Fisherman‘s Foe : Warum Phishing so schwer zu bekämpfen ist und wie es doch geht

Von Werner Degenhardt, München, Frank Weidemann, Andreas Amann und Jan Koppelmann, Kiel

Phishing macht Schlagzeilen, mehr oder weniger (un)mittelbar: Am 28. Februar 2018 wurde bekannt, dass im IT-Netzwerk der Bundesregierung Unbefugte ihr Unwesen treiben, möglicherweise schon seit einigen Monaten. Nach allem, was man im Moment weiß, führte ein Klick zur falschen Zeit am falschen Ort dazu, dass eine Phishing-Mail ein Stück Schadsoftware in die Hochschule des Bundes in Brühl einschleusen konnte. Dort hat das Programm unentdeckt als „fortgeschrittene, andauernde Bedrohung“ (APT, Advanced Persistent Threat) gewartet, bis es Anfang 2017 seine Befehle bekam (vgl. Link).

Die Bundesverwaltung wirkt insgesamt nervös, die Bundesakademie für öffentliche Verwaltung (BAköV) nahm ihre Lernplattform auf Basis der Open-Source-Software ILIAS „auf Empfehlung des BSI vorsorglich vom Netz“ (www.lernplattform-bakoev.bund.de) – die hierüber verwirklichte „Sensibilisierungsinitiative für Informationssicherheit in der Bundesverwaltung“ und der BISS-Test zum Erwerb des „Bundes-Informations-Sicherheits-Scheins“ (BISS) ruhen derzeit also wegen möglicher Unsicherheit. Kurz vor dem Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) und des neuen Bundesdatenschutzgesetzes (BDSG) am 25. Mai 2018 ist das kein gutes Timing: Denn die DSGVO macht Sensibilisierung und Training von Mitarbeitern nunmehr verpflichtend (Art. 32, 39 und 47).

Mensch, Mensch!

Dabei gehört es inzwischen zur Folklore der Informationssicherheit, dass der Mensch das schwächste Glied in der Sicherheitskette ist. So stellte zum Beispiel der IBM Cyber Security Index 2014 fest, dass in über 95 % aller Sicherheitsvorfälle „menschliche Fehler“ eine Rolle spielen – am häufigsten das Öffnen eines mit Schadsoftware infizierten E-Mail-Anhangs oder der Aufruf einer unsicheren Internetadresse im Browser. Eine Studie von Trend Micro konstatierte bereits 2012, dass „Spear Phishing“ das wichtigste Werkzeug ist, mit dem sich APT-Angreifer Zugang zu ihren Zielnetzwerken verschaffen – in 91 % aller beobachteten Angriffe wurden demnach Phishing-E-Mails eingesetzt.

Es ist also beileibe nicht so, dass man die Schwachstelle(n) nicht kennen würde. Sicherheitsguru Bruce Schneier hob sogar schon im Dezember 2000 den symbolischen Zeigefinger und meinte: „Für die nahe Zukunft sage ich voraus, dass semantische Angriffe schlimmer sind als physische oder syntaktische Angriffe. … Semantische Angriffe richten sich direkt auf die Mensch-Maschine-Schnittstelle, die unsicherste Schnittstelle im Internet. Nur Amateure greifen Maschinen an, Profis beschäftigen sich mit Menschen. Und jeder Versuch zur Lösung des Problems muss sich mit Menschen auseinandersetzen, nicht mit der Technik.“ [1]

Nicht von ungefähr geht auch der Begriff „Human Firewall“ auf diese Zeit zurück. Im Jahr 2000 fand sich sogar eine internationale Organisation unter dem Namen „Human Firewall Council“ zusammen. Inzwischen ist die Organisation nicht mehr zu finden, auch die URL www.humanfirewall.org wurde aufgegeben und ist einem Spezialisten für „Domainmonetarisierung“ zum Opfer gefallen – heute mutiert ein Besuch dort bisweilen zur ungewollten Feuerprobe der menschlichen Schutzschilde, denn ein Teil der Anfragen wird offenbar auf Drittseiten umgeleitet, von denen einige sehr verdächtig wirken (vgl. Abb. 1).

Auch im Falle des Bundeshacks hat offensichtlich wieder einmal die Human Firewall versagt, und man fragt sich, warum sich das nach so vielen Jahren immer noch nicht wesentlich gebessert hat. Fred Sampson brachte 2006 die Crux der Bemühungen um mehr Informationssicherheit und das Härten der Human Firewall in einem Beitrag zur Mensch-Maschine-Interaktion (Human-computer interaction, HCI) auf den Punkt: „Alle Sicherheitssysteme hängen von Menschen ab, und Menschen sind fehlbar, leichtgläubig, bestechlich, emotional und gierig“, meint er. Und wenn es darum geht, diese menschlichen Schwächen durch Training zu beheben, dann „fehlen den Benutzern Zeit, Motivation oder die nötigen Grundkenntnisse, die nötig sind, damit das Training wirken kann.“ [2] (Für weitere Beiträge zum Thema HCI+Security siehe Link)

Auf gut Deutsch: Die Benutzer verhalten sich falsch, kennen sich nicht aus und sind auch nicht zu belehren. Tatsächlich stehen Sicherheitsexperten und Sensibilisierungsspezialisten in Sachen Phishing vor drei Problemen, die sich gegenseitig verstärken:

• E-Mail ist bauartbedingt unsicher – die Benutzer wissen das aber nicht oder ignorieren es.
• Informationssicherheit ist schwer zu lernen.
• Die Sicherheitspädagogik von Sicherheitsexperten und Sensibilisierungs-Spezialisten wird durch ein ungeeignetes Menschenbild behindert.

Fragwürdige E-Mail-Nutzung

E-Mail ist die meistgenutzte Anwendung im Internet. Sie wird heute von vielen Benutzern als Schweizer Taschenmesser der elektronischen Kommunikation (Text, Bilder, Dokumente, Videos), der Team- und Projekt-Organisation und der persönlichen Ordnung (Termine, Adressen, Dokumente etc.) angesehen und auch so benutzt. Das liegt in der Hauptsache daran, dass sich E-Mail-Clients seit der Erfi ndung der E-Mail durch Ray Tomlinson im Jahr 1971 so weit entwickelt haben, dass sie universell einsetzbar sind.

Das täuscht darüber hinweg, dass E-Mail ursprünglich zum Transport von einfachen Textbotschaften von einem Absender an einem Rechner an Ort A zu einem Empfänger an einem anderen Rechner an Ort B erfunden wurde. E-Mail verhält sich den Plänen seiner Erfi nder zufolge wie eine Postkarte, die Heiner Müller im Kronos Hotel, Heraklion, Griechenland zur Zustellung an Christine Haggard, Abbey Road, London, Great Britain aufgibt: Vom Einwurf in den Briefkasten der griechischen Post bis zur Auslieferung in die Londoner Wohnung dauert es eine unbestimmte Zeit; Transport und Zustellung können fehlschlagen und jeder, der die Postkarte auf dem Weg zufällig oder absichtlich in die Hände bekommt, kann sie lesen und selbst noch etwas dazuschreiben.

Das zeigt, dass Internet-EMail (per SMTP) an sich nicht geeignet ist für

• termingebundene Inhalte,
• vertrauliche Nachrichten,
• garantierte Zustellung,
• Willenserklärungen, die der Schriftform bedürfen und
• alles andere, was man nicht mit einer Postkarte erledigen würde.

Die Wahrscheinlichkeit ist groß, dass ein E-Mail-Benutzer (und Mitarbeiter) das nicht weiß oder schon wieder vergessen hat, weil es nicht zu seiner Vorstellung passt, was E-Mail sein sollte: ein sicherer Aufbewahrungsort für alles, was wichtig ist, und die Möglichkeit, all das innerhalb und außerhalb der Organisationsgrenzen sicher zu versenden und zu empfangen. Das ist kein Wunder, denn die Softwarehersteller fördern diese Vorstellung durch ihr Bemühen, die E-Mail-Clients mit jeder Version funktional mächtiger und in der Bedienung einfacher zu machen, hauptsächlich indem sie die Komplexität der E-Mail-Nutzung vor dem Benutzer verstecken.

Sicherheit ist schwierig

Wenn ein Sicherheits- und Sensibilisierungsexperte diese Vorstellung – das mentale Modell des Benutzers – zurechtrücken will und zeigt, wie E-Mail wirklich funktioniert und wie sehr man als Benutzer auf ihre bauartbedingten Sicherheitsprobleme achten muss, hat er einen schweren Stand. Denn E-Mail funktioniert in der Praxis so gut, dass wegen der wenigen Fälle, in denen sie nicht gut funktioniert oder Schaden verursacht, kaum jemand glaubt, dass E-Mail eigentlich unsicher ist. Oder die Problematik wird ignoriert und das mentale Modell beibehalten, weil man in der Arbeits- und Lebensrealität keine vergleichbar komfortablen Alternativen sieht.

Die Persistenz unsicherer Werkzeuge und unsicherer Verhaltensweisen liegt vor allem auch daran, dass Informationssicherheit ein abstraktes Konzept ist, das nur schwer gelernt werden kann. Die Entscheidung für Sicherheit hat kein sichtbares Ergebnis und es gibt keine sichtbare Bedrohung – die Belohnung für sicheres Verhalten ist, dass nichts Schlimmes passiert.

In einer üblichen Lernsituation wird Verhalten durch positive Verstärkung geformt: Wenn wir etwas richtig machen, werden wir belohnt. Im Fall von Sicherheitsentscheidungen ist die positive Verstärkung höchstens eine geringere Wahrscheinlichkeit, dass etwas Schlimmes geschieht. Wenn aber doch etwas Schlimmes geschieht (was selten der Fall ist oder nicht bemerkt wird), dann kann das Tage, Wochen oder Monate von der falschen Entscheidung entfernt sein. Das macht das Lernen negativer Konsequenzen extrem schwer – ausgenommen im Fall spektakulärer Katastrophen.

Nürnberger Trichter und was danach kam

Ein weiteres Problem der Erziehung zu besserem Verhalten für Informationssicherheit ist, dass es generell zu wenig Sicherheitserziehung gibt und diese auch noch didaktisch ungünstig verpackt wird. Im Wesentlichen plagt die Sicherheitspädagogik die Nürnberger-Trichter-Methode und ihre zentralen Annahmen, unter anderem:

• Der Lehrende weiß, was der Lernende wissen muss.
• Wissen lässt sich mithilfe von Sprache vermitteln.
• Die Aufgabe der Lernenden ist es, sich das Wissen durch Abspeicherung im Gedächtnis anzueignen.
• Der Lernprozess ist umso erfolgreicher, je mehr Lernstoff vermittelt wird.

Das Ergebnis dieser Methode ist jedoch „träges Wissen“ [3] – ein Begriff aus der Kognitions- und Lernpsychologie, der ein theoretisch zwar vorhandenes Wissen beschreibt, das in der Praxis jedoch nicht angewendet werden kann. Es gibt eine Kluft zwischen Wissen und Handeln. Ein bekanntes Beispiel ist die mangelnde Fähigkeit, Vokabeln einer Fremdsprache, die man für die Abfrage im Unterricht gelernt hat, auch in einer konkreten Kommunikationssituation abzurufen.

Neuere Erkenntnisse der Kognitionspsychologie legen nahe, dass erfolgreiches Lernen anders erfolgen sollte: Das Paradigma der sogenannten konstruktivistischen Didaktik lautet, dass Wissen nicht vermittelbar ist [4]. Stattdessen ist es die Aufgabe des Lehrers, dem Schüler dabei zu helfen, selbst Wissen zu konstruieren und zugleich die rezeptive Haltung des Frontalunterrichts zu überwinden, die ebenfalls als ursächlich für das Entstehen trägen Wissens angesehen wird. Dies gelingt durch die Gestaltung situierter Lernumgebungen, zum Beispiel in Form von Simulationen und Planspielen (s. a. S. 63): Durch „Learning by Doing“ werden die Inhalte mit bestimmten alltäglichen Situationen verknüpft und führen so zu anwendungsnahem Wissen, das umgesetzt und an wechselnde Anforderungen angepasst werden kann.

Der weite Weg vom Wissen zum Handeln

Viele Sensibilisierungsprofis haben in den letzten 15 Jahren – geprägt von ihren eigenen Schulerfahrungen – irrtümlicherweise geglaubt, dass man die Human Firewall durch Vermittlung von Wissen härten kann. Die verbreitete Vorstellung war (und ist vielfach auch noch), dass man nur erklären muss, wie gefährlich E-Mail sein kann, und schon verhalten sich die Empfänger vorsichtig und richtig. Das hat nicht funktioniert! Die „Theorie des geplanten Handelns“ [5] gibt uns auch recht deutliche Hinweise auf den Grund: Der Weg vom Wissen zum Handeln ist weit (Abb. 2).

Ein Beispiel: Heiner Müller hat einen Vortrag über den Angriffsvektor „E-Mail“ gehört und weiß danach im Prinzip, dass bei E-Mails – anders als er vorher dachte – nicht alles so ist, wie es scheint. Er hat verstanden, dass E-Mail keine synchrone Kommunikation wie das Telefon, sondern eher mit einer Postkarte zu vergleichen ist. Und bei einer Postkarte ist nichts sicher – nicht der Absender, nicht die Unversehrtheit auf dem Postweg und es gibt auch keine Garantie, dass sie überhaupt ankommt (soweit zum „Wissen“). Müller hat verstanden und akzeptiert, dass die IT-Abteilung seines Arbeitgebers ihren Mitarbeitern keine vollkommen sichere Arbeitsumgebung zur Verfügung stellen kann und er selbst dazu beitragen muss, dass nichts passiert (Einstellung).

Der aufgeklärte Mitarbeiter hat nun auch die Absicht, sein Wissen einzusetzen und beim Umgang mit E-Mails daran zu denken, dass man prüfen sollte, ob der Absender der sein kann, der er zu sein vorgibt – dass man bei eingebetteten Links schauen sollte, ob sie auf eine sichere Website führen, dass Anhänge Schadcode enthalten können, der beim Öffnen ausgeführt wird, und dass man niemals sensitive Informationen per E-Mail an Adressen außerhalb des Unternehmens geben sollte, nicht per Webformular und auch nicht per E-Mail-Anhang … (Verhaltensabsichten) Heiner Müller hat sogar versucht, sich im E-Learning-System seines Unternehmens anzueignen, wie man den E-Mail-Header anzeigen und was man daraus alles schließen kann (Fähigkeiten/Fertigkeiten).

Und dann kommt Tag X: Es ist extrem viel zu tun, E-Mails kommen rein, E-Mails gehen raus – mit Anhängen, ohne Anhänge. Der Chef schaut kurz vorbei, um etwas Trost und Lob zu bringen. Müller freut sich, dass er berichten kann: „Ich habe Ihnen die Unterlagen vorhin schon geschickt.“ Und der Chef so: „Welche Unterlagen? Ich habe nicht nach Unterlagen gefragt?!“ Autsch! Das war dann wohl eine PhishingMail – CEO Fraud (Punktlandung: Verhalten).

Hat Müller einen Fehler gemacht? Das hängt von der Perspektive ab: Wenn es seine Hauptaufgabe ist, niemals einen Fehler zu machen (z. B. als Sachverständiger für E-Mails mit der Aufgabe der Vorprüfung – eine echte Human Firewall also, die für andere Sicherheit herstellt), dann hat er einen Fehler gemacht. Wenn es seine Hauptaufgabe ist, andere im eigenen und in kooperierenden Unternehmen mit Informationen bei ihrer Arbeit zu unterstützen, dann war er jedoch im Arbeitsfluss hocheffizient und hat ein Lob seines Vorgesetzten verdient.

Live-Phishing-Training

Live-Phishing-Training macht sich die Erkenntnisse moderner Psychologie und Pädagogik zunutze. Die Anbieter entsprechender Fortbildungen und Phishing-Simulatoren (siehe unten) gehen explizit oder implizit davon aus, dass professionelles Handeln bedeutet, komplexe Tätigkeiten „wie im Schlaf“ ausführen zu können. Die richtige Abfolge von Teilhandlungen braucht nach entsprechendem Training keine bewussten Entscheidungen mehr – die Ausübung der komplexen Tätigkeit ist weitgehend unbewusst und habitualisiert, der Handelnde wirkt virtuos, die Tätigkeit ist ihm zur zweiten Natur geworden. Das entspricht im Wesentlichen auch der vom NIST vorgeschlagenen Abfolge von Awareness – Training – Education im Lernkontinuum der Informationssicherheit [6].

Virtuosität und Professionalität brauchen Übung und Anwendung des Geübten in vielen unterschiedlichen Situationen. Dann lässt sich das Gelernte aber im Gegensatz zu „trägem Wissen“ schnell und flexibel in richtiges Handeln umsetzen.

Um zum Beispiel das Erkennen von Spear-Phishing zu professionalisieren, muss geübt werden – muss der Lerner Spear-Phishing kennenlernen und sich aktiv damit auseinandersetzen. Die geeignete situierte Lernumgebung hierzu sind Simulationen, in denen der Lerner mit einer realistischen Phishing-E-Mail „angegriffen“ wird – allerdings ohne wirklich Schaden zu nehmen. Die durch das Erschrecken gesteigerte Aufmerksamkeit für das Thema wird dazu genutzt, dem Lerner zu zeigen, wie er es das nächste Mal besser machen und wo er mehr über den Angriff und die Gründe für sein (fehlerhaftes) Verhalten erfahren kann.

Phishing-Simulationen ersetzen jedoch in keiner Weise andere Sensibilisierungsmaßnahmen, sondern sind vielmehr die Klammer, die andere Maßnahmen zusammenhält, für die nötige Aufmerksamkeit der Lerner sorgt und richtige Reaktionen auf die immer wieder neuen Phishing-Variationen der Angreifer trainiert (vgl. Abb. 3).

Sicherheit für Kommunen in Schleswig-Holstein

Das Projekt „Sicherheit für Kommunen in Schleswig-Holstein“ (SiKoSH) ist ein Projekt des „Kommunalen Forums für Informationstechnik der Kommunalen Landesverbände in Schleswig-Holstein e. V.“ (KomFIT e. V.). Das KomFIT berät die kommunalen Landesverbände in verbandsübergreifenden IT-Angelegenheiten in den Themenbereichen E-Government, Informations- und Kommunikationstechnik und Informations-Sicherheit.

SiKoSH erarbeitet mit kommunalen Praktikern aus Schleswig-Holstein sowie Partnern aus anderen Bundesländern zahlreiche Hilfestellungen zum Aufbau eines nachhaltigen Informationssicherheitsmanagementsystems (ISMS) innerhalb von Kommunalverwaltungen. Fachlich wird das Projekt dabei tatkräftig durch das Unabhängige Landeszentrum für Datenschutz (ULD), den Landesrechnungshof, Dataport und durch externe Berater unterstützt.

Alle Arbeitsergebnisse sind unter www.sikosh.de abrufbar und können unter Beachtung der Lizenzbedingungen auch von Behörden außerhalb Schleswig-Holsteins adaptiert und intern angepasst werden. Für Rückfragen steht SiKoSH unter sikosh@komfit.de zur Verfügung.

Phishing in Kiel

Die Arbeitsgruppe Informationssicherheit der Landeshauptstadt (LH) Kiel arbeitet eng mit dem Projekt „Sicherheit für Kommunen in Schleswig-Holstein“ (SiKoSH) zusammen (siehe Kasten) und führt im Rahmen der Mitarbeitersensibilisierung im Bereich Informationssicherheit eine Kampagne nach dem Muster von Abbildung 3 durch.

Es gibt zwar auf dem allgemeinen Markt inzwischen eine ganze Reihe von Anbietern mit guter Expertise in der Durchführung von Live-Phishing-Trainings (z. B. www.knowbe4.com, https://phishme.com, https://mazebolt.com, www.phishlabs.com oder https://securityiq.infosecinstitute.com). Aus verschiedenen Gründen erscheinen diese Angebote für Kommunen und andere Behörden jedoch nicht gut geeignet. Die wichtigsten Gründe dafür sind, dass die Kosten die üblicherweise in Behörden zur Verfügung stehenden Mittel übersteigen und die Angebote außerdem externe Cloud-Services sind, was mehrere Einschränkungen und Probleme bedeutet:

• E-Mail-Adressen und andere Daten (z. B. Vor- und Nachname), die für die Phishing-Mails wichtig sind, müssen an einen externen Dienstleister übermittelt werden – das ist objektiv und subjektiv problematisch.
• Die Anpassbarkeit von Phishing-Simulator und Trainingsumgebung an die lokalen Bedürfnisse einer Einrichtung ist begrenzt – das Geschäftsmodell der Anbieter bevorzugt die massenhafte Wiederholung generischer Angriffe.
• Die Einrichtung hat nach dem Training nichts in der Hand und kann ohne den externen Anbieter die Phishing-Simulationen nicht selbst weiter voranbringen.

Die Landeshauptstadt Kiel hat sich deshalb dazu entschieden, mit dem „co3tools Phishing Simulator“ eine Open-Source-Lösung aufzubauen. Es ist geplant, diesen Phishing-Simulator in den SiKoSH-Werkzeugkasten mit aufzunehmen und anderen Interessenten für die eigenen Schulungs- und Trainingsmaßnahmen zur Verfügung zu stellen.

Mit Stand Anfang März 2018 wurden bereits zwei Live-Phishing-Trainings durchgeführt, von denen das zweite aus gegebenem Anlass (Bundeshack) hier kurz beschrieben wird. Tabelle 1 gibt einen Überblick über diese zweite Welle der Kampagne.

Ablauf und Ergebnisse

Die Phishing-Simulation lief über gut zwei Tage im Dezember 2017. Dazu versendete das System von der Adresse „gutschein@cemtkiel.de“ eine E-Mail mit persönlicher Ansprache und einem Gutschein (.pdf) zum Ausdrucken in der Anlage. Das Öffnen der Anlage bewirkte einen Acrobat-Sicherheitshinweis, der akzeptiert werden muss, um einen Befehl an den Simulationsserver zu schicken und über den Browser auf dem Rechner der Benutzerin/des Benutzers eine HTML-Webseite zu öffnen – all dies bewirkte einen Eintrag in der Datenbank des Simulationsservers.

„Nachzügler“ unter den Mitarbeiterinnen und Mitarbeitern, die nach dem Ende der Aktion den heiklen Klick ausführen, sehen eine Fehlerseite im Browser, Aktivitäten zur Öffnung des E-Mail-Anhangs werden nicht weiter gezählt.

Insgesamt hat rund jeder Siebte Mitarbeiter (14 %) den E-Mail-Anhang geöffnet und die Sicherheitswarnung von Adobe Acrobat ignoriert. Das erste Öffnen des heiklen Attachments wurde 2 Minuten nach Beginn der Aussendungen registriert. Der IT-Service der Landeshauptstadt Kiel, der in die Aktion nicht eingeweiht war, reagierte sehr schnell und hatte bereits 23 Minuten nach Beginn des „Angriffs“ eine Warnung ins Intranet gestellt. Zu diesem Zeitpunkt hatten allerdings schon 28 Mitarbeiterinnen oder Mitarbeiter den Mailanhang geöffnet und den (simulierten) Schadcode ausgeführt.

Der Zeitverlauf zeigt eindrucksvoll die prinzipielle Tücke und Gefährlichkeit von Phishing-Mails: Wenn der Angriff bemerkt wird, war er im Grunde bereits erfolgreich. Gleichzeitig betont der Ablauf, dass eine gute und schnelle Kommunikation zwischen Benutzern und IT-Sachverständigen eine der wichtigeren Voraussetzungen für die Widerstandsfähigkeit gegen Cyber-Angriffe ist.

Drei Stunden nach dem Beginn der Aussendung der simulierten Phishing-E-Mail hatten schon zwei Drittel aller beobachteten Aktivierungen des Schadcodes stattgefunden. Dieses für Phishing-Angriffe typische Phänomen spricht dafür, dass

• Prävention zur Vermeidung ungünstigen Nutzerverhaltens (wie die Sensibilisierungskampagne der LH Kiel) und
• Reaktion sofort nach Bemerken eines Phishing-Angriffs die beiden wichtigsten organisatorischen Maßnahmen zur Härtung der „Human Firewall“ gegen Phishing-Angriffe sind.

Der Text der simulierten Phishing-E-Mail der Kampagne setzte die Attacke in den Kontext einer vorweihnachtlich frohen Stimmung der Mitarbeiterinnen und Mitarbeiter der Landeshauptstadt. Er nutzte die Erwartung aus, am Ende eines Arbeitsjahres auch ein „Dankeschön“ für die geleistete Arbeit zu erhalten. Dass dieses „Danke“ gleich mit einem Glühwein-Gutschein für den lokalen Weihnachtsmarkt daherkommt, machte die Zuschrift nur noch sympathischer (Abb. 4).

Insgesamt kann man die Phishing-Nachricht als „gut gemacht“ bezeichnen. Allerdings gab es auch Hinweise, die Mitarbeiter als Anzeichen für eine Attacke hätten werten können:

• Die Nachricht hatte einen unbekannten Absender – die Domain „CEMT-Kiel“ gab es vorher nicht, sie wurde nur für diesen Zweck eingerichtet.
• Warnung eines Anwendungsprogramms (PDF-Reader) mit der Anfrage, einen Zugriff von Code in einem Dokument auf eine externe Website zuzulassen (Abb. 5).

Erst das Ignorieren der Acrobat-Reader-Sicherheitswarnung führte dazu, dass das Dokument im Anhang der Phishing-Mail aktiv wurde (siehe Abb. 6) und der eingebettete Code eine HTML-Seite des Phishing-Simulationsservers mit einem gleichlautenden Inhalt im Browser des Benutzers anzeigte.

Reaktionen der Beteiligten

Das Live-Phishing-Training übertraf die Erwartungen aller Beteiligten und – das war deutlich zu spüren – hat auch Spaß gemacht. Zudem zeigte es Wirkung: In der zweiten Welle hatte sich die Klickrate im Vergleich zur ersten Angriffssimulation halbiert.

Die Nutzerreaktionen – Anrufe beim IT-Servicedesk oder beim behördlichen Datenschutzbeauftragten, Nutzung des Sicherheitstrainings BITS im Intranet der Landeshauptstadt, Reaktionen auf die begleitende Berichterstattung in der Mitarbeiterzeitschrift „Binnenblick“, interne Schulungsmaßnahmen – waren in der Hauptsache positiv, die wenigen negativen Reaktionen lehrreich. Hier eine kleine Auswahl:

• „Danke, eine sehr gute Idee und sehr lehrreich!!“
• „Ich war an dem Gutschein gar nicht so interessiert, aber sehr neugierig, wer denn hier lobt (das passiert bei der Stadt ja eher selten), und ich vertraue auch unterbewusst auf die städtischen Abwehrmaßnahmen (zu Hause hätte ich keinen Gutschein aufgemacht, weil ich weiß, dass mir niemand etwas schenken will). Eine gute Aktion!!!“
• „Völlig zerknirscht gebe ich zur Kenntnis, dass ich auf eine Phishing-Mail hereingefallen bin.“
• „Ich finde es sehr ungehörig, uns so eine Fake-Phishingmail zu schicken. Ich gehe davon aus, dass in diesem Account alles ’sicher‘ ist. Wenn man sich nicht mehr darauf verlassen kann, werde ich zukünftig nichts mehr in diesem Account öffnen.“

Ebenfalls positiv war zu bemerken, dass die Benutzer untereinander über Phishing-E-Mails sprechen – und wie man sie erkennen kann. Sie fragen bei Kollegen, im IT-Servicedesk und beim Datenschutzbeauftragten nach, wenn ihnen eine E-Mail komisch vorkommt.

Fazit: Die Organisationskultur der Landeshauptstadt Kiel ist gesund, die E-Mail-Nutzung zweifellos sicherer geworden. Die Arbeitsgruppe Informationssicherheit der LH Kiel und das Projekt SiKoSH werden das Live-Phishing-Training auch zukünftig weiterführen, um bei den Mitarbeiterinnen und Mitarbeitern sichere Reflexe im Umgang mit E-Mails auszubilden.

Werner Degenhardt ist Akad. Dir. und CIO i. R. an der LMU München sowie Specialist Human Factors in Information Security bei Code and Concept. Andreas Amann ist behördlicher Datenschutzbeauftragter, Jan Koppelmann IT-Leiter der Landeshauptstadt Kiel. Frank Weidemann ist Projektleiter im Kommunalen Forum für Informationstechnik e. V. (KomFIT).

Literatur

[1] Bruce Schneier, Semantic Attacks: The Third Wave of Network Attacks, in: Crypto-Gram 15. Oktober 2000, www.schneier.com/crypto-gram/archives/2000/1015.html#1
[2] Fred Sampson, A penny for your thoughts, a latte for your password, ACM XIII.1, Jan./ Feb. 2006, S. 8, ISSN 1072-5520, online auf http://interactions.acm.org/archive/view/january-february2006/a-penny-for-your-thoughts-alatte-for-your-password1
[3] Alexander Renkl, Träges Wissen: Die „unerklärliche“ Kluft zwischen Wissen und Handeln, Forschungsbericht Nr. 41, Ludwig-Maximilians-Universität München, September 1994, ISSN 1614-6336
[4] Werner Brandl, Lernen als „konstruktiver“ Prozess: Trugbild oder Wirklichkeit?, Schulmagazin 5 bis 10, Heft 5/1997, S. 1, online auf http://mediaculture-online.de/fileadmin/user_upload/Medienbildung_MCO/fileadmin/bibliothek/brandl_lernen/brandl_lernen.pdf
[5] Dieter Frey, Dagmar Stahlberg, Peter M. Gollwitzer, Einstellung und Verhalten: Die Theorie des überlegten Handelns und die Theorie des geplanten Verhaltens, in: Dieter Frey, Martin Irle (Hrsg.), Theorien der Sozialpsychologie, Band 1: Kognitive Theorien, S. 361, ISBN 978-3-456-82038-5
[6] National Institute of Standards and Technology (NIST), Building an Information Technology Security Awareness and Training Program, NIST Special Publication SP 800-50, https://csrc.nist.gov/publications/detail/sp/800-50/final