Vorschlag für eine Produkt-Innovation
Version 1.0.2/4.4, 05.09.2024
Der Umfang, in dem Pflichtschulungen in Unternehmen Spear-Phishing thematisieren (das sich primär an wenig technikaffine potentielle Opfer richtet), steht in einem auffälligen Gegensatz zum Fehlen technischer Maßnahmen, um diese Bedrohung zu entschärfen. Diese Angriffe sind so selten, dass es gewagt erscheint, sich allein auf jährliche belehrende Videos zu verlassen.
Die technische Untätigkeit erscheint insbesondere deshalb unverständlich, weil einerseits Gegenmaßnahmen leicht technisch umgesetzt werden können und es andererseits geradezu lächerlich ist, von nicht technikaffinen Leuten zu erwarten, dass sie E-Mail-Headerzeilen sichten.
Der Mailclient, der ganz alltägliche Umgang mit E-Mail (und ggf. anderen Kommunikationsdiensten) sollte den Anwendern eine gute Orientierung dafür geben, was in bezug auf Authentizität von einer konkreten E-Mail zu halten ist.
Auf diese Weise können die Anwender das notwendige Wissen kaum vergessen, und alle profitieren von dem an einer Stelle gesammelten Know-How (der Konfiguration der Sicherheitsmaßnahmen).
Durch wirksame Gegenmaßnahmen mögen nicht nur die Erfolgsaussichten von Spear-Phishing sinken, sondern auf Grund der reduzierten Erfolgsaussichten auch deren Häufigkeit, so dass die Unternehmen doppelt profitieren.
Ein positiver Nebeneffekt wäre, dass die Schulungen zum Thema (von denen die meisten Mitarbeiter eher genervt sein dürften) wegfallen oder zumindest erheblich verkürzt werden können.
Ein naheliegender Ansatz ist, den Anwendern nicht mehr alle Nachrichten unterschiedslos auf demselben Weg zuzustellen und die Bewertung allein den Empfängern zu überlassen, sondern E-Mail, die nach technischen Kriterien vom Mailsystem kategorisiert wurde, entweder an unterschiedliche Mailaccounts zuzustellen (was mehr Aufwand wäre, aber zusätzliche Optionen eröffnen würde, etwa die unterschiedliche Handhabung von Antworten; außerdem wäre die Kategorisierung nach manuellem Einsortieren immer noch klar) oder an unterschiedliche Posteingangs-Ordner innerhalb desselben Accounts.
Die Anzahl der genutzten Kategorien sollte der Anzahl unterschiedlicher (maximaler) Reaktionen entsprechen und nicht höher sein als die Anzahl der klaren technischen Unterscheidungen. Alles darüber hinaus dürfte die Anwender nur verwirren und abschrecken, zumal das Vorhandensein einer Mailbox, in der jahrelang nichts landet, das System wahrscheinlich nicht sonderlich gut durchdacht erscheinen lässt.
Die konkrete Unterteilung mag von der jeweiligen Organisation und vielleicht auch von der Position des Empfängers abhängen. Folgendes erscheint allgemein sinnvoll:
Die E-Mail ist mit einem bekannten Schlüssel signiert (und der Mail-Absender ist der im Zertifikat)
Die E-Mail kommt aus dem Unternehmen (hier kann man noch unterscheiden zwischen normalen und kritischen Mails, an deren Versand man besondere Anforderungen stellen möchte)
Die E-Mail kommt von außerhalb, aber der Absender oder die Absenderorganisation ist bekannt und einigermaßen verlässlich verifiziert
Der Absender ist unbekannt oder unverifiziert
Der Absender oder Inhalt ist konkret verdächtig (etwa wegen Namen von Vorgesetzten)
Wenn in einer Kategorie nur selten Mails zugestellt werden, etwa konkret verdächtige Mails, dann bietet es sich an, vor dieser Mail eine automatische Mail mit Hinweisen zu dieser Kategorie zu verschicken, etwa mit Hinweisen auf verbindliche Regeln der Organisation, den Folgen von Verstößen gegen diese Regeln und Ansprechpartner, mit denen man die Angelegenheit besprechen kann (auch ohne den konkreten Inhalt der Mail offenzulegen).
Am einfachsten (mit dem geringsten Aufwand pro Mailbox) wäre dies für Anbieter von E-Mail-Diensten umzusetzen.
Die einfachste Möglichkeit für Organisationen, so etwas in ihrer selbstbetreuten Mailinfrastruktur zu nutzen, wäre, dass jemand für verbreitete E-Mail-Systeme eine entsprechende Erweiterung anbietet, die eine einfache Konfiguration ermöglicht:
Welche Mailboxen sollen entsprechend geschützt werden?
Welche Kategorien mit welchen Regeln sollen genutzt werden?
Was sind die akzeptierten (CA-)Zertifikate, DKIM-Schlüssel, Mailserver?
Ein Kompromiss zur Aufwandsminimierung wäre, die gefährdetsten Mailaccounts in eine Subdomain auszugliedern, so dass nur diese wenigen Mailaccounts von einem Dienstleister betreut werden, der diese Technik anbietet, während die Masse der Mailboxen unverändert in der eigenen Infrastruktur verbleibt, bis sich (mittel- oder sogar langfristig) diese Schutzmaßnahme mit wenig Aufwand in die eigene Mailinfrastruktur übernehmen lässt.
Die wichtigste Frage ist offensichtlich, ob diese Maßnahme ein höheres Maß an Sicherheit bewirkt und wie groß dieser Zugewinn mutmaßlich ist.
Dies lässt sich vorab wohl kaum verlässlich beantworten. Am ehesten könnten das Leute beurteilen, die sich intensiv mit bisherigen Opfern solcher Angriffe befasst haben.
Diese Frage stellt sich im Prinzip natürlich genauso bei den heutigen Schulungen. Anbieter von Sicherheitstrainings behaupten, dass sich die Anfälligkeit für Phishing-Angriffe nach einem einzigen Training fast halbiere und nach regelmäßigen Trainings noch mal deutlich sinke. Allerdings sind dies keine Werte für aufwendige Angriffe auf attraktive Ziele.
Man kann diesen Ansatz unterschiedlich komplex umsetzen, aber grundsätzlich ist es keine umfangreiche Aufgabe. Jede große Organisation mit spezialisierten E-Mail-Admins sollte das innerhalb eines Jahren nebenbei einführen können. Sobald einige große Organisationen das selber entwickelt und Maildienstleister als zusätzliche Option eingeführt haben, sollte es für kleinere Organisationen schnell sehr viel einfacher werden, dies zu nutzen.
Den zusätzlichen Kosten stehen gegenüber:
vermiedene Schäden
weniger verplemperte Arbeitszeit der Mitarbeiter
weniger genervte Mitarbeiter
weniger Aufwand für Planung, Optimierung und Kontrolle der Schulungen (weil sie viel weniger wichtig werden)