Klassische Phishing-Simulationen sind tot, lang lebe der Phishing Drill 

Was sind Phishing-Simulationen und welchen Zweck haben sie bisher verfolgt? 

Phishing-Simulationen werden bisher als eine etablierte Methode eingesetzt, um Mitarbeitende gegenüber der Gefahr, welche von potentiell schädlichen E-Mails ausgeht, zu sensibilisieren und zu schulen.   

Bei klassischen Phishing-Angriffen per E-Mail wird ein Szenario ausgearbeitet, welches einer tatsächlichen E-Mail sehr nahekommt. Allerdings verweist der Link nicht auf die zu erwartende Website, sondern auf eine präparierte nachgebaute Seite eines Angreifers. Dies verfolgt den Zweck, Nutzerdaten abzufangen und für weitergehende Angriffe zu nutzen. 

Die sogenannte Phishing-Simulation verfolgt denselben Zweck. Hierbei folgt allerdings kein Angriff auf das Unternehmen, sondern ein Bericht entsteht, welcher die Ergebnisse der Simulation aufarbeitet. Mit diesem Bericht soll ein Unternehmen zum einen ein Gefühl dafür bekommen, wie die Mitarbeitenden auf Phishing-E-Mails reagieren, zum anderen um einen Überblick zu erhalten, wie gefährdet Sie durch Phishing sind. Dazu sei kurz erwähnt: Am Ende kann eine Reaktion auf eine Phishing-E-Mail, z. B. die Eingabe valider Zugangsdaten, ausreichen, um einen Angriff auf das Unternehmen erfolgreich zu machen. Es sollten immer weitere Maßnahmen getroffen werden, um das Unternehmen abzusichern. Beispielsweise sei hier zu nennen: Der Aufbau einer Zero-Trust-Architektur, Einsatz von Multifaktor-Authentifizierung etc. 

Warum sind klassische Phishing-Simulationen doch nicht so vielversprechend wie bisher erwartet? 

Eine kürzlich veröffentlichte Studie, über die Heise bereits berichtet hat, legt nun den Schluss nahe, dass Phishing-Simulationen, wie sie bisher durchgeführt wurden, doch nicht so vielversprechend sind, wie häufig behauptet. Die Ergebnisse der Studie legen nahe, dass Phishing-Simulationen nur zu einem sehr geringen Grad als alleinstehende Awareness-Maßnahme weiterhelfen. 

Aber was bedeutet das nun genau? Sollte gänzlich auf Phishing-Simulationen verzichtet werden, oder muss die Erwartungshaltung an Phishing angepasst werden? 

Die Autoren haben in einer Phishing-Simulation mit ca. 19.500 Mitarbeitenden monatlich Phishing-E-Mails an alle Mitarbeitenden versendet und dabei die Effektivität verschiedener Schulungsmaterialien, welche direkt nach einem Klick auf den präparierten Link angezeigt wurden, untersucht. Dabei zeigen sie auf, dass der Schulungserfolg durch Phishing-Simulationen, wider der bisherigen Erwartung, nicht oder nur minimal gegeben ist. Im Vergleich der verschiedenen Kampagnen über einen Zeitraum von acht Monaten konnte keine signifikante Änderung des Klickverhaltens der Mitarbeitenden dokumentiert werden. Ein Vergleich des Durchführungsdatums einer jährlichen webbasierten Sicherheitsschulung mit dem Klickverhalten einzelner Mitarbeitenden zeigte, dass solche Trainings nahezu keinen Einfluss auf die Awareness der Mitarbeitenden hatten. Interaktives Trainingsmaterial, welches nach einem Klick angezeigt wurde, konnte zur Steigerung der Awareness beitragen, jedoch wurde dieses Trainingsmaterial in den allermeisten Fällen nicht betrachtet. 

Deshalb sollten Phishing-Simulationen nur als ein Bestandteil eines Gesamtkonzepts für Awareness betrachtet werden. Um die Sicherheit unmittelbar zu erhöhen, sollte auf technische Maßnahmen gesetzt werden. Beispielsweise kann man mit der Verwendung von FIDO2 bzw. dem Einsatz von Passkeys die Möglichkeit eines Phishing-Angriffs zum Abgreifen von Zugangsdaten eliminieren. Jedoch sollte der Faktor Mensch dadurch nicht außer Acht gelassen werden, da mittels Phishing nicht nur Passwörter abgegriffen werden können. Durch Social Engineering könnten Mitarbeitende in schadhaften Mails oder in Telefonanrufen beispielsweise dazu bewegt werden, Überweisungen zu tätigen oder schadhaften Code auszuführen. Der Modus, wie geschult wird, muss sich also ändern.  

Es sollte allen Personen im Unternehmen klar sein, worauf es bei E-Mails zu achten gilt und vor allem, welche Möglichkeiten es im Unternehmen gibt, um Phishing E-Mails zu melden oder prüfen zu lassen. Hierzu sollte eine niederschwellige Lösung wie z. B. ein extra Button im E-Mail-Client verfügbar sein. Eine kurze Zeit bis zur ersten Meldung und eine hohe Melderate sind ausschlaggebend, damit ein Unternehmen schnell auf Phishing-Angriffe reagieren und Schäden abwenden kann. 

Wofür können Phishing-Simulationen trotzdem noch verwendet werden? 

Bisher wurden Phishing-Simulationen als Schulungsmaßnahme betrachtet, welche eingesetzt wird, um den Mitarbeitenden eine reale Erfahrung in einer geschützten Umgebung zu bieten. Dabei haben die Mitarbeitenden die Möglichkeit, Fehler zu machen, ohne Konsequenzen zu fürchten. Es wurde bisher davon ausgegangen, dass die direkte Präsentation von Schulungsmaterial nach dem Fehlverhalten einen erhöhten Schulungseffekt im Vergleich zu normalen Schulungen hat. Der Weiterbildungsaspekt tritt bei solchen Simulationen als alleinstehende Maßnahme allerdings nicht wie gewünscht ein. 

Nichtsdestotrotz kann ein Unternehmen durch Phishing-Simulationen weiterhin interessante Einsichten erhalten, gerade um einen ersten Überblick über die Resilienz zu bekommen. Die Szenarien sollten jedoch individuell auf den Kunden und die gewünschten Zielgruppen abgestimmt sein. Wenn in den Phishing-Simulationen im Gegensatz zur Studie auch die Login-Eingabe-Rate und die Melderate erhoben werden, kann ein sinnvoller Überblick über die potenziellen Auswirkungen eines Phishing-Angriffs aufgezeigt werden. Eine möglichst hohe Melderate ist für die IT-Abteilung wichtig. Nur so kann beispielsweise entschieden werden, ob eine kurzfristige Kommunikation an alle Beschäftigten notwendig ist. Hierbei sind insbesondere eine kurze Zeit bis zur ersten Meldung und wohldefinierte nachgelagerte Prozesse notwendig, um schnell agieren zu können und Schaden durch übermittelte Zugangsdaten einzugrenzen. 

Auch hierbei sei gesagt, natürlich handelt es sich bei den Ergebnissen einer Phishing-Simulation lediglich um eine grobe Momentaufnahme. Verminderte Klickrate durch Abwesenheiten, eine interne Kommunikation über Phishing-Aktivitäten oder das Klicken und Eingeben von Daten aus Neugierde können die Ergebnisse verfälschen. Dennoch kann die Simulation mit begleitender Kommunikation das Thema Phishing bei den Mitarbeitenden in Erinnerung rufen. 

Gibt es Alternativen zu klassischen Phishing-Simulationen? 

Wenn Phishing-Simulationen nun nicht die Erwartungen erfüllen können, die man sich wünscht: Gibt es Alternativen, die einen anderen Ansatz verfolgen? 

Tatsächlich gibt es eine ähnliche Schulungsmaßnahme mit einem anderen Ansatz. Im Security Blog von Google wurden sogenannte Phishing Drills vorgeschlagen. Bei einem Phishing Drill ist der Aufbau der Maßnahme im ersten Schritt ähnlich. Der oder die Mitarbeitende erhalten eine E-Mail. Diese E-Mail enthält allerdings eine klare Aussage: „Ich bin eine Phishing-E-Mail!“ und „an den folgenden Kriterien kann dies festgestellt werden“. Des Weiteren wird den Mitarbeitenden der interne Meldeweg erklärt und sie werden animiert, den Meldeweg für diese E-Mail einmal praktisch zu üben, um den Ablauf im Umgang mit erkannten Phishing E-Mails zu verinnerlichen. Bei klassischen Phishing-Kampagnen interagieren üblicherweise ausschließlich die Mitarbeitenden mit dem Schulungsmaterial, welche auf die simulierte Phishing-E-Mail hereingefallen sind. Diese Thematik wird auch in der genannten Studie adressiert. Ein Phishing-Drill wirkt dem entgegen, indem alle Mitarbeitenden in die Maßnahme einbezogen werden. Er kann wie eine Brandschutzübung verstanden werden, in der die Mitarbeitenden die relevanten Meldewege und Prozesse in Erinnerung rufen und aktiv durchlaufen. 

Insgesamt können klassische Phishing-Simulationen alleinstehend keine umfassende Wirkung entfalten. Auf die jeweilige Umgebung abgestimmte Kampagnen sollten vielmehr als Teil eines übergeordneten Ansatzes mit weiteren Maßnahmen, wie dem Schaffen einer guten Meldekultur ohne ein Gefühl der Angst, ausgereiften und zielgruppenorientierten Schulungsformaten, Phishing-Drills und einer bewussten internen Kommunikation, angesehen werden. 

Referenzen:

Passt das Passwort noch?

Am 4. Mai war der Welt-Passwort-Tag – nicht zu verwechseln mit dem eher umstrittenen Ändere-Dein-Passwort-Tag am 2. Februar. Aber eigentlich ist doch jeder Tag irgendwie ein Passwort-Tag – oder wann haben Sie zuletzt einen Tag ohne eine Passworteingabe verbracht?

Vielleicht gibt auch Ihr Passwortmanager die meisten Passwörter für Sie ein? Eine bequeme Option, für jeden Dienst ein eigenes Passwort zu nutzen. Aber ist die Datenbank dahinter auch sicher abgespeichert? In unserem Januar-Digest hatten wir ja bereits über Vorfälle bei Passwortmanagern berichtet. Bei der unvorhersagbaren Passwortgestaltung sind die Tools deutlich im Vorteil gegenüber Menschen, deren Passwörter häufig erraten werden können. Diese Woche wagte Aaron Toponce einen Blick in die Passwortgenerierungs-Funktion der LastPass-Weboberfläche und fand gleich mehrere Indikatoren für einen nicht ganz so zufälligen Zufallszahlengenerator (die Zeit als Seed und RC4 als Algorithmus). Derart generierte Passwörter sind auch nicht trivial vorhersagbar, aber doch etwas leichter zu erraten als wirklich zufällige.

In unseren Pentests sind Mängel in der Passwortstärke oder der Speicherung einer der fünf häufigsten Befunde, die eine Kompromittierung des Active Directory ermöglichen. Auch ohne Netzwerkzugang kann man an Passwörter gelangen, zum Beispiel durch Schulter-Surfen, Fingerabdrücke auf Touchscreens oder Wärmebilder von Tastaturen. Den letzten Ansatz haben kürzlich Forscher an der Universität Glasgow mit KI-basierten Bildauswertungen noch weiter optimiert und konnten sogar eine Minute nach dem Eintippen kurze Passwörter mit 80 % Erfolgsrate aus den Wärmebildern ableiten. Die Forscher haben noch viele weitere Einflussfaktoren getestet – von der Passwortlänge über die Tippgeschwindigkeit bis zum Material der Tastatur.

Geht es denn wirklich nicht ohne Passwörter? Klar, sagt die FIDO Alliance, die zusammen mit dem W3C schon 2015 den FIDO2-Standard u. a. für Anmeldungen bei Webanwendungen ohne klassische Passwörter definiert hat. Seit letztem Jahr nimmt das Thema deutlich Fahrt auf, weil Apple, Google und Microsoft unter dem Stichwort PassKey die Unterstützung prominent in ihre Endgeräte und Browser einbauen.

Doch lieber Zettel unter der Tastatur? Sicherheitslücken in Passwortmanagern

Natürlich ist das berühmte (und leider auch in einigen unserer Audits anzutreffende) Post-it am Monitor oder unter der Tastatur keine Lösung zum Speichern von Passwörtern. Passwortmanager sind angetreten, um das Problem zu lösen, dass sich Menschen nur wenige technisch sichere Passwörter merken können. Auch wir empfehlen die Nutzung regelmäßig, da so für jeden Dienst und jedes System ein individuelles, und vor allem auch bei Brute-Force-Angriffen sicheres Passwort leicht erzeugt werden kann. Gleichzeitig wird der Passwortmanager damit zu einem Generalschlüssel und lohnenden Ziel für Angreifer – ein neues Risiko, das man berücksichtigen muss.

Mehrere Vorfälle in der Vorweihnachtszeit haben gezeigt, wie real dieses Risiko werden kann. Die meiste Beachtung fand der Sicherheitsvorfall beim Anbieter LastPass. LastPass informierte die Nutzer bereits im August über den Vorfall. Zum damaligen Zeitpunkt ging man aber davon aus, dass die Angreifer zwar Zugriff auf Entwicklersysteme hatten, Nutzerdaten und gespeicherte Passwörter aber nicht betroffen waren. Im Dezember musste LastPass nun auch Zugriffe auf Back-ups von Kundendaten einräumen. Die Passwortdatenbanken lassen sich zwar nur mit Kenntnis des Master-Passworts des jeweiligen Nutzers öffnen. Aber damit sind wir wieder beim initialen Problem: Menschen sind meist nicht gut im Ausdenken und Merken von technisch sicheren Passwörtern.

Das Risiko besteht nicht nur bei Online-Passwortmanagern: Die Kollegen von ModZero fanden bei der OnPremise-Lösung PasswordState gleich mehrere Lücken. Kombinierte ein Angreifer ohne Zugangsdaten diese geschickt, konnte er beliebige Zugangsdaten auslesen und auch überschreiben. Die Lücken sind bereits behoben – wenn man das Update von Anfang November eingespielt hat.

https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/

https://www.modzero.com/modlog/archives/2022/12/19/better_make_sure_your_password_manager_is_secure

Passwort-Audits

Seit vielen Jahren beobachten wir problematische Trends bei der Verwendung von Passwörtern. Ob bei Incident Response Einsätzen oder bei Penetrationstests – zu schwache Passwörter sind in den heutigen IT-Umgebungen noch viel zu häufig der entscheidende Knackpunkt, der zwischen Erfolg und Misserfolg eines Angriffs entscheidet.

Das wissen auch die Angreifer, und so ist wohl jeder über das Internet erreichbare Server ständigen Brute-Force-Angriffen ausgesetzt. Teilweise entwendet Schadsoftware auch nach einem erfolgreichen Angriff weitere Active Directory Passwort-Hashes, um zusätzliche Zugriffsmöglichkeiten in der Zukunft zu sichern, wie Anfang des Jahres bei Trickbot beobachtet wurde.

Leider bilden Passwörter aber noch bei vielen Systemen und Anwendungen den einzigen Schutz vor unbefugten Angreifern. Die im Windows Active Directory eingebauten Komplexitätsregeln bieten nur eine geringe Hilfestellung bei der Wahl eines sicheren Passworts und sind in der Praxis nicht ausreichend.

Auch wo theoretisch die Einführung von 2-Faktor-Authentifizierung möglich wäre, gestaltet sich die praktische Umsetzung oft schwieriger als erhofft und wird daher verschoben.

Um Kunden einen Überblick über die Passwort-Qualität der von den eigenen Mitarbeitern verwendeten Passwörter zu geben, führt HiSolutions deswegen praktische Prüfungen der Passwortqualität durch. Dafür verfügen wir über ein Labor mit Spezialhardware für das Durchführen von hochparallelisierten Angriffen zur Ermittlung von Kennwörtern. Das System wurde in einer Vielzahl von Penetrationstests und Passwort-Prüfungen erfolgreich eingesetzt. Der Angriffsprozess wird dabei stetig weiterentwickelt und an neueste technische und organisatorische Erkenntnisse angepasst. Das System ermöglicht es, mehrere hundert Milliarden Password-Kandidaten pro Sekunde auszuprobieren.

Bei einer praktischen Prüfung der Passwortqualität werden die Passwort-Hashes von den Domänen-Controllern extrahiert und auf das Spezialsystem bei HiSolutions übertragen. Dort wird dann versucht, in vorgegebener Zeitspanne so viele Passwörter wie möglich zu ermitteln. Bei Bedarf, z.B. wenn die Daten das Netzwerk unter keinen Umständen verlassen dürfen, kann das Spezialsystem der HiSolutions auch in die Räumlichkeiten des Auftraggebers transportiert und dort angeschlossen werden.

Dazu werden unter anderem eine Vielzahl an Wörterbüchern, öffentlichen Passwort-Listen, speziellen Passwort-Regeln und -Masken und eine Kombination verschiedener Angriffsmethoden verwendet. Die verwendeten Regelwerke und Angriffsmethoden werden in Abhängigkeit von den erzielten Ergebnissen kontinuierlich manuell nachjustiert. Zudem werden auftraggeberspezifische Informationen wie beispielsweise spezielle Wörterbücher und bereits ermittelte Passwörter in die weiteren Angriffe einbezogen.

Die Ergebnisse der Prüfung werden im Anschluss ausgewertet und bewertet. Die daraus getroffenen Einschätzungen und Ergebnisse werden mit geeigneten Handlungsempfehlungen zur Verbesserung der organisatorischen und technischen Vorgaben für den Passworteinsatz in einem Prüfbericht dokumentiert. Der Auftraggeber erhält zusätzlich die Liste der Accounts mit gebrochenen Passwörtern, damit diese im Anschluss geändert werden können. Die gewonnenen Klartext-Passwörter werden aus Datenschutzgründen und gegebenenfalls enthaltenen sensiblen Daten grundsätzlich nicht offengelegt. Alle Passwort-Hashes und Klartext-Passwörter werden nach Abschluss des Projekts von den Systemen der HiSolutions sicher gelöscht.