dass eines seiner Opfer auf den Phishing-Trick hereinfällt. Man muss sich bewusst machen, dass bereits eine Phishing-Rate von 5 Prozent im Umkehrschluss bedeutet, dass ein Angreifer lediglich 20 E-Mails versenden muss, um z.B. an Zugangsdaten zu gelangen. Selbst der beste E-Mail-Filter würde bei dieser geringen E-Mail-Anzahl keinen Spam- oder Phishing-Alarm auslösen, solange die E-Mails zeitlich gestreckt zugestellt werden. Da die Phishing-Rate in der Praxis jedoch viel höher liegt, reichen einem Angreifer in der Regel bereits 3 bis 5 E-Mails aus, um sein Ziel zu erreichen.

Die Budgets für Security und Awareness-Massnahmen sind üblicherweise zwischen den Unternehmen sehr unterschiedlich. Gibt es bestimmte Branchen oder Bereiche die besonders hervorstechen?

Unsere Erfahrung zeigt, das große Unternehmen bereits seit Jahren Phishing-Kampagnen durchführen, um die Awareness ihrer Mitarbeiter in dieser Hinsicht zu steigern. Mittelständler führten bislang nur gelegentlich Mitarbeiter-Schulungen und noch seltener Phishing Angriffe durch. Oftmals erst dann, wenn es einen erfolgreichen Phishing-Angriff in den eigenen Reihen gab. Dabei sind der Aufwand und die Kosten für solche Kampagnen überschaubar und der Mehrwert für das Unternehmen hoch. Laut einer Studie sinkt die Erfolgschance einer Phishing Attacke von 38 auf 14 Prozent, sobald Mitarbeiter an einer Phishing-Simulation teilgenommen haben.

Wie kann ich mich denn als Unternehmen davor schützen? Wie können Mittelständler mit 100 Mitarbeitern genauso gut geschützt sein, wie ein grosser Konzern?

Wir bieten unterschiedliche Pakete an, um flexibel auf Kundenwünsche und -größen reagieren zu können. Mit unserem Basis-Paket lässt sich die initiale Mitarbeiter-Awareness anhand einer Phishing-Quote bestimmen. Je mehr Mitarbeiter auf die Phishing-E-Mail hereinfallen, desto schlechter ist diese Quote. Im erweiterten Paket versenden wir Phishing-E-Mails in regelmäßigen Abständen, um die Awareness dauerhaft hoch zu halten. Die Abstände betragen für gewöhnlich ein Monat oder Quartal, können aber auch individuell vom Kunden bestimmt werden. Ergänzend zu den Phishing-Angriffen bieten wir Online- und Präsenz-Schulungen, die wir auf die Bedürfnisse des Kunden zuschneiden.

E-Mail Phishing ist ja nur ein Baustein aus dem Bereich Red Teaming. Welche weiteren Leistungen haben sich aus dem Thema denn noch entwickelt?

E-Mail-Phishing ist nur ein Teil unseres Red Teaming Produktportfolios. Darüber hinaus bieten wir auch ein vollständiges Red Team Assessments, USB-Phishing, Telefon-Phishing und Physical Social Engineering an.

Über den Experten