Gefähr­liche Links

Anklicken von Links in E‑Mails oder Facebook-Nach­­­richten kann zu einer Infektion mit Schad­software führen, die sowohl die Daten auf dem eigenen Rechner gefährdet, als auch weitere Angriffe ermög­licht, unter anderem auch auf das Fir­men­netzwerk. Eine solche Nach­richt zuver­lässig zu erkennen kann schwie­riger sein als viele Anwender vermuten.

Denn hinter dem Link könnte sich eine gefähr­liche Web­seite ver­bergen, die Ihren PC mit einem Schad­pro­gramm (zum Bei­spiel mit einem Virus oder einem Tro­janer) infi­ziert, ohne dass Sie es merken. Diese Art der Ver­breitung der Schad­software heißt „Drive-by-Download“. Sie nutzt die Sicher­heits­lücken in den Browsern aus. Des­wegen ist es wichtig, Ihren Browser aktuell zu halten.

Meine Kol­legen und ich haben an der Friedrich-Alex­ander-Uni­­ver­­­sität Erlangen-Nürnberg Anfang 2014 an die stu­den­ti­schen Teil­nehmer eines Expe­ri­ments eine per­sön­liche Nach­richt mit einem Link geschickt [1]. Aus den 975 Stu­denten, die den Link per E‑Mail bekommen haben, haben mehr als 20% (316) auf den Link geklickt. Aus den 280 Stu­denten, die den Link in einer Facebook-Nach­­­richt bekommen haben, haben 43% (120) den Link ange­klickt. Im Expe­riment führte der Link natürlich nicht zu einer mit Drive-by-Down­­loads ver­seuchten Web­seite, sondern zu einer harm­losen, die den Nutzer mit der „Access denied“ Meldung emp­fangen hat.

US-ame­­ri­­ka­­nische For­scher haben im Rahmen von einem Expe­riment mehrere E‑Mails an 1359 zufällig aus­ge­wählte Mit­ar­beiter einer mit­tel­großen Firma (6000 Mit­ar­beiter) geschickt [2]. Eine dieser E‑Mails gab vor, von einer im Unter­nehmen ein­ge­setzten Ter­­min­­ver­­­waltung-Anwendung zu kommen und bat den Nutzer, einer Ter­min­än­derung unter einem gefälschten Link zuzu­stimmen. Eine andere kam von einem nicht exis­tie­renden Kol­legen und beinhaltete einen gefälschten Link zu einem angeb­lichen Artikel über die Firma in der Zeitung Washington Post. Je nach der Beschaf­fenheit dieser Nach­richten haben zwi­schen 30% und 60% der Mit­ar­beiter auf den Link geklickt.

Das würde ich doch nie tun!

Dass Ihnen die Gefahr bewusst ist, die vom Klicken auf Links aus­gehen kann, ist zwar sehr gut, aber leider immer noch nicht aus­rei­chend, um gut geschützt zu sein. Die Inter­views mit den Teil­nehmern, die im Rahmen des oben vor­ge­stellten ame­ri­ka­ni­schen Expe­ri­ments durch­ge­führt wurden, haben das gezeigt. Obwohl alle Inter­viewten am jähr­lichen Security Awa­reness Training teil­ge­nommen haben, und vielen von ihnen sowohl die Gefahr als auch die Gegen­maß­nahmen bewusst waren, haben dennoch einigen von ihnen auf einen oder mehrere Links geklickt. Dafür gab es zwei Hauptgründe:

1. Das Thema der E‑Mail hat die Mit­ar­beiter inter­es­siert. Aus der psy­cho­lo­gi­schen For­schung ist bekannt, dass starke Emo­tionen, z.B. starkes Interesse oder Ärger über eine ver­meint­liche Ter­min­än­derung, das rationale Denken behindern können. Der Kopf wird sozu­sagen von den Emo­tionen aus­ge­schaltet, und genau damit rechnen die Angreifer.
2. Die Mit­ar­beiter befanden sich im Arbeits­fluss, waren damit beschäftigt, mehrere Auf­gaben so effi­zient wie möglich zu erle­digen, und haben auch nebenbei ver­sucht, ihre E‑Mails abzu­ar­beiten. Eine solche Situation ist auch Ihnen bestimmt aus dem Arbeits­alltag bekannt. Dadurch, dass die Mit­ar­beiter sich nicht gänzlich auf die E‑Mails kon­zen­triert haben, oder wenig Auf­merk­samkeit jeder ein­zelnen E‑Mail geschenkt haben, haben sie auf den Link geklickt, eher sie über die Situation nach­ge­dacht haben. Die Hand war schneller als das rationale Denken.

Wie kann man sich schützen?

Meistens hilft gesunder Men­schen­ver­stand und einige Regeln, die man bei der Bear­beitung von E‑Mails und anderen Nach­richten beachten sollte:

• Kurz inne­halten, bevor Sie klicken und über­legen: wie wahr­scheinlich ist es, dass dieser Mensch Ihnen eine solche Nach­richt schickt?
• Wenn die Nach­richt von einem Unbe­kannten kommt, nicht klicken! Man kann auch auf einem anderen Wege zu der gewünschten Infor­mation kommen, zum Bei­spiel durch eine Suche im Intra- oder Internet, oder durch den direkten Zugriff auf die Infor­ma­ti­ons­quelle, wie die Homepage der Zeitung.
• Wenn die Nach­richt von einer Ihnen per­sönlich bekannten Person kommt, könnte diese Person sich ein Schad­pro­gramm ein­ge­fangen haben, das nun diesen Link in ihrem Namen ver­schickt. Also, Vor­sicht! Im Zwei­felsfall fragen Sie lieber beim Sender nach.
• Melden Sie ver­dächtige E‑Mails der IT-Sicherheitsabteilung.

Es ist nicht schwer, sich diese Regeln zu merken. Viel schwie­riger ist es, wie oben beschrieben, den Kopf im viel­fäl­tigen Arbeits­alltag tat­sächlich „ein­zu­schalten“. Hier hilft viel­leicht ein Bewusstsein dafür, dass auch die ein­fache Bear­beitung der E‑Mails einen gewissen Grad an Auf­merk­samkeit verlangt.

Es gibt keinen voll­stän­digen Schutz

Ganz unab­hängig davon, wie viel Awa­reness Training die Mit­ar­beiter absol­vieren, ein Rest­risiko bleibt immer. Es ist unrea­lis­tisch zu erwarten, dass alle Mit­ar­beiter zu jedem Zeit­punkt und zu jeder Gele­genheit zu 100% richtig „funk­tio­nieren“. Das zeigt die aktuelle IT-Sicher­heits­­­for­­schung unmiss­ver­ständlich immer und immer wieder. Des­wegen ist es sehr wichtig, nicht nur die tech­ni­schen und nicht-tech­­ni­­schen Schutz­maß­nahmen zu ent­wi­ckeln, sondern auch darauf vor­be­reitet sein, dass einige Angriffe gelingen werden. Ein Incident-Response-Plan zur Begrenzung des Schadens ist min­destens genauso wichtig wie die Schutzmaßnahmen.

Weitere Infor­ma­tionen zu den wis­sen­schaft­lichen Artikeln 

[1] Z. Benenson, A. Girard, N. Hintz, N., & A. Luder (2014). Sus­cep­ti­bility to URL-based Internet attacks: Facebook vs. email. In 6th IEEE Inter­na­tional Workshop on SEcurity and SOCial Net­working (SESOC), pages 604–609.
[2] D. D. Caputo, S. L. Pfleeger, J. D.Freeman, & M. E. Johnson (2014). Going Spear Phishing: Exploring Embedded Training and Awa­reness. IEEE Security & Privacy Magazine, 12(1), pages 28–38.

Bild: © Rike / pixelio.de