Menschen neigen erwiesenermaßen dazu auf Links zu klicken. Manche widerstehen dabei der Versuchung besser als andere. Trotzdem könnte man erwarten, dass, wenn man in der Unternehmenshierarchie nach oben klettert bis auf die Führungsebene, Phishing dort eine weit weniger erfolgreiche Methode sein sollte.
Anders als erwartet ist das nicht Fall, und auch Führungskräfte neigen dazu auf Links zu klicken, die ihnen per E-Mail serviert werden. Allerdings müssen es die „richtigen“ Links sein. Cyberkriminelle sind in letzter Zeit sehr viel besser darin geworden, Angriffe auf dieses spezielle Ziel hin zu konzipieren und damit die potenziell sensibelsten Unternehmensdaten ins Visier zu nehmen. Die Methode wird allgemein als „Whale Phishing“ oder auch „Whaling“ bezeichnet.
Das Sicherheitsunternehmen Digitalis hat herausgefunden, dass Angreifer die sozialen Medien nutzen, um die Gewohnheiten dieser speziellen Opferklientel besser zu verstehen. Nehmen wir an, das potenzielle Opfer interessiert sich für eine Sportart wie Kricket. Dann konzipiert der Hacker eine E-Mail-Nachricht, die sich auf genau dieses Kricket-Match bezieht. Die Absenderadresse ist so manipuliert, dass sie von einem Geschäftspartner zu kommen scheint, in Wirklichkeit befördert sie aber eine schädliche Fracht direkt in den Posteingang der betreffenden Führungskraft. Sozusagen die Business-Class-Variante des gemeinen Phishing-Angriffs.
Eine Führungskraft hat potenziell besonders wichtige und sensible Daten gespeichert oder kann auf sie zugreifen. Das macht Whaling so interessant für einen Angreifer. Es sind eben nicht die durchschnittlichen PII-Daten, die bei den üblichen Datenschutzverletzungen erbeutet werden, sondern in aller Regel wertvolles geistiges Eigentum und hoch vertrauliche Daten zu Geschäftsprozessen, Schlüsselkunden und -kontakten, vertrauliche Finanzdaten oder E-Mails mit kompromittierenden Inhalten. Genau die Art von Informationen, die sich an die Konkurrenz verkaufen lässt oder die sich besonders gut für eine Ransomware-Attacke mit einer entsprechend hohen Lösegeldforderung eignet.
Eine Phishing-Attacke funktioniert umso besser, je mehr der Angreifer über das potenzielle Opfer weiß. Auf welchen Link würde man wohl eher klicken: eine E-Mail des nigerianischen Finanzministers bei der es um eine Geldanweisung geht oder doch eher auf den Link, der von der eigenen, lokalen Bankfiliale zu kommen scheint und in der man Sie um eine Klärung in Bezug auf Ihr Konto bittet (und Sie dazu das angehängte PDF öffnen müssten)?
Und Digitalis hat noch etwas herausgefunden. Führungskräfte sind, was die Einstellungen der Privatsphäre beispielsweise auf Facebook oder in anderen (sozialen) Netzwerken anbelangt, nicht besser als der Durchschnitt. Weniger als die Hälfte der von Digitalis befragten Führungskräfte schränken die Zahl derer ein, die ihr komplettes Profil einsehen können, nur 36 % gehen sorgsamer mit ihren Einstellungen zur Privatsphäre um.
Sollten Führungskräfte also gänzlich darauf verzichten soziale Medien zu nutzen?
Es gibt Experten, die davon ausgehen, dass in diesem Fall Hacker die Arbeit für sie erledigen und mit Hilfe einer gefälschten Identität selbst ein Konto anlegen. Eine Methode, die das Potenzial für ausgefeilte Phishing-Angriffe hat. Es ist also durchaus empfehlenswert, dass sich Führungskräfte selbst um ihre Identität in sozialen Medien kümmern. Allerdings sollten sie, wie jeder andere von uns auch keinesfalls mehr Daten als unbedingt nötig preisgeben. Ganz ähnlich wie in der Welt der Dateisysteme sollte man auf Einstellungen wie „jeder“/“alle“ komplett verzichten und den Kreis der Berechtigten auf „Freunde“ beschränken. Anbieter von sozialen Netzwerken sind nicht unbedingt dafür bekannt, die Einstellungen zur Privatsphäre besonders zu schützen. Eher im Gegenteil. Man sollte also sein Konto dahingehend regelmäßig überprüfen.
Sicherheitsexperten haben immer wieder darauf hingewiesen, dass soziale Netzwerke absichtlich bestimmte Informationen standardmäßig weitergeben. Zu diesen Informationen gehört typischerweise wer welche Freunde hat. Selbst wenn die Einstellungen restriktiver gesetzt werden, bekommt ein Angreifer immer noch eine ganze Reihe sehr brauchbarer Informationen frei Haus geliefert und kann recht gute Rückschlüsse auf Gewohnheiten, Interessen und Vorlieben einer Führungskraft ziehen.
Es gibt leider keine einfachen Antworten darauf wie man Führungskräfte in einem Unternehmen am besten schützt. Dieses Problem unterscheidet sich nicht grundlegend von einem grundsätzlichen: Hacker werden es immer schaffen in ein Netzwerk zu gelangen. Dann ist es umso wichtiger unübliche System- und Dateiaktivitäten so frühzeitig wir möglich aufzudecken. Das geht aber nur dann, wenn man diese Aktivitäten kontinuierlich überwacht.
Die Umfrageergebnisse von Digitalis bestätigen, dass es in jedem Falle sinnvoll ist IT-Sicherheitsressourcen dazu einzusetzen, die Dateiaktivitäten von Führungskräften unter die Lupe nehmen. In Großunternehmen und Konzernen bietet es sich sogar an, einen speziellen „Sicherheitsdienst“ innerhalb der IT-Abteilung für genau diesen Zweck abzustellen. So oder so sollte man jeden Alarm und sämtliche Benachrichtigungen, die Konten von Führungskräften betreffen, ernst zu nehmen und nicht als „false positives“ ignorieren. Hier macht es Sinn jede einzelne Aktivität zu untersuchen bis die Ursache gefunden ist.