Wir freuen uns sehr, unser nächstes Interview anzukündigen, in dem wir uns mit Kai Dorner unterhalten haben. Kai ist als IT Security Manager in der Bankenbranche tätig. Außerdem arbeitet er als Dozent für Cybersicherheit an der HWZ, Hochschule für Wirtschaft Zürich. In unserem letzten Interview teilte er mit uns die am realistischsten aussehende Phishing-E-Mail, die er gesehen hat und sprach darüber wie Unternehmen ihre Mitarbeiter über Phishing-E-Mails aufklären können. Das vollständige Interview, mit weiteren Themen bezüglich Phishing-Attacken, finden Sie weiter unten.

1. Willkommen zu unserer Serie “Security Expert Interview Series”. Kannst du dich bitte kurz vorstellen und uns ein wenig über deinen Hintergrund erzählen?

Das wohl offensichtlichste, mein Name ist Kai. Ich bin kein klassischer Informatiker, sondern komme vielmehr aus dem Business. Ich habe die Lehre des Bankkaufmanns genossen sowie Wirtschaftswissenschaften (B.Sc.) und Digital Business (MAS) studiert, also nicht wirklich direkt etwas mit Informationssicherheit. Erst vor einigen Jahren bin ich durch meine damalige Arbeit auf das Thema der IT-Security gestossen, was mich unheimlich fasziniert hat und immer noch sehr beschäftigt. Für mich als Quereinsteiger ist es eine spannende neue Welt mit sehr vielen Fassetten und Möglichkeiten. 

2. Wie lange beschäftigst du dich schon mit dem Thema Phishing-Bedrohungen und Risikomanagement?

Beruflich bin ich im Bereich des Risikomanagements seit 8 Jahren unterwegs, zuerst in der Wirtschaftsprüfung, dann als operationeller Risiko Manager und aktuell als IT Security Manager. Mit der Thematik der Cyber Security und dem dazugehörigen Phishing beschäftige ich mich seit 4 Jahren.

3. Soweit wir wissen, hast du deine Masterarbeit über das Thema Phishing-Attacken geschrieben. Wir würden uns freuen zu hören, wie deine Recherche genau aussah und welche überraschenden Erkenntnisse du dabei gewonnen hast.

Richtig, ich habe meine Masterarbeit im Bereich Phishing geschrieben. Mir war es wichtig eine Arbeit zu kreieren, die primär nicht um ihrer selbst willen geschrieben wird, sondern dass tatsächlich Unternehmen und dessen Entscheidungsträger anwenderorientierte und vor allem realistische Lösung aufgezeigt bekommen und damit auch in der Realität etwas anfangen können. Wie kam ich zu meinem Thema? Ausgangslage war, dass ich in meiner damaligen beruflichen Tätigkeit als operationeller Risikomanager immer wieder mit anderen Personen (u.a. CISOs, CROs, IT Security Officer) in Kontakt kam, die alle mehr oder weniger mit demselben Thema zu kämpfen hatten, Cyber Angriffe.

Dabei wurde Phishing völlig zurecht als Bedrohung erkannt, also das Wissen über das Risiko war da, aber gefühlt sprach jeder von anderen Bedrohungen, Einzelrisiken und Massnahmen. Sprich das Bewusstsein was ein Phishing Angriff mit sich bringen und wie man sich und sein Unternehmen dagegen schützen kann, war unterschiedlich ausgeprägt. Mir fehlte sozusagen der gesamtheitliche Bezug zum Thema. Meiner Meinung nach war bzw. gemäss den aktuellsten Reports ist Phishing nach wie vor eines der wesentlichsten Cyber Risiken. Auf Grundlage dessen entwickelte ich ganzheitliches «Anti-Phishing-Modell».

Um nicht nur theoretische Erkenntnisse aus Studien, Reports und Statistiken in meiner Arbeit miteinfliessen zu lassen, habe ich auch mehrere namhafte Cyber Security Experten von Unternehmen (Informationssicherheitsverantwortliche), Kantons- und Bundesbehörden sowie aus dem Dienstleistungssektor interviewt, damit ich auch eine weitere Sichtweise auf das Thema Phishing erhalte, nämlich die aus der Praxis. Dabei ergaben sich spannende Unterhaltungen, welche übrigens im Anhang der Arbeit einzeln nachgelesen werden können, und Erkenntnisse hinsichtlich Phishing spezifischer Risikofaktoren und mögliche Bewältigungsmassnahmen, welche in das Anti-Phishing-Modell miteingeflossen sind. 

Meinen persönlichen Wow-Effekt hatte ich, als das Modell im Laufe der Zeit immer grösser und umfangreicher wurde und mir das Ausmass so richtig bewusst wurde. Und zwar nicht nur welche Phishing Attribute alle zu einem potentiellen Schaden führen können, sondern auch die zahlreichen Einflussmöglichkeiten seitens Unternehmen sich mittels Investitionen gegen Phishing schützen zu können (menschliche, organisatorische und technische Risikobewältigungsmassnahmen).

4. Was ist die am realistischsten aussehende Phishing-E-Mail, die du gesehen hast?

Es ist eine rein wirtschaftliche Abwägung für welche Art von Phishing sich der/die Angreifer/in entscheidet. Man kann sich das wie früher in der Schule vorstellen. Je mehr man auf eine Klausur gelernt hat, desto wahrscheinlicher war es, dass man eine bessere Note erhält als gar nichts zu machen. Es besteht also eine positive Korrelation zwischen Aufwand und Ertrag. Und genauso verhält es sich auch beim Phishing.

Je professioneller eine Nachricht daherkommt, also je mehr Aufwand sich der Angreifer mit dem Nachrichteninhalt (z.B. persönliche Anrede, ansprechender Textinhalt, einwandfreie Grammatik und Rechtschreibung), dem Layout (z.B. Corporate Identity, Logo) und dem technischen Setup (z.B. Spoofing des Absenders, Link/Zieladresse, URL-Shortener) macht, desto schwieriger wird es diese auch als potentielle Phishing zu entlarven. Gepaart mit nicht oder schlecht informierten Mitarbeitenden, aufgrund fehlender Prozesse und Schulungen, kann jede Phishing Nachricht zu einem potentiellen Risiko führen.

Wie vermutlich schon viele von uns, habe auch ich schlechte Phishing-Versionen erhalten. Die Gefahr hierbei ist, diese Art von Nachrichten zu Verallgemeinern und zu denken, dass alle Phishing Angriffe schlecht und einfach erkennbar daherkommen, respektive, dass man sich selbst überschätzt und denkt alle erkennen zu können. Des immer Öfteren habe ich auch ziemlich gute Phishing Nachrichten gesehen. Gerade in Zeiten von Corona und des erhöhten Versandaufkommens habe ich privat schon gute Phishing Nachrichten in Zusammenhang mit der Post, Onlineversandhändler und Betreiber von Online-Bezahldiensten gesehen. Beruflich gehen die professionellen und echt anmassenden Nachrichten in Richtung Spear Phishing bzw. Whaling, bei denen man tatsächlich zwei- bis dreimal hinschauen muss.

Einen Vergleich zu ziehen, welche die am realistischsten aussehende Phishing-E-Mail war, kann ich leider nicht machen, da es eine subjektive Einschätzung ist. Ob eine Phishing Nachricht als legitim angesehen wird und demnach erfolgreich ist, ist nämlich abhängig welche Themenschwerpunkte den/die Empfänger/in interessieren (z.B. Inhalt), deren Persönlichkeit (z.B. Qualifikation/Wissensstand, intrinsische vs. extrinsische Motivationsgründe, Tagesform, Gewohnheit) aber es kann auch auf die zeitliche Komponente (z.B. Empfangszeitpunkt der Nachricht, kurz vor Feierabend oder Wochenende) ankommen. Daher kann und sollte man meiner Meinung nach Phishing Nachrichten (z.B. auch im Zuge von Simulationen im Unternehmen) nicht miteinander vergleichen und bewerten. Das wäre so als würde man einen Sportwagen mit einem Geländewagen vergleichen, es handelt sich zwar technisch um zwei Autos, aber beide sind von ihrer Art und ihrer Konzeption auf unterschiedliche Bedürfnisse und Ziele ausgelegt.

5. Wie ernst ist deiner Meinung nach die Bedrohung, die Phishing-E-Mails und andere betrügerische Nachrichten heutzutage für Unternehmen darstellen?

Meiner Meinung nach stellt Phishing nach wie vor immer noch einer der grössten Cyber Risiken für Unternehmen dar, da bei einem erfolgreichen Angriff die Kriminellen direkten Zugang zum Unternehmensnetzwerk erlangen. Für mich ist Phishing eine Übertragungsart, die weit über ihrer ursprünglichen Definition, dem Erlangen von Zugangsdaten (Benutzernamen und Passwörter) hinaus geht. Als Angriffsvektor kann Phishing zusätzlich Schadsoftware, auch Malware genannt, wie z.B. Ransomware/ Erpressungssoftware, Crypto-Miner, Viren, Würmer und Trojaner verbreiten. Auch der CEO Fraud findet oft über Phishing Nachrichten statt. Der Angreifer versucht hierbei eine Transaktion zu veranlassen, indem er sich als CEO oder CFO der Organisation aus-gibt.

Wichtig zu verstehen ist, dass allein durch eine Phishing Nachricht noch kein Schaden entsteht. Erst durch die Ausübung einer Handlung, kann es aufgrund der Nachricht zu einem effektiven Schaden kommen. Unternehmen müssen sich dann neben dem finanziellen Verlust wie bspw. aufgrund der Lösegeldforderung, dem entgangenen Gewinn, der Compliance- und Anwaltskosten auch auf Ausfallzeiten, Wiederherstellungskosten sowie mögliche Reputationsschäden einstellen. Aufgrund dessen stufe ich Phishing und deren Auswirkungen als wesentliches und ernst zu nehmendes Risiko für jedes Unternehmen, welches E-Mail-Nachrichten empfangen kann, ein.

6. Wie können Unternehmen ihre Mitarbeitende über Phishing-E-Mails aufklären? Kannst du uns Best Practices nennen?

Meiner Meinung nach sollte sich das jeweilige Unternehmen zuerst einmal mit der Thematik des Phishings auseinandersetzen, bevor es überhastet Massnahmen versucht zu implementieren und sich dann womöglich wundert wieso der (Lern-)Erfolg bei den Mitarbeitenden ausbleibt. Bevor man die angestrebten Massnahmen umsetzt, ist eine zielorientierte Planung essentiell, indem man vorgängig folgende Fragen klären sollte:

• «Wer ist die Zielgruppe?», sprich wen möchte ich im Unternehmen schulen, alle oder nur einen eingeschränkten Personenkreis? Letzteres empfehle ich nur, wenn zuvor bereits alle Mitarbeitenden ganzheitlich über das Thema Phishing informiert und sensibilisiert worden sind und es nun darum geht einzelne Organisationseinheiten mit spezifischen Szenarien zu trainieren (z.B. die Personalabteilung mit Bewerbungsanschreiben inkl. suspekte Anhänge oder das Rechnungswesen im Zuge des CEO Frauds).
• «Wie hoch ist das zur Verfügung stehende Budget?», damit Massnahmen auch weisungskonform und wirtschaftlich umgesetzt werden können.
• «Wie sehen die Verantwortlichkeiten aus?». Führt das Unternehmen die Massnahmen selbst durch oder zieht es einen externen Cyber Security Experten für die Durchführung bei.
• «Welche Themeninhalte sollen den Mitarbeitenden vermittelt werden?». Ist Phishing ein Teil einer breit angelegten Security-Kampagne oder ein eigenständiges Thema, welches stand-alone geschult werden soll? Ich habe die Erfahrung gemacht, dass Kampagnen mit einem durchdachten Konzept bzw. roten Faden, bei den Mitarbeitenden sehr gut ankommen, insbesondere dann, wenn man sie aktiv miteinbezieht ohne dass sie negative Konsequenzen befürchten müssen, Zusammenhänge aufzeigt und wieso Phishing für das Unternehmen ein Risiko darstellt. Wichtig dabei ist, nicht nur die Risiken aufzeigen, sondern gleichzeitig auch Lösungen präsentieren, wie man sich im beruflichen Alltag aber auch im Privaten gegen Phishing schützen kann. 

Sollten diese Fragen geklärt sein, gibt es eine Vielzahl an Möglichkeiten um Mitarbeitende über Phishing zu informieren und aufzuklären. Neben Flyer, Plakaten, e-Learnings, Videos und Newsletter gibt es auch Infoveranstaltungen/Frontalschulungen und Phishing Simulationen. Veranstaltungen bieten den Mitarbeitenden die Möglichkeit während den Vorträgen Informationen hautnah zu erfahren, während den Pausen sich mit Gleichgesinnten auszutauschen und allfällige Fragen direkt und unzensiert an den/die Referenten/in zu stellen. Für mich als Dozent bieten diese Veranstaltungen ebenfalls einen grossen Mehrwert, da die Zuhörer/innen direkt mitteilen können, an was sie interessiert sind.

Ich lasse mich davon inspirieren um die Inputs für kommende Vorträge einzubauen bzw. zu streichen. Das Thema und dessen Beispiele müssen stets aktuell und im Interesse der Anwesenden sein, sonst lassen sich Informationen nicht vermitteln und werden spätestens in der nächsten Stunde wieder vergessen. Daher arbeite ich sehr gerne mit Praxisbeispielen. Auch Phishing Simulationen bei denen die Mitarbeitenden in den Genuss einer realistisch aussehenden Phishing Nachricht kommen finde ich einen guten Weg praxisorientiert die Thematik zu schulen. Allerdings sollte hier zwingend darauf geachtet werden, dass die Mitarbeitenden nicht das Gefühl bekommen, dass es sich hierbei um ein Kontrollinstrument handelt. Es soll also niemand mit negativen Konsequenzen rechnen müssen. 

Welche Massnahmen letztendlich zum gezielten Erfolg führen, kann ich pauschal nicht beantworten, da es meiner Meinung nach an der Qualität der umgesetzten Massnahme hängt, also wie sehr hat man sich mit dem Thema Phishing auseinandergesetzt und wieviel Herzblut steckt darin, was die Mitarbeitenden auch zu schätzen wissen. Schliesslich hat niemand von uns Lust auf ein weiteres 0815 eLearning wo man sich ehrlicherweise nur durchklickt, weil man es machen muss. Man darf daher nie den Spass am Thema ausser Acht lassen. Und mit der alleinigen Umsetzung der Massnahmen ist es nicht getan, schliesslich sollte man auch daran interessiert sein, ob diese greifen und ob man sie gegebenenfalls verbessern bzw. anpassen sollte.

7. Wie verwaltest du deine Passwörter und welchen Rat würdest du anderen geben?

Neben Datenschutz (i. e. S. Schutz der Privatsphäre) und Cloud Security sind Passwörter ein weiteres wichtiges Thema in der Informationssicherheit, das meiner Meinung nach nicht die Aufmerksamkeit erfährt, welche es verdienen sollte. 

Ich könnte jetzt neunmalklug antworten, dass ich Passwörter sicher verwende wie bspw. mit Leetspeak, dem Ersetzen von Buchstaben durch ähnlich aussehende Ziffern/Sonderzeichen (z.B.: Passwortsicherheit = Pa§sw0rts/ch3rhe1t) oder der Verwendung eines Passwortverwaltungsprogramms, was wirklich sinnvoll und zu empfehlen ist, aber ehrlich gesagt setze ich seit Jahren schon dieselbe Methodik ein. Ich überlege mir einen Satz und erstelle mir aus den Anfangszeichen/-buchstaben ein Passwort.

Beispielsweise ergibt sich so aus der bekannten Songzeile «079 het si gseit. Du weisch immer no nüt,het si gseit» 079 von Lo&Leduc das Passwort «079hsg.Dwinn,hsg». (Disclaimer: Bitte nicht dieses Passwort verwenden, da ich es bereits in mehreren Vorträgen als Beispiel verwendet habe). Wenn ich das gewählte Passwort nun noch mit den ersten Buchstaben der Webseite, auf der ich das Passwort verwenden möchte, anreichere (z.B. beim Swiss Cyber Forum wäre dies SCF) führt dies zu folgendem Passwort «079hsg.Dwinn,hsgSCF». Es ist für jeden Dienst individuell und sollte es mir mal verloren gehen oder geklaut werden, muss ich das Passwort nicht überall ändern. 

Mein persönlicher Rat an alle: Verwendet euer starkes Passwort, wenn der Dienst den ihr nutzen wollt es ermöglicht, immer in Kombination mit einer Zwei-Faktor-Authentifizierung (2FA). Das bedeutet ihr verwendet neben eurem Passwort, welches ihr kennt, noch einen zweiten Faktor wie z.B. was ihr habt (Smartphone, Chipkartenleser, Token, etc.) oder was ihr seid (Biometrie = Fingerabdruck, Sprache, Iris, etc.). Lieber kurz 2-3 Minuten pro Onlinedienst aufwenden, um ein sicheres Passwort in Verbindung mit einer Zwei-Faktor-Authentifizierung vergeben, anstatt im Nachhinein Stress und Ärger wegen den geklauten Anmeldedaten zu haben. 

8. Was wäre deine wichtigste Empfehlung an Cybersicherheitsexperten in Bezug auf das Sicherheitsbewusstsein und Anti-Phishing?

Das Thema an sich kann schon sehr trocken und in Teilen auch recht komplex sein. Mein Tipp, Schulungen praxisorientiert und mit einem Funken Spass versuchen zu vermitteln. Ich glaube allgemein hilft, wenn man selbst Freude am Thema hat, dann geht es viel einfacher.