•  

Hat Microsoft Office 365 die Phishing-Gefahr besiegt?

Roger A. Grimes, Data-Driven Defense Evangelist bei KnowBe4

Microsoft hat kürzlich ein großes Update seiner technischen Anti-Phishing-Funktionen für Microsoft Office 365 (O365) angekündigt. Laut Microsoft ist ihre "Miss Phish Catch Rate" auf nahezu Null gesunken und hat alle anderen O365 Anti-Phishing-Konkurrenten um ein Vielfaches geschlagen.

Die Frage, die sich nun allen Sicherheits-experten stellt: Hat Microsoft O365 einen Weg gefunden, Phishing-Angriffe zu stoppen? Ist damit ein Abgesang auf alle Security Awareness-Programme angestimmt worden? Die Antwort ist nein.

Die Sicherheitsexperten von Microsoft haben hart daran gearbeitet die Abfang-Raten von Microsoft Office 365 zu verbessern. Es hat Jahre gedauert, aber wenn man den Daten von Microsoft vertraut (und wir haben keinen Grund, ihnen zu misstrauen), sieht es so aus, als hätte Microsoft 0365 einige ziemlich solide Anti-Phishing-Ergebnisse erzielt. Nach eigenen Angaben liegen Phishing-E-Mails, die der Erkennung und Prävention entgehen, bei nahezu null Prozent. Tatsächlich ist es schwer zu sagen, ob die Daten die Aussage ermöglichen, dass die Durchlass-Rate genau 0 Prozent oder knapp über 0 Prozent beträgt.

Die Anti-Phishing-Erkennungsrate von Microsoft ist nach Ansicht von KnowBe4 ungleich Null. Es mag in einem grafischen Diagramm wie Null oder nahezu null aussehen, aber Tatsache ist, dass es Phishing-E-Mails gibt, die der Erkennung und Prävention entgehen. Solange das stimmt, benötigen Unternehmen eine Schulung zum Thema Security Awareness. Microsoft gibt an, dass der Hersteller jeden Monat 400 Milliarden E-Mails untersucht. Wenn die Erkennungs-Durchlass-Rate nur .0005 beträgt (was aus dem Diagramm ersichtlich ist), bedeutet das 200 Millionen Phishing-E-Mails, die noch durchkommen. Das ist definitiv nicht null.

In meiner persönlichen Nutzung von O365 erhalte ich zwischen 50 bis 200 persönliche E-Mails pro Tag. Im Durchschnitt habe ich immer noch ein bis drei Phishing-E-Mails, die mich jeden Tag erreichen. Sie kommen nicht nur immer noch an, sondern auch ihre Raffinesse und Zielgenauigkeit sind gestiegen. Ich bekomme immer noch Phishing-Versuche von Banken und anderen Unternehmen, mit denen ich überhaupt keine Geschäfte tätige. Es scheint, dass die Phishing-Versuche, die (scheinbar) über umfangreiche Kenntnisse der Unternehmen, bei denen ich Kunde bin, verfügen, eher zu- als abnehmen.

Ohne die entsprechende Schulung wäre ich anfälliger für eine falsche Reaktion auf eine Phishing-E-Mail. Wie würden sich Ihre Mitarbeiter verhalten?

Phishing-Angreifer gefährden zunehmend interne wie externe E-Mail-Konten, die sie in die Finger bekommen. Sie lauern in sozialen Netzwerken und lernen dort alles über die persönlichen Beziehungen der Kontoinhaber. Und wenn die Zeit reif ist, schlagen sie zu und senden eine Phishing-E-Mail, die von einer Person kommt, mit der das Opfer häufig korrespondiert, mit einer Anfrage, die sich nur geringfügig oder möglicherweise nicht von dem unterscheidet, was das Opfer erwartet. Diese spezielle Variante des Spear-Phishings wird immer häufiger eingesetzt.

Personen, die Häuser kaufen, müssen sich jetzt über kompromittierte Hypothekenmakler im Klaren sein, deren E-Mail-Konten von einem Phishing-Angreifer übernommen wurde, der dann z. B. eine gefälschte Anfrage für die abschließende Zahlung an den Käufer sendet, um das Geld an eine andere Bank zu überweisen. Die Hauskäufer erwarteten den Antrag auf Überweisung, und dieser wird ihnen von dem E-Mail-Konto geschickt, von der sie den Antrag auf Überweisung erwarten sollen. Wenn der ahnungslose Hauskäufer das Geld an die falsche Bank überweist, sind sie das Geld los.

Die Bedrohung von Spear-Phishing insgesamt nimmt zu. Unabhängig davon, was ein Hersteller ihnen sagt, wird seine Anti-Phishing-Lösung niemals eine Fehlerquote von Null haben. Ich selbst bin seit über drei Jahrzehnten im Bereich Computersicherheit tätig. Und jedes Jahr höre ich von einigen Anbietern, wie sie endlich die Phishing-Bedrohung besiegt haben. Und jedes Jahr scheint es eher schlimmer zu werden. Trotz aller Bemühungen jedes Anbieters scheinen mehr Phishing-E-Mails in meinem Posteingang zu landen als je zuvor, und zwar bei allen E-Mail-Konto-Anbietern, Microsoft wie auch bei anderen. Ich bin definitiv ein Skeptiker, wenn es darum geht, dass jemand sagt, dass er die Phishing-Bedrohung besiegen wird.

Security Awareness-Schulungen sind noch immer ein Muss

Nehmen wir einmal an, dass Microsoft oder ein anderer Anbieter seine Phishing-Blockierungsrate deutlich verbessert hat. Lassen Sie uns sogar so weit gehen zu sagen, dass sie erfolgreich genug waren, um eine Null-Fehlerquote zu erreichen. Könnten Unternehmen dann auf Schulung zum Thema Security Awareness verzichten?

Selbst wenn ein Anbieter das E-Mail-Phishing-Problem am Arbeitsplatz gelöst hat, hindert er die E-Mail-Phishings nicht daran, ihre Mitarbeiter auch privat zu erreichen. Die meisten Mitarbeiter haben persönliche E-Mail-Konten, und wenn dieser Dienst eine Phishing-Rate von eben nicht gleich null aufweist, dann müssen Unternehmen diese Mitarbeiter trotzdem auf Security Awareness und den Umgang mit Phishing-E-Mails schulen. Viele Mitarbeiter greifen auch auf der Arbeit z.B. in der Mittagspause auf ihre persönlichen E-Mailkonten zu, dadurch gelangen die Angreifer über Umwege auch ins Firmennetzwerk, wenn die Mitarbeiter etwas anklicken, was sie besser nicht angeklickt hätten. Daraus folgt: Nur weil das Problem auf den E-Mailkonten auf der Arbeit gelöst wurde, bedeutet das nicht, dass das Problem weg ist.

Aber gehen wir noch weiter und gehen wir davon aus, dass Mitarbeiter entweder überall von der gleichen perfekten E-Mail-Lösung geschützt werden oder den gleichen Null-Phishing-Schutz für ihre privaten Konten haben. Selbst dann sind die Schulungen noch nicht obsolet.

Denn E-Mail-Phishing ist nur eine Komponente von Phishing und Social Engineering. Phishing verlagert sich zunehmend auf Nicht-E-Mail-Methoden, einschließlich Social Media, webbasierte, mobile Geräte und Sprachtelefonate. Diese Phishing-Methoden sind eher erfolgreich als die traditionellen E-Mail-Methoden. Beim heutigen Security Awareness-Training geht es um weit mehr als nur um Phishing.

Fazit

Security Awareness-Schulungen sind absolut notwendig, unabhängig von der Erfolgsrate des traditionellen E-Mail-Phishing. Die Phishing-Erkennung kann sich verbessern, aber sie wird nie gleich Null sein, und solange sie es nicht ist, müssen Unternehmen und seine Mitarbeiter darauf vorbereitet und geschult werden.

Autor: Roger A. Grimes

Diesen Artikel empfehlen