Phishing-Mails sind eine der beliebtesten Methoden, Zugang zu Firmenaccounts oder Privatkonten zu bekommen. Die Firma Gitlab wollte nun die eigene Sicherheit testen und war dabei erfolgreicher als erhofft.
Es geht schneller, als viele Menschen sich eingestehen: Einmal einer falschen Mail vertraut und schon hat man Hackern oder Kriminellen die Türen zum eigenen E-Mail-Account, dem Rechner oder gar dem Konto geöffnet. Die Firma Gitlab wollte die Anfälligkeit der eigenen Angestellten prüfen und stellte ihnen eine Phishing-Falle. Ganze 20 Prozent fielen darauf herein.
Das dürfte bei Gitlab durchaus überrascht haben. Immerhin handelt es sich nicht um technisch wenig versierte Mitarbeiter einer fachfremden Berufsrichtung wie einer Versicherung oder eines Handwerksbetriebs. Gitlab ist eine Software-Schmiede. Von den Programmierern wäre also durchaus ein Grundverständnis der Gefahren zu erwarten gewesen.
Ein Macbook Pro als Köder
Die Red Team genannte Test-Abteilung setzte auf ein attraktives Lockmittel: In der Phishing-Mail wurde den Angestellten ein neuer Apple-Laptop als Upgrade zum bisherigen Modell versprochen. Dazu mussten sie nur auf einen Link klicken und sich auf der nächsten Seite mit ihrem Firmen-Account einloggen – der dort natürlich abgegriffen wurde.
Und tatsächlich: Von 50 willkürlich ausgewählten Mitarbeitern, die eine der Mails erhielten, klickten 17, also mehr als ein Drittel, auf den Link. Ganze zehn von ihnen gaben dann sogar ihre Account-Daten ein. Skeptisch war nur der kleinste Teil der unfreiwilligen Testteilnehmer: Lediglich sechs Angestellte meldeten die Mail bei der IT-Abteilung als verdächtig.
Doch während bei einer echten Phishing-Attacke die Folgen dramatisch hätten werden können, blieben sie beim Selbsthack relativ gering. Diejenigen Angestellten, die tatsächlich ihre Log-In-Daten eingegeben hatten, wurden lediglich zum internen Handbuch mit Sicherheitsrichtlinien weitergeleitet. Selbst die Passwörter wurden nicht gespeichert, die Fake-Seite protokollierte nur E-Mail und Nutzernamen der Gelackmeierten.
Klare Hinweise
Tatsächlich hätten die den Angriff durchaus bemerken können. In der Phishing-Mail wurden zahlreiche Hinweise versteckt, um die Falle erkennbar zu machen. So kamen die Mails von einer ähnlichen, aber nicht identischen Adresse wie Firmen-Mails. Die Mitarbeiter hatten keinen anderen Hinweis auf ein anstehendes Hardware-Upgrade bekommen, hätten also stutzig werden können. Vor allem, weil das in der Mail genannte Notebook älter war als die Modelle, die bei den meisten Angestellten im Einsatz waren. Dann gab es noch zahlreiche technische Warnsignale, etwa im Quellcode, den versierte Mitarbeiter ebenfalls hätten einsehen können.
Besondere Strafen scheinen die Angestellten nicht fürchten zu müssen. Gitlab zufolge diente die Aktion vor allem dazu, das Bewusstsein für die Möglichkeit eines Angriffes zu erhöhen. Das ist durchaus angemessen: Einem aktuellen Sicherheits-Bericht von Verizon zufolge ist Phishing mittlerweile die wichtigste Angriffsmethode, um Zugang zu relevanten Informationen zu bekommen. Sie werden in knapp jeder vierten Attacke mit diesem Ziel benutzt, überholen damit sogar klassische Malware.
“Phishing ist ein gutes Beispiel für etwas, das sich nie ganz verhindern lässt”, erklärt Sicherheitsexperte Chris Rothe gegenüber “Silicon Angle”. “Das liegt daran, das E-Mails ein maßgebliches Business-Werkzeug sind. Sie sind in den meisten Fällen auf diese Business-Funktion optimiert, nicht auf Sicherheit. Es gibt zwar eine Menge Strategien für IT-Abteilungen, die Anzahl erfolgreicher Phishing-Attacken einzudämmen, einen hunderprozentigen Schutz gibt es aber nicht.”
Quelle: Gitlab, Verizon, Silicon Angle