HMDATA Datenschutz-Newsletter 05/22
Schon wieder Datenschutz und E-Mail?
HMDATA Datenschutz-Newsletter 05/2022, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024
Ja, leider. Denn die Datenpannen sind nicht weniger geworden, die Angriffsszenarien um so mehr. Empirisch aus dem Alltag ist in letzter Zeit auch der Anteil an durch E-Mail verursachten zu bearbeitenden Datenpannen von 70% auf 80% gestiegen.
Und das, obwohl Abhilfe zur erheblichen Reduktion so leicht wäre: Aufmerksamkeit und Sensibilisierung.
Da helfen auch alle anderen "Spezial"-Themen zur IT-Sicherheit und zum Datenschutz nichts, wenn man den E-Mail-Verkehr nicht in den Griff bekommt.
Ein paar Fakten zum Thema
Täglich werden in Deutschland ca. 3.4 Mrd. E-Mails pro Tag versendet, davon werden nach Filterung ca. 600 Mio. E-Mails zugestellt, die Öffnungsrate zugestellter E-Mails beträgt ca. 50%.
D.h. ca. 300 Mio. E-Mails werden täglich gelesen, bei geschätzten 25 Mio. Arbeitnehmern mit täglichem E-Mail-Zugang und einem angenommenen Privatanteil von 33% hat jeder Beschäftigte ca. 8 Mails pro Tag im beruflichen Kontext zu bearbeiten, mehr oder weniger, es kommt nicht auf die genaue Zahl sondern die Größenordnung an.
Dabei kann jede E-Mail einen durchaus geschickt gemachten Angriffsvektor durch Phishing oder kompromittierter Links enthalten.
Woher kommen Phishing-Mails
Da gibt es zum Einen die Werbeindustrie, die auf mehr oder weniger legale Weise Spams versendet. Hier geht es meist um Profilbildung (E-Mail-Account existiert oder Nutzer antwortet, Nutzer hat Interesse am Thema XYZ, Klick-Phishing im niedrigsten Promille-Bereich durch millionenfachen Massenversand, ...). Für den kriminellen Schwarzmarkt oder unkontrollierte Werbung (meist aus dem Ausland, da hierzulande das UWG recht gut schützt) sind das in großer Anzahl durchaus Daten, die einen handelbaren Wert darstellen.
Zum Anderen kann es sich auch um kriminelle Versuche handeln, Schadsoftware in Systeme einzuschleusen (Soft-Target in Verbindung mit schlecht gesicherter IT), meist als Kollateralschaden in Folge technischer Kompromittierbarkeit.
Welche Themen werden verwendet?
Das reine Anzeigen einer eingegangenen Mail ist bei korrekt eingestellten und aktuell gewarteten E-Mail-Programmen meist ungefährlich. Es gilt also, den Benutzer zu einer Aktion zu motivieren: Klick auf Link, Öffnen von Attachment oder Beantworten und Versand an den Absender.
Das geschieht um so mehr, je mehr der Nutzer am Thema interessiert ist: aktuelle oder verlockende Themen sind hier an der Tagesordnung. Oder auch geschickt manipulierte E-Mails aus dem privaten oder beruflichen Kontext des Nutzers. Mittels Algorithmen aus der künstlichen Intelligenz können hier hochprofessionelle individuelle Themen für einzelne Nutzergruppen generiert werden.
Wie sehen die Angreifer aus?
Auch hier gibt es unterschiedliche Motivationen: Spam-Versender sind die harmlosesten, das funktioniert immer nur nach dem Motto "Ist die Anzahl groß genug, findet sich immer ein Dummer!"
Ernst zu nehmen sind die professionellen Kriminellen, die es auf die Ressourcen des Nutzers abgesehen haben: Übernahme und Ausnutzen von IT-Ressourcen für spätere kriminelle Aktionen (Bot-Netze) oder monetarisieren durch Ransomware-Erpressungen, also dem Entzug des Zugriffs des Nutzers auf seine Daten.
Hier sind durchaus Organisationen mit staatlichem Hintergrund bzw. zumindest deren Duldung aktiv, die auf enorme Ressourcen und Know-How zugreifen können. Leider erfolgen Angriffe auch nach dem Motto, wenn nur genügend viele Nutzer attackiert werden, ist der Richtige irgendwann auch dabei. D.h. um einen spezifischen Nutzer zu schaden wird millionenfacher Kollateralschaden in Kauf genommen. Und auch wenn das Ziel nur lohnenswert genug erscheint, wird unter dem Deckmantel der Anonymität auch nicht vor Auswirkungen auf physisches menschliches Leid Rücksicht genommen, wie Angriffe auf Krankenhaus- oder Infrastruktursysteme zeigen.
Wie sehen die Angriffe aus?
Diese folgen immer nach dem gleichen Muster: schlechte IT trifft auf sorglose bzw. naive Nutzer. Ziel ist es also, unter Ausnutzung von Naivität, Neugier oder Unkenntnis von Nutzern diese auf manipulierte Websites zu locken oder Attachments mit Schadsoftware öffnen zu lassen. Sobald eine derartige Aktion ausgeführt ist, wird unter Ausnutzung von Sicherheitslücken (meist veraltete ungewartete Software-Komponenten) eine kleine Schadsoftware installiert, die bildlich gesprochen mit einem Ohr im Internet lauscht und auf Zuruf beliebige Software nachlädt und auf dem kompromittierbaren System zur Ausführung bringt. Interessant ist dabei, dass man vermutlich nur selten Opfer eines gezielten Angriffs wird, sondern viel eher Kollateralschaden zu beklagen hat oder automatisiertes Opfer durch schlecht gewartete oder installierte IT wurde.
Schlecht gewartete oder alte Systeme werden durchaus auch automatisch ohne Zutun eines Nutzers gehackt.
Was passiert dann?
An Daten des Nutzers zu gelangen, ist nur ein Ziel, es ist also nicht damit getan, die Gefahr zu ignorieren, weil "man nichts zu verbergen hat". Auch die Ausnutzung von kostenintensiven IT-Ressourcen des Angegriffenen zur Beteiligung an kriminellen Tätigkeiten (Spam- oder anonymer Mail-Versand, Exit-Point eines Angriffs-Szenarios, Bitcoin-Mining, Beteiligung an DDoS-Attacken usw.) sind hochinteressante Ziele. Dabei wird auch weiterer Kollateralschaden an den IT-Systemen und Daten des Nutzers billigend in Kauf genommen.
Ein anderes Ziel wäre auch, Daten des Nutzers unbemerkt zu entwenden oder zu verschlüsseln. Je nach Qualität des Angriffs und Professionalität der Nutzer-IT findet dies durchaus unbemerkt statt. Beispielsweise würde eine aktivierte "gute" Ransomware-Attacke die Spuren des Angriffs verwischen und erst nach 8 oder 12 Wochen aktiv werden, wenn auch das letzte Backup mit dem Virus verseucht ist.
Was macht der Benutzer?
Statistiken aus Awareness-Tests lassen kein gutes Licht auf den Durchschnitts-Nutzer scheinen: bei manipulierten E-Mails ist eine Klickrate von 28.6% gemessen worden. Davon gaben bei entsprechenden manipulierten Seiten 74% aktiv Eingaben zur Person oder dem Unternehmen ein. Bis zu 15% gaben Login-Daten eines Accounts auf den gefakten Seiten ein.
Dabei hat ein pandemiebedingter Trend leider auch noch zur Dynamik beigetragen: während im Büro Öffnungsraten von ca. 15% gemessen wurden, sind diese im HomeOffice doppelt so hoch. Das ist vermutlich der "vertrauten Atmosphäre" und weniger technischer Vorsorge geschuldet.
Was kann man nun tun?
Wie anfangs erwähnt: 0% sind nicht zu schaffen, aber man kann effizient an der Risikominimierung arbeiten, was einen enormen Schritt bedeuten würde. Irgendwann wird das Massengeschäft auch für die Angreifer zu teuer, wenn der Erfolg ausbleibt.
Faktor Technik bekommt man durch eine professionell gewartete Sicherheits-Architektur mittels Firewall und einem regelmäßigen kontinuierlichen Update-Wartungsplan der gesamten IT in den Griff. Eine ausreichende und aktuelle Dokumentation ist hierbei unerlässlich. Bleibt noch der Faktor "Soft-Target", der Nutzer.
Ein bewährtes Mittel: die 5-Sekunden-Durchschnaufregel. Bevor man agiert, durchschnaufen, Kopf einschalten, Routinen vermeiden und im Zweifelsfall bei niedriger Bauchgrummeligkeitsschwelle nicht klicken und ggf. Fachmann fragen - vor Öffnung.
Technisch wäre das Wichtigste, unter dem Radar einfacher lohnenswerter Ziele zu fliegen, die automatisiert kompromittierbar sind.
Wie bekommt man Mitarbeiter zu einer Gewohnheitsänderung?
Die Antwort ist einfach und bekannt:
- ständige Sensibilisierug
- Training
Das Training kann ich in Form einer Online-Schulung anbieten, eine IT-Risikoanalyse auf Nachfrage vor Ort durchführen.
Was wäre der Erfolg der Prävention?
Auch hier gibt es Untersuchungen und Zahlen: bis zu 70% Reduktion sind machbar, wenn die IT passt und die Mitarbeiter geschult sind.
Das wäre ausreichend, um im Risikomanagement vom roten in den grünen Bereich zu wechseln.
Warum kann die Reduktion nicht um 100% erfolgen?
Dazu zwei Bonmots aus der Szene:
- Angreifer handeln nach Stand der Wissenschaft, die Abwehr erfolgt nach Stand der Technik
- Amateure hacken Systeme, Profis hacken Menschen.