Geschichten sind unterhaltsam, spannend, manchmal sogar lehrreich. Sie orientieren sich an Genres und einige wenige schaffen es zu allgemein anerkannten Mythen und Legenden. Zu einer solchen “urbanen Legende”1 aus der digitalen Welt möchte ich heute etwas schreiben. Eine besonders alte Legende, so alt wie die Schrift selbst. Die Kraft des geschriebenen Wortes mit der Menschen andere Menschen zu bestimmten Handlungen bringen wollen. Es geht um Phishing2.
Kontextualisierung
Phishing ist wie in der Einleitung angedeutet eine seit Jahrtausenden normale Begleiterscheinung. Von den ersten Tontafeln über Papyrusrollen, Büchern bis hin zur E-Mail- und Chatnachricht. Es ist weder Plage noch irgendein besonderes Merkmal unserer digitalen Zeit.
Die Gegenmaßnahmen folgen der Grundannahme, illegitime Nachrichten seien aus der Masse der legitimen irgendwie identifizierbar. Nichts anderes suggerieren diverse Beratungs- und Anlaufstellen.3 Und so schreiben viele fleißige aber leider auch dumme Menschen die gleichen Checklisten, machen Awareness-Trainings und veröffentlichen regelmäßige Warnungen4 ohne den Prävalenzfehler5 dabei zu bemerken.
Es sind die technisch Erfahrenen, die in ihrem digitalen Alltag auf “phishy” Mails klicken und mehr Schäden anrichten als die vermeintlich weniger Erfahrenen. Phishing-Mails sind genau nicht von legitimen Mails unterscheidbar. Am allerwenigsten unter Stress in Alltagssituationen.
Ein Selbsttest verdeutlicht das Problem.6 Die Basisraten aus dem Data Breach Investigation Reports (DBIR)7 aus dem vergangenen Blogbeitrag8 belegen es mit Fakten. Frustriert schreiben die Autoren, dass sich an der Gesamtsituation in den vergangenen Dekaden nichts verbessert hat.
Warum hängen so viele an offenkundig falschen Geschichten mit einem menschenverachtenden Narrativ? Menschenverachtend deswegen, weil diese eine Opfer-Täter-Umkehr9 betreiben:
Sie haben auf eine Phishing-Mail geklickt? Vertrauliche Daten auf einer falschen Seite preis gegeben? Haben Sie denn nicht den Rechtschreibfehler im 10. Wort gesehen? Warum haben Sie die Checklisten-Regel 4711 nicht beachtet und das Sicherheits-Produkt 08/15 nicht im Einsatz? Sie brauchen eindeutig eine weitere Awareness-Schulung. Bitte bestellen Sie hier…
Und so wird aus einem falschen Narrativ ein lukratives. Der Grat zwischen Malware und Schlangenöl10 ist ein schmaler.11
Gier, Unkenntnis, Bequemlichkeit und Ignoranz
Es gibt kein Problem mit Phishing-Mails. Es gibt ein Problem mit legitimen Mails, die immer mehr “phishy” sind. Eine Ursache liegt in der Auswahl der genutzten Apps, Websites oder Plattformen, die in Kombination mit einem grenzenlosen Marketing, Betrügern erst den notwendigen Raum zur Entfaltung geben.
Anders als Tontafel, Papyrusrolle oder Buch bietet das Medium E-Mail zuverlässige Methoden, Nachrichten zu signieren, zu verschlüsseln oder die Überbringer zu validieren. Es existiert der Begriff “Stand der Technik”. Dokumentiert in frei zugänglichen Internet-Standards12, die mit freier Software sofort produktiv einsetzbar sind.
Warum diese ungenutzt brach liegen ist bar jeder Logik. Als niedere Beweggründe verbleiben nur Gier, Unkenntnis, Bequemlichkeit und Ignoranz13, begünstigt durch nachfolgende Faktoren:
1. E-Mails ohne Bezug zum Absender
Viele senden Ihre E-Mails nicht von eigenen, sondern von fremden Mailservern. Und so landen legitime Mails oftmals bei den gleichen (Massen-)Versendern, an denen sich auch Bösewichte bedienen. Wie soll ein Anwender ein Spoofing14 erkennen wenn beide über outlook.com, ionos.de oder komplett random von überall her kommen? Gerade für mittelständische Unternehmen ist ein eigener oder managed Mailserver kein Hexenwerk und nicht nur digitales Aushängeschild, sondern auf Dauer auch sicherer und kostengünstiger als angemietete Postfächer bei Massenanbietern.
Es ist Fakt, dass Malware meist über Server großer Anbieter auf die Rechner gelangt, die in den meisten Ban-Regeln und Ausnahmelisten freigegeben sind. Für Kriminelle ist es einfacher, diese omnipräsenten Plattformen zur Distribution und Steuerung zu nutzen.15 In umgekehrter Richtung lassen sich Daten dorthin unerkannt ausleiten. Zum Beispiel per Twitter-Bot in steganografischen16 Bildern.17
2. Fehlerhafte Serverkonfiguration
Bei der Vielzahl an gescheiterten Digitalisierungsprojekten aus Deutschland18 erstaunt es nicht, wenn falsch konfigurierte Mailserver in Kombination mit proprietären Lösungen zum Problem beitragen.19
Wer im Jahr 2022 keine allgemein gültige Internet-Standards zum Schutz seiner E-Mails wie beispielsweise DMARC20 einsetzt, dem ist nicht zu helfen und muss solche Warnhinweise und Presseinformationen zur Warnung seiner Kunden und Geschäftspartner setzen.
Perfide und traurig zugleich: Die Mailserver von Betrügern sind oftmals sauberer eingerichtet, so dass deren Nachrichten mit besseren Scores durch die Spamfilter kommen als die Originale.
3. Einfältig-falsche Prozesse
Warum werden in Zeiten von sicheren Mehrfaktor-Authentifizierungen noch immer E-Mails verschickt, die vor angeblichen Konto-Mißbrauch warnen? Warum lösen einzelne Shop-Bestellungen eine ganze Kaskade von E-Mails aus, inklusive der meist ungefragt zugesandten von Paketdienstleistern? Die vielen automatischen E-Mails stellen nicht nur ein Privacy-Problem dar sondern besagen inhaltlich nichts anderes, was auch in einem Online-Portal übersichtlich dargestellt werden kann. Wer zusätzlich PDF-Belege braucht, kann sich diese gezielt dort herunter laden und nicht in seinen E-Mails suchen.
Eine Website bzw. ein dahinter liegendes Warenwirtschaftssystem sollte von sich aus keine E-Mails versenden. Das als Fakt kommuniziert und jeder Art von Phishing ist die Grundlage entzogen. Das Prinzip funktioniert seit Jahrzehnten an anderer Stelle: Bei PINs und PUKs von Telefonkarten und PINs bzw. Passwörtern bei Giro- und Kreditkarten. Jeder Anwender weiß, dass ein Bank- oder Telekom-Mitarbeiter niemals nach diesen fragen wird.
Warum wollen Entwickler und Anwendungen alles per E-Mail versenden? Weil es billiger ist in der gleichen Befehlsabfolge Fire-and-Forget21 Nachrichten an Mailserver und Anwender abzuschieben. Das Sammeln in einem Dokumenten- oder Belegwesen, ein zusätzliches Portal mit sicherer Mehrfaktor-Authentifizierung zur Durchsicht und Download, die benötigten APIs zur Kommunikation, das alles wird eingespart.
Und so kämpfen sich in Unternehmen qualifizierte und teure Mitarbeiter durch repetitive E-Mails. Von miserabler Software produziert, digital fernen Entscheidern genehmigt und als Prozesse etabliert.
In der Szene gibt es den geflügelten Satz: Wer beschissene, analoge Prozesse digitalisiert, erhält beschissene Digitale.
4. AD, Windows und Outlook
Die weit verbreitete Praxis aus AD, Windows und Outlook zur E-Mail-Kommunikation ist das letzte Grundübel, das Phishing und Kriminalität fördert. Als wenn die Angriffsoberfläche nicht schon groß genug wäre, setzt Microsoft alles daran, diese mit Teams noch zu erhöhen.22
Die überwältigende Mehrheit von 83% aller Malware ist auf genau diese Konfiguration eingeschossen.23 Das ist schlecht und gut zugleich: Minimale Änderungen hier bewirken maximale Verbesserung.
Ein moderner HTML5-Webmailer wie beispielsweise SoGo24 oder ein Mozilla Thunderbird25 minimieren die Angriffsoberfläche deutlich. Ein schlanker Linux-Arbeitsplatz, der sich mit vom Internet isolierten Windows-Fachanwendungen per RDP verbindet noch mehr. Nebenbei können Anschaffungs- und Betriebskosten reduziert und eine gewisse Unabhängigkeit von kurzlebigen Obsoleszenz-Lebenszyklen26 von Hardware-Herstellern erzielt werden.27
Fazit
Lassen Sie sich nicht von Geschichten und Legenden der IT veräppeln. Ein Blick auf die Zahlen und Baselines entlarvt viele als verkaufsfördernde Märchen. Die Gegenmittel sind häufig einfacher. Die benötigten Tools und Software frei und kostenlos.
In diesem Sinne,
Euer Tomas Jakobs
https://verbraucherzentrale.nrw/wissen/digitale-welt/phishingradar/phishingradar-aktuelle-warnungen-6059 ↩︎
https://blog.jakobs.systems/blog/20201127-eu-telekom-phishing/ ↩︎
https://blog.jakobs.systems/micro/20210618-best-practise/ ↩︎
https://verizon.com/business/resources/reports/2022/dbir/2022-dbir-data-breach-investigations-report.pdf ↩︎
https://blog.jakobs.systems/blog/20220604-hacker-hacken-hirne/ ↩︎
https://netzpolitik.org/2022/norton-crypto-antiviren-software-kann-nach-kryptowaehrung-schuerfen/ ↩︎
https://wiwo.de/technologie/digitale-welt/cybersecurity-die-gefaehrliche-ignoranz-des-deutschen-mittelstands/28576100.html ↩︎
https://thehackernews.com/2022/08/researchers-warns-of-large-scale-aitm.html ↩︎
https://heise.de/news/Nach-Kritik-von-Sicherheitsexperten-Digitaler-Fuehrerschein-vorerst-gestoppt-6203690.html ↩︎
https://thehackernews.com/2022/08/virustotal-reveals-most-impersonated.html ↩︎
https://handelsblatt.com/technik/it-internet/plattformwirtschaft-teams-statt-windows-wie-sich-microsoft-kuenftig-unverzichtbar-machen-will/26963918.html ↩︎
https://statista.com/statistics/680943/malware-os-distribution/ ↩︎
https://blog.jakobs.systems/micro/20220511-ct-fachartikel-kiosk/ ↩︎