Auch Kriminelle setzen für ihre Angriffe verstärkt auf Automatisierung. Besonders beliebt ist hierbei die sogenannte Spear-Phishing-Methode. [...]
Automatisierung spielt eine immer größere Rolle in der IT-Security. Das machen sich auch Kriminelle zunutze, warnt Corey Nachreiner. Der bekannte IT-Security-Experte hat zahlreiche Fachartikel publiziert und tritt als Sprecher auf internationalen Konferenzen von Gartner, Infosec oder RSA auf. Zudem ist er Chief Technology Officer (CTO) bei Watchguard. Der amerikanische Hard- und Software-Hersteller ist auf Netzwerksicherheit, Authentifizierung sowie WLAN- und Endpoint-Security spezialisiert. Vergangenen Sommer hat Watchguard zudem den spanischen Antivirus-Anbieter Panda Security übernommen.
Im Interview spricht Corey Nachreiner über die Herausforderungen beim Schutz vor gezielten Spear-Phishing-Attacken gegen Unternehmen. Außerdem erläutert er, wie Angreifer selbst Techniken aus der Automatisierung verwenden und warum Covid-19 die Bedrohungslage für Firmen weiter verschärft hat.
com! professional: Die Automatisierung erhält in der modernen IT zunehmend Bedeutung. Wer wird davon am meisten profitieren?
Corey Nachreiner: Wie bei jeder Technologie lassen sich die Möglichkeiten der Automatisierung in unterschiedlicher Richtung nutzen. Ich glaube allerdings, dass die Automatisierung im IT-Security-Umfeld mehr Gutes als Schlechtes bewirken wird. Wir sprechen von einem Werkzeug, das unser Leben durch die Mechanisierung allgemeiner Aufgaben erleichtert. Davon kann allerdings ein Krimineller genauso profitieren.
com! professional: Sie haben für 2021 vorausgesagt, dass Cyberkriminelle eine „Spear-Phishing-Welle“ auslösen werden. Hängt das mit der zunehmenden Automatisierung zusammen?
Nachreiner: Spear-Phishing stellt im Hinblick auf Wirksamkeit und Ergebnis eine besonders effektive Technik dar. Der Prozess dahinter erfordert jedoch einen hohen manuellen Aufwand. Wenn ein Angreifer dies automatisieren kann, ohne dabei die „persönliche Note“ gegenüber dem Opfer zu verlieren, dann hat dies einen entscheidenden Einfluss auf die Menge und den Erfolg seiner Phishing-Mails. Das Gute daran: Wenn sich die Erstellung von etwas automatisieren lässt, dann gilt dies auch für die Gegenseite. Ich gehe daher davon aus, dass die zunehmend automatisiert generierten E-Mails durch Sicherheitslösungen leichter erkannt werden können, die ebenfalls auf Automatisierung setzen.
com! professional: Wer gewinnt diesen Kampf?
Nachreiner: Automatisierung bietet sowohl Angreifern als auch den Verteidigern einen Mehrwert. Ich vermute aber trotzdem, dass wir sie eher in der Verteidigung sehen werden. Letztendlich wird derjenige die Nase vorn haben, der die meiste Zeit in die Entwicklung besserer Automatisierungstechnologien investiert. Übrigens ist die Frage, wer bei der Automatisierung gewinnt, nicht neu. Auf der DEFCON-Sicherheitskonferenz 2016 veranstaltete die US-Militärforschungseinrichtung DARPA eine „Cyber Grand Challenge“, bei der einzelne Teams unter Zuhilfenahme von KI sowohl bei Angriff als auch Verteidigung gegeneinander antraten. Die Zukunft der Cybersicherheit könnte also darin bestehen, dass KI-Algorithmen sich gegenseitig bekämpfen.
Besondere Bedrohung durch Spear-Phishing
com! professional: Kommen wir nochmals auf Spear-Phishing zurück. Welche besondere Bedrohung geht von diesem Angriffsvektor aus?
Nachreiner: Spear-Phishing bietet aus der Sicht von Cyberkriminellen eine perfekte Spielfläche für die Automatisierung. Zum einen gehört Spear-Phishing zu den erfolgreichsten Angriffsarten überhaupt. 65 Prozent aller Angriffe lassen sich darauf zurückführen. Viele von ihnen sind von Erfolg gekrönt.
Im Gegensatz zum allgemeinen Phishing, das sich durch die ungezielte Verbreitung von wenig spezifischem, bösartigem Spam auszeichnet, sind Spear-Phishing-Angriffe persönlich zugeschnitten und dadurch umso wirksamer. Es ist meist nicht nur der Name des potenziellen Opfers bekannt, sondern auch, wo dieses arbeitet. E-Mails können an der jeweiligen Position im Unternehmen ausgerichtet sein, mit Bezug zu direkten Kollegen. Alle diese spezifischen Details erschweren die Unterscheidung zwischen Spear-Phishing und legitimen E-Mails.
com! professional: Das alles lässt sich mit Automatisierung erleichtern?
Nachreiner: Ja, da dieser Grad der Anpassung viel manuelle Arbeit aufseiten der Kriminellen erfordert. Obwohl Spear-Phishing heutzutage zu den gefährlichsten und häufigsten Angriffsmethoden zählt, bestand ein rettender Umstand stets darin, dass dem Umfang und dem Ausmaß dieser Attacken aufgrund der manuellen Vorbereitung Grenzen gesetzt waren. Diese könnten sich jetzt allerdings auflösen. So lassen sich Automatisierungs-Tools und -Skripte nutzen, um soziale Medien und Websites, mit denen eine bestimmte E-Mail-Adresse und der Name verknüpft sind, nach Informationen „abzugrasen“.
Es gibt bereits heute Phishing-Kits, die bei der Erstellung von E-Mail-Vorlagen und dem massenhaften Versand von Mails helfen. Wenn diese jetzt in Kombination mit den Möglichkeiten der Automatisierung zum Zuge kommen und E-Mails zunehmend ohne manuellen Aufwand mit persönlichen Details gefüttert werden können, dann erhöht sich die Chance, dass immer mehr Opfer darauf hereinfallen.
com! professional: Was können Unternehmen dagegen tun?
Nachreiner: Die gute Nachricht ist, dass die Spear-Phishing-Angriffe, hinter denen wir Automatisierung vermuten, qualitativ immer noch schlechter sind als die besten Beispiele für manuelles Spear-Phishing. Sie enthalten aber bereits eine Form der Personalisierung, durch die sie in die Kategorie „Spear-Phishing“ fallen. Dank des geringen Reifegrads der Automatisierung lassen sich jedoch immer noch Hinweise darauf finden, dass diese E-Mails maschinell generiert wurden.
com! professional:Wie wird diese Entwicklung weitergehen?
Nachreiner: Im Zuge der Weiterentwicklung der Automatisierungstechniken aufseiten der Angreifer wird es künftig immer schwerer werden, automatisierte Spear-Phishing-Mails von normalen zu unterscheiden. Zudem wird es in Summe viel mehr davon geben. Da Spear-Phishing häufig die Ausgangsbasis für Sicherheitsvorfälle ist, dürfte dies also auch insgesamt eine Zunahme erfolgreicher Übergriffe auf Unternehmen bewirken.
Phishing-Attacken während der Corona-Pandemie
com! professional: Wir leben in einer weltweiten Pandemie. Wie wirkt diese sich auf Phishing-Attacken aus?
Nachreiner: Sie wirkt sich in dreierlei Hinsicht auf die Bedrohungslandschaft aus. Covid-19 liefert Angreifern einen perfekten Köder. Das überrascht nicht. Schon immer wurden größere gesellschaftliche Ereignisse oder Krisen für kriminelle Zwecke instrumentalisiert.
Beim Phishing – oder Social Engineering im Allgemeinen – geht es ja darum, einen Weg zu finden, andere zu Handlungen zu bewegen, die der Intention des Angreifers entsprechen. Wenn diese wissen, dass die Welt an irgendeinem Thema extrem interessiert ist, wird es leichter, Menschen damit zu locken.
Der zweite, eher indirekte Effekt hat damit zu tun, dass die Gesellschaft ganz generell in einen Angstzustand versetzt wird. Social Engineering zielt darauf ab, Opfer so zu emotionalisieren, dass diese jede Logik vergessen und etwas tun, was sie normalerweise nicht tun würden. Covid-19 hat einen Großteil der Gesellschaft ganz von allein in einen ständigen Zustand der Unsicherheit versetzt. Das ist ein gefundenes Fressen für Social-Engineering-Angriffe.
com! professional: Und der dritte Punkt?
Nachreiner: Covid-19 hat nicht zuletzt beeinflusst, wo und wie Cyberkriminelle ihre Opfer ins Visier nehmen. Der Weg in eine Firma führte früher in der Regel über klassische Unternehmensstrukturen. Durch die Pandemie wurden jedoch Homeoffice-Szenarien zur neuen Realität. Mitarbeiter, die von zu Hause aus agieren, rücken damit an die vorderste Front. Die dortigen Endgeräte und Netzwerkstrukturen sind in der Regel aber weitaus weniger gut gesichert als das eigentliche Unternehmensnetzwerk. Das machen sich Cyberkriminelle zunutze.
*Andreas Th. Fischer ist freier Journalist im Münchner Süden. Er verfügt über langjährige Erfahrung als Redakteur in verschiedenen IT-Fachmedien, darunter NetworkWorld Germany, com! professional und ChannelPartner.
Seine fachlichen Schwerpunkte liegen in den Bereichen IT-Security, Netzwerke und Virtualisierung.
Be the first to comment