Joerg Habermeier - stock.adobe.c
Dem Sicherheitsrisiko Phishing richtig begegnen
Phishing ist einer der bevorzugten Angriffsvektoren von Cyberkriminellen. Es liegt im Interesse von Anwendern, Unternehmen und Anbietern dieses Sicherheitsrisiko zu bekämpfen.
Phishing-Angriffe nehmen weiter zu – und dies ist ein ernsthaftes Problem. Die hohe Anzahl der Nutzer, die zu Opfern werden, und das Ausmaß der daraus resultierenden Kosten sind besorgniserregend. Laut dem Branchenverband Bitkom (PDF) zählen Phishing-Angriffe zu den größten Sicherheitsrisiken für Unternehmen. Jedes sechste Unternehmen in Deutschland kam demnach durch Softwareschwachstellen oder Phishing-Angriffen zu Schaden.
Insgesamt haben Phishing und andere Formen der Cyberkriminalität Unternehmen in den letzten zwei Jahren mehr als 43 Milliarden Euro gekostet.
E-Mails sind jedoch nach wie vor ein wesentliches Kommunikationsmittel für Unternehmen. Laut Untersuchungen der Unternehmensberatung absolit betreiben 95,4 Prozent der 5.000 Top-Unternehmen im deutschsprachigen Raum E-Mail-Marketing. Und auch die Endnutzer nehmen E-Mails gerne an: Laut einer Studie der Data & Marketing Association sehen 73 Prozent der Endnutzer E-Mail als ihren bevorzugten Kanal für Marketing-Kommunikation.
Welche Kosten verursachen Phishing-Angriffe für Unternehmen?
In Anbetracht der zunehmenden Bedrohung durch Phishing sind die Abwehrmaßnahmen eines Unternehmens unter Umständen entscheidend für seinen Erfolg oder sein Scheitern.
Die durchschnittlichen Kosten eines Phishing-Angriffs für ein Unternehmen mittlerer Größe werden auf etwa 1,6 Millionen US-Dollar geschätzt (ungefähr 1,44 Millionen Euro). Zudem werden diese Angriffe zunehmend ausgeklügelter. Laut dem Global Phish Report 2019 von Avanan konnte ein Viertel der weltweiten Phishing-E-Mails die Standard-Sicherheitseinstellungen von Office 365 umgehen.
Machine Learning als entscheidendes Abwehrinstrument
Es macht Hoffnung, dass nicht nur die schädlichen Angriffe, sondern auch die Abwehrmaßnahmen zunehmend raffinierter werden. Machine Learning (ML, maschinelles Lernen) ist eine wichtige Waffe im Arsenal der E-Mail-Anbieter, mit der sie Phishing-Angriffe abfangen, die Identifizierung beschleunigen und die zukünftige Schutzquote verbessern können.
Diese Funktion kann beispielsweise auf einem neuronalen Netzwerk basieren, das entsprechend trainiert wurde und das mit Hilfe generischer Wort-zu-Vektor-Vergleiche Muster identifiziert, die typischerweise mit Phishing in Verbindung stehen.
Machine Learning hilft, die Wahrscheinlichkeit zu ermitteln, mit der es sich bei einer E-Mail um eine Phishing-E-Mail handelt, da die ML-Tools lernen können, in großen Datenmengen Muster zu identifizieren.
E-Mails, die auffällige Muster beinhalten wie beispielsweise schlechtes oder grammatikalisch falsches Deutsch oder auffällige Absenderadressen wie „@yah00“ oder „@go0gle“ (auch als Cousin-Domains bezeichnet), die suggerieren, sie kämen von seriösen Anbietern wie Google und Yahoo, können dann automatisch blockiert werden.
Je mehr E-Mails verarbeitet werden, desto intelligenter werden diese Tools und umso besser können sie potenziell schädliche E-Mails identifizieren und abfangen. Alleine bei Twilio SendGrid werden durchschnittlich mehr als 50 Milliarden E-Mails pro Monat verarbeitet, es stehen also weltweit eine enorme Menge an Daten zur Verfügung, um diese Tools weiter zu optimieren.
Der menschliche Faktor
Die Mitarbeiter nehmen im Anti-Phishing-System weiterhin eine wichtige Rolle ein. Die vom ML-Netz abgefangenen E-Mails müssen von Menschen überprüft werden, um Ergebnisse zu identifizieren, die fälschlicherweise als positiv erkannt wurden.
Durch diesen manuellen Prozess wiederum wird das Machine-Learning-Tool intelligenter und genauer, und seine Fähigkeit zur Identifizierung von Phishing-Angriffen wird verbessert. So lassen sich die neuronalen Netzwerke entsprechend den sich stetig ändernden Phishing-Mustern trainieren und nachjustieren.
„Es liegt im Interesse aller Betroffenen – Kunden, Unternehmen und E-Mail-Anbieter –, dass Phishing durch Offenheit, Kreativität und Entschlossenheit erfolgreich bekämpft wird.“
Andreas Wienold, Twilio
Machine-Learning-Systeme sind jedoch nur so effektiv wie die Personen, die sie trainieren. Für den Schutz der Postfachsysteme ist das Zusammenwirken von Mitarbeitern und Machine-Learning-Netzwerken von entscheidender Bedeutung.
Wenn man sich vor Augen führt, dass es weltweit mehr als 5,5 Milliarden E-Mail-Konten gibt, kann man sich vorstellen, wie wichtig es ist, dass die einzelnen versendeten E-Mails keine Phishing-E-Mails oder zweifelhafte Absender beinhalten.
Transparenz als wichtiger Faktor für ein höheres Vertrauen in E-Mails
Um mehr Vertrauen zu schaffen, ist es wichtig, dass E-Mail-Anbieter – insbesondere Anbieter mit einem Self-Service-Modell – transparenter über ihre Erfolgsquote bei der Verhinderung dieser Angriffe und ihre Best Practices informieren.
Firmen können durch das Messen ihrer Erfüllungsquoten nicht nur den eigenen Erfolg ermitteln, sondern – und das ist viel wichtiger – sie können auch die potenziellen Risiken erkennen, denen sie und somit auch ihre Kunden ausgesetzt sind, und damit die Auswirkungen auf das Messaging-Ökosystem vorhersagen.
Das Vertrauen der Kunden in das Kommunikationsmittel E-Mail lässt sich nur durch eine höhere Transparenz verbessern, und die gesamte Kommunikationsbranche muss diesen „Call to Action“ aufgreifen, damit es funktioniert. So wie SaaS-Anbieter die Betriebszeit als Kennzahl für die Stabilität bekannt geben, sollten E-Mail-Anbieter die Wirksamkeit ihrer Anti-Phishing-Maßnahmen messen und kommunizieren.
Eine aussichtsreiche Zukunft
In Bezug auf Phishing befinden wir uns derzeit an einer wichtigen Wegscheide: E-Mail als der weltweit am häufigsten genutzte digitale Kommunikationskanal ist für Cyberkriminelle ein attraktives Instrument für Angriffe auf die Nutzer. Da jedoch Phishing inzwischen immense Kosten verursacht und große Datenpannen auch viel Aufmerksamkeit in der Öffentlichkeit erregen, wird das Problem aktuell vermehrt in Angriff genommen, und die Fortschritte sind Erfolg versprechend.
Es liegt im Interesse aller Betroffenen – Kunden, Unternehmen und E-Mail-Anbieter –, dass Phishing durch Offenheit, Kreativität und Entschlossenheit erfolgreich bekämpft wird. Nur auf diese Weise ist eine Zukunft ohne Phishing möglich.
Über den Autor:
Andreas Wienold ist Regional Director DACH bei Twilio.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.