This site uses cookies to provide you with a more responsive and personalised service. By using this site you agree to our use of cookies. Please read our PRIVACY POLICY for more information on the cookies we use and how to delete or block them.

Verhalten bei Phishing-Angriffen

 

1. Vorbereitung auf Phishing-Angriffe

Phishing-Angriffe treffen jedes Unternehmen und können mithilfe technischer Schutzmaßnahmen nicht komplett verhindert werden. Deshalb ist es wichtig, schon im Vorfeld entsprechende Prozesse zu etablieren, um bei einem Angriff rasch reagieren zu können. Nachfolgend einige Punkte die präventiv durchgeführt werden können:

  • Regelmäßige Schulungen der Mitarbeiter zum richtigen Verhalten bei Phishing-Angriffen
  • Motivation der Mitarbeiter hinsichtlich einer Reporting-Kultur und Förderung des wertschätzenden Umgangs mit dem Mitarbeiter. Betroffene müssen wissen, dass potentielle Risiken gemeldet werden sollen und daraus keine negativen Konsequenzen für sie entstehen.
  • Erstellen von Templates und Richtlinien zum korrekten Verhalten bei Phishing-Angriffen
  • Definition der zu verständigenden Personen (Incident Response Team)
  • Definition der notwendigen Sofortmaßnahmen im Rahmen eines Incident Response Plans
  • Definition der Vorgehensweise im Falle eines erfolgreichen Phishing-Angriffes
  • Erstellen einer internen bzw. externen Kommunikationsstrategie

2. Maßnahmencheckliste für die Mitarbeiter

Informieren Sie bei Verdacht unverzüglich das Incident Response Team:

 Info-Sec Team  Name / Nummer / E-Mail
 Datenschutz-Team  Name / Nummer / E-Mail
 Risk Management  Name / Nummer / E-Mail
 IT  Name / Nummer / E-Mai
  • Ändern Sie Ihr Passwort sofort, sofern Sie dieses eingegeben haben bzw. den Verdacht haben, dass Ihr Benutzerkonto kompromittiert wurde.
  • Informationen sammeln und die verdächtige E-Mail-Nachricht vorläufig aufbewahren, da diese für Recherchezwecke erforderlich sein kann.

  • Um die Aufarbeitung von möglichen Angriffen zu unterstützen, sollten die nachfolgenden Fragestellungen an die Mitarbeiter kommuniziert und im Anlassfall beantwortet werden:
    • Was ist passiert?
    • Welches IT-System ist betroffen und wo befindet sich dieses?
    • Was haben Sie gesehen?
    • Haben Sie etwas Unübliches festgestellt?
    • Haben Sie etwas in ein Formular eingegeben?
    • Haben Sie ein Dokument geöffnet oder ein Programm ausgeführt?
    • Wurden Daten übertragen? Wenn Ja welche?
    • Sonstige verdächtige Aktionen?
  • Beobachtungen dokumentieren
  • Weitere Arbeit auf dem IT-System einstellen
  • Regeln der Kommunikation beachten (Image-Schaden vermeiden – keine Informationen nach außen tragen)

Incident Response Plan

Phase 1: Triage und initiale Beurteilung

Diese Phase behandelt die initiale Reaktion auf einen möglichen Informationssicherheitsvorfall (Incident). Es müssen alle relevanten Informationen eingeholt und beurteilt werden. Sollte es sich tatsächlich um einen Vorfall handeln, so muss der Incident Response Prozess gestartet werden.

Mit den betroffenen Personen sprechen und Informationen zum Vorfall einholen

  • Was ist passiert?
  • Welches IT-System ist betroffen und wo befindet sich dieses?
  • Was haben Sie gesehen?
  • Haben Sie etwas Unübliches festgestellt?
  • Haben Sie etwas in ein Formular eingegeben?
  • Haben Sie ein Dokument geöffnet oder ein Programm ausgeführt?
  • Wurden Daten übertragen? Wenn Ja welche?
  • Sonstige verdächtige Aktionen?
  • Betroffenes System vom Netz nehmen

Verifikation des Vorfalls

  • Verdächtige E-Mail vom Mitarbeiter sicherstellen
  • E-Mail-Header überprüfen
  • Informationen zu Routing, IP etc. sicherstellen
  • In der E-Mail enthaltene URLs oder Anhänge in Sandbox-Umgebung überprüfen
  • Recherchen (Threat Intelligence) zu dem Phishing-E-Mail im Internet bzw. einschlägigen Datenbanken durchführen.
    • https://www.ipvoid.com/
    • Nach IP, Hostnamen, URLs, etc. in Google suchen
  • HINWEIS: Verdächtige Websites nicht direkt öffnen.

Incident Response Team aktivieren

  • Erstanalyse des Vorfalls und Risikoeinschätzung.
  • Welche Maßnahmen sind unmittelbar anzustoßen?
  • Welche Ressourcen werden dafür unmittelbar benötigt?
  • Welche Mitarbeiter / Führungspersonal ist zu verständigen?
  • Nach welchem Kommunikationsplan ist weiter vorzugehen?
  • Maßnahmen kontinuierlich abstimmen, dokumentieren und an alle relevanten Personen kommunizieren.

-

Phase 2: Sofortmaßnahmen ergreifen

Durch das rasche Setzen von Sofortmaßnahmen soll das Schadensausmaß gering gehalten werden und wertvolle Zeit in der weiteren Bearbeitung gewonnen werden.

Externen Perimeter absichern

  • Am E-Mail-Gateway sollten Filter erstellt werden, die ähnliche Nachrichten blockieren. Dazu können Metadaten (Absender, Betreff, IP-Adressen etc.) der Nachricht herangezogen werden.
  • Am Web-Gateway (Firewall, Proxy, etc.) sollten ebenfalls verdächtige Domains bzw. IP-Adressen blockiert werden.
  • HINWEIS: Blacklisting ist keine dauerhafte Lösung! Als Sofortmaßnahme jedoch sehr effizient!

Protokollierung sicherstellen

  • Monitoring- bzw. Logging-Maßnahmen sollten aktiviert bzw. verschärft werden.
  • Dies betrifft vor allem Dienste und Appliances die Trust Boundaries absichern (Firewall, VPN, Mail-Gateway, Proxy-Server, Spam-Filter etc.).
  • Bestehende Protokolldaten sollten auf ein Offline-Medium gesichert werden.
  • Wurden System-Protokolle, Log-Dateien, Notizen, Fotos von Bildschirminhalten, Datenträger und andere digitale Informationen forensisch gesichert?

Mitarbeiter informieren

  • Der gesamte Mitarbeiterstamm sollte über den Angriff und das richtige Verhalten in dieser Situation informiert werden.
  • Die Information sollte von einer Autoritätsperson (CEO, Vorstand, etc.) versendet werden, damit die Information entsprechend ernst genommen wird.
  • HINWEIS: Sollte ein Angreifer bereits Zugriff auf das Postfach eines Benutzers haben, kann dieser derartige E‑Mails einfach löschen.

-

Phase 3: Umsetzen von Maßnahmen zur Lösung

In dieser Phase wird der Vorfall detailliert aufgearbeitet. Dies dient einerseits zur Identifikation der Schwachstelle/Ursache des Vorfalls und andererseits zur Identifikation aller betroffenen IT-Systeme, um eine strukturierte Rückführung in den Normalbetrieb sicherzustellen.

Interne Systeme überprüfen

  • Identifikation von Firewall Traffic (Kommunikation) mit verdächtigen IP-Adressen bzw. Domains. (suche nach IP, URL, Absender, etc) 
  • Auf welche Systeme wurde zugegriffen? 
  • Welche Dienste laufen auf diesen Systemen?
  • Hat ein Host im internen Netz ein DNS-Lookup durchgeführt (Überprüfen der DNS-Logs)
  • Welcher Host hat den Lookup gestartet bzw. welcher Host hatte zu dem Zeitpunkt diese IP-Adresse? (Überprüfen der DHCP-Logs)

Protokollanalyse durchführen

  • Überprüfung der gesammelten Protokolldaten nach verdächtigen Zugriffen / Aktionen (Filter auf IP-Adresse, Domain etc.).
  • Welche Benutzer haben verdächtige E-Mails erhalten?
  • Welche Benutzer haben die Phishing-Domain oder andere verdächtige Domains aufgerufen?
  • Wurden Daten heruntergeladen?
  • Wurden Daten hochgeladen?
  • Überprüfung der gesammelten Protokolldaten nach verdächtigen Zugriffen / Aktionen (Filter auf IP-Adresse, Domain etc.).
  • Existieren weitere verdächtige Aktionen im Zeitraum rund um den Vorfall?

Passwörter der betroffenen Benutzer ändern

  • Anlassbezogen sollten die Passwörter aller Mitarbeiter geändert werden. Hierbei sind folgende Faktoren abzuwägen:
    • Anzahl der betroffenen Mitarbeiter
    • Qualität der Aufarbeitung des Vorfalls
  • Die Passwörter der betroffenen Mitarbeiter sollten geändert werden, da nicht sichergestellt werden kann, ob der Angreifer diese Schwachstelle erst in Zukunft ausnutzt.
Aktive Sessions überprüfen
  • Existieren aktive Sessions der betroffenen Mitarbeiter? (VPN, Citrix, OWA, etc.)
  • Alle aktiven Sessions sollten nach der Passwortänderung zurückgesetzt werden.

-

Phase 4: Lessons Learned /Aufarbeitung

Diese Phase dient dazu, Verbesserungsmaßnahmen im Rahmen der Vorfallsbehandlung zu identifizieren und diese umzusetzen.

Dokumentation des Vorfalls

  • Informationen zum Vorfall sind zu sammeln und ein Bericht sollte den Entscheidungsträgern zur Verfügung gestellt werden.

Lessons learned

  • Welche Schritte des IR-Plan müssen angepasst werden?
  • An welche Stelle hat die Kommunikation nicht optimal funktioniert?
  • Wie könnte ein Phishing-Fall in Zukunft besser bearbeitet werden

Awareness schaffen

  • Lassen Sie den Angriff nicht unkommentiert. Dieser sollte als Beispiel dienen um bei den Mitarbeitern Awareness zu schaffen, sodass sie potentielle Phishing-Mails eher erkennen.
Technische Maßnahmen ableiten und umsetzen
  • Sind spezielle, umfassende Verbesserungsmaßnahmen von Nöten um derartige Mails in Zukunft zu vermeiden?
  • Maßnahmen zur Prävention ähnlicher Vorfälle in Zukunft identifizieren und unternehmensweit auszurollen.