256381

SANS Institute: Angestellte sollten mit Phishing-Mails getestet werden

15.11.2006 | 13:15 Uhr |

Allen Sicherungsmaßnahmen durch Software-Lösungen zum Trotz sind Anwender immer noch das größte Sicherheitsrisiko für Unternehmen und andere Einrichtungen. Das SANS Institute rät Unternehmen nun, Angestellte mit gezielten Phishing-Angriffen auf die Probe zu stellen, um Schwachstellen ausmachen zu können.

Nicht nur Viren, Trojanische Pferde und sonstige Malware rauben IT-Verantwortlichen den Schlaf, auch Phishing-Attacken, die sich gezielt gegen Angestellte von Unternehmen, Behörden oder andere Einrichtungen richten, können extremen Schaden anrichten. Beispielsweise könnten Angreifer so an sensible Unternehmensdaten, Passwörter und ähnliches gelangen. Das SANS Institute rät Unternehmen zur Verbesserung der Sicherheit nun dazu, Angestellte gezielt mit eigens erstellten Phishing-Angriffen zu prüfen, um Schwachstellen aufzudecken und Mitarbeiter besser zu schulen.

Auf bestimmte Personen oder Personengruppen in Unternehmen oder anderen Einrichtungen abzielende Phishing-Angriffe nennt man auch "Spear-Phishing". Derartige Mails kamen bei einer Untersuchung im Jahr 2004 bei Kadetten der Militärakademie West Point zum Einsatz. Für den Test wurden 512 Kadetten ausgewählt. Diese erhielten eine gefälschte Mail, die den Eindruck erwecken sollte, von einem Colonel Robert Melville zu stammen, der angeblich im Büro des Akademie-Kommandanten tätig war (der "echte" Robert Melville hingegen war an der Erfindung einer speziellen Marine-Kanone beteiligt, der Carronade - vor etwa 250 Jahren). In der Mail hieß es, dass es Probleme mit dem "Grade Report" des jeweiligen Kadetten gebe und dieser einem bestimmten Link folgen sollte und die dortigen Anweisungen befolgen solle. Folgte der Kadett dem Link, wurden persönliche Daten abgefragt. Das Ergebnis: 80 Prozent der Kadetten nahmen die Mail für bare Münze und klickten eifrig auf den Link. Bei den so genannten "Freshman", also Kadetten im ersten Jahr, war das Ergebnis noch ernüchternder: Selbst nach einem vierstündigen Sicherheitskurs für PCs klickten 90 Prozent der Probanden auf den Link der PhishinGoogle Mail.

Da derartige Angriffe auf die Kooperation der Anwender setzen, ist es nur sehr schwer, sie zu verhindern, erklärte Alan Paller, Director of Research beim SANS Institute. In Bezug auf das Beispiel der West Point Akademie rät Paller: "Die einzige Verteidigung gegen Spear-Phishing ist es, die Anwender zu testen und sie in Verlegenheit zu bringen", so Paller.

Erschwerend komme hinzu, dass immer mehr derartige gezielte Angriffe erfolgen, so Paller. Zwar habe es Verbesserungen bei Windows gegeben, die die Sicherheit erhöht haben, die Angreifer würden aber zunehmend andere Anwendungen für ihre Zwecke nutzen, so Paller, und Lücken in Mediaplayern, diverser anderer Software oder VoIP-Lösungen ausnutzen. "Wir dachten, dass das Problem gelöst sei, als Microsoft besser wurde, wir haben aber vergessen, dass jedes andere Unternehmen Software mit so wenig Rücksicht auf die Sicherheit geschrieben hat, wie es Microsoft getan hat", so Paller.

Die Ergebnisse des West-Point-Tests können natürlich nicht verallgemeinert werden. Problematisch ist dabei vor allem der Punkt, dass Soldaten überprüft wurden. Befehle Vorgesetzter zu hinterfragen ist beim Militär nicht gerade Usus. Demzufolge dürften wohl einige der Kadetten auch aus Gehorsam den Angaben der Mail gefolgt sein.

0 Kommentare zu diesem Artikel
256381