In jüngster Zeit wurde bekannt, dass die Wahlkampagne von Donald Trump Opfer eines gezielten Spear-Phishing-Angriffs geworden ist. Angesichts der Schwere der Konsequenzen stellt sich die Frage: Hätte eine umfassende Anwendung des Microsoft Purview Compliance Centers diesen Angriff verhindern oder zumindest die Auswirkungen mildern können?
Was ist passiert?
Im Juni diesen Jahres fand ein Hackerangriff auf die Wahlkampagne von Donald Trump statt. Es handelt sich um einen präzise ausgeführten Spear-Phishing-Vorfall.
Weitere Infos findest Du bspw. hier: Trump 2024 Campaign Hack Explainer—What, How, Who And Why? (forbes.com)
Exkurs: Was ist Spear-Phishing?
Spear -Phishing ist eine gezielte Form des Phishing, bei der Angreifer spezifische Personen oder Organisationen ins Visier nehmen. Hier sind die Hauptunterschiede:
Zielgerichtet: Spear Phishing richtet sich an eine bestimmte Person oder Gruppe, während allgemeines Phishing massenhaft an viele Empfänger gesendet wird.
Personalisierte Nachrichten: Die Angreifer verwenden Informationen über das Ziel, um die Nachrichten glaubwürdiger und vertrauenswürdiger erscheinen zu lassen. Dies kann Informationen aus sozialen Medien oder anderen öffentlichen Quellen umfassen.
Täuschung: Die Nachrichten sehen oft so aus, als kämen sie von einer vertrauenswürdigen Quelle, wie einem Kollegen, einem Vorgesetzten oder einer bekannten Organisation.
Ein typischer Spear-Phishing-Vorfall könnte so aussehen: Ein Mitarbeiter erhält eine E-Mail, die scheinbar von seinem Vorgesetzten stammt und ihn auffordert, auf einen Link zu klicken oder einen Anhang zu öffnen. Der Link führt zu einer gefälschten Website, die darauf abzielt, Anmeldedaten zu stehlen, oder der Anhang enthält schädliche Software.
Die Angreifer nutzten ein kompromittiertes E-Mail-Konto eines ehemaligen Beraters, um eine E-Mail mit einem gefälschten Hyperlink an eine hochrangige Kampagnenoffizielle zu senden. Dieser Link führte zu einer Domain, die von den Angreifern kontrolliert wurde, und leitete dann auf die angegebene legitime Domain um. Hierdurch haben sich die Hacker Zugriff auf den gesamten Datenverkehr verschafft, der über diese Domain gelaufen ist. Dies könnte den Zugriff auf alle vom Empfänger versendeten Dateien, Anmeldedaten oder andere vertrauliche Informationen umfassen, die über den gefälschten Link übermittelt wurden. Die Umleitung zur legitimen Domain sorgte dafür, dass der Empfänger keinen Verdacht schöpfte und glaubte, sich auf der richtigen Website zu befinden.
Microsoft äußert sich zu den Spear Phishing Attacken hier: 5bc57431-a7a9-49ad-944d-b93b7d35d0fc.pdf (microsoft.com)
Hätte der Angriff mit Microsoft Boardmitteln verhindert werden können?
Wenn es sich tatsächlich um einen Spear-Phishing-Angriff handelt, hätte dieser mit hoher Wahrscheinlichkeit durch eine ausgefeilte Microsoft Security-Konfiguration verhindert werden können. Im Folgenden gehe ich aus meiner Kernkompetenz heraus und beschreibe grundsätzliche Security Maßnahmen, die den Angriff gänzlich hätten verhindern können.
Identity Protection kann als erste Verteidigungslinie gegen Spear-Phishing-Angriffe dienen, indem es Anmeldeaktivitäten kontinuierlich überwacht. Verdächtige Anmeldungen aus unbekannten Standorten oder von ungewöhnlichen Geräten werden so frühzeitig erkannt und können blockiert werden.
Im nächsten Schritt bietet der erweiterte Bedrohungsschutz eine zusätzliche Ebene der Sicherheit, indem er verdächtige E-Mails mit bösartigen Anhängen oder Links bereits vor dem Erreichen des Posteingangs identifiziert und blockiert.
Um die Sicherheit weiter zu erhöhen, ist die Multi-Faktor-Authentifizierung (MFA) unerlässlich. Durch die Forderung nach einem zusätzlichen Authentifizierungsfaktor, wie beispielsweise einem SMS-Code oder einer Push-Benachrichtigung, wird es für Angreifer deutlich erschwert, sich unbefugt Zugang zu einem Konto zu verschaffen.
Durch die Kombination dieser Sicherheitsmaßnahmen entsteht eine robuste Verteidigungsstrategie gegen Spear-Phishing-Angriffe, die sowohl technische als auch menschliche Faktoren berücksichtigt. Da Spear-Phishing-Angriffe häufig auf sehr personalisierte Informationen abzielen, ist es zusätzlich von entscheidender Bedeutung, dass Mitarbeiter für die Risiken von Phishing geschult werden und verdächtige E-Mails melden.
Aber was ist, wenn das Kind schon in den Brunnen gefallen ist?
Was ist, wenn trotz aller Vorkehrungen ein Hackerangriff erfolgreich war?
In einem solchen Fall ist es entscheidend, die Auswirkungen zu minimieren und den Verlust sensibler Daten zu verhindern. Hier kommt Data Loss Prevention (DLP) ins Spiel und ich kehre mit meinem Blogartikel zu meinem Fachgebiet zurück ;) .
DLP ist eine Funktion des Microsoft Purview Compliance Centers und ermöglicht es, präzise Regeln für den Umgang mit Daten festzulegen. Durch die Konfiguration von DLP-Richtlinien kann man festlegen, wie genau mit den Unternehmensdaten umgegangen werden darf.
Zum Beispiel kann die Umleitung auf bestimmte Domains blockiert werden oder das Herunterladen sensibler Dateien verhindert werden. Dadurch wird es für Angreifer deutlich erschwert, gestohlene Daten unbemerkt aus unserem Unternehmen zu schleusen.
In unserem Fall bedeutet das, dass Dateien, die als "sensibel" klassifiziert worden sind, nicht auf die externe Domain hätten weitergeleitet werden können. Darüber hinaus kann man im Microsoft Purview Compliance Center festlegen, dass bei einer versuchten Weiterleitung ein Alarm ausgelöst wird. Hierdurch kann ein Hackerangriff frühzeitig erkannt werden und weitere Folgen können eingedämmt werden.
Und was lernen wir aus der Geschicht?
Wider besserer Hoffnung bekomme ich immer wieder den Eindruck, dass nicht nur Unternehmen, sondern auch staatliche Organisationen in Sachen IT-Sicherheit erheblichen Nachholbedarf haben. Oftmals wird der Datenschutz auf die Beauftragung eines Datenschutzbeauftragten reduziert, ohne dass die zugrundeliegenden Prozesse und Strukturen entsprechend angepasst werden. Das ist umso bedauerlicher, als viele Unternehmen bereits über die notwendigen Lizenzen verfügen, um einen hohen Datenschutzstandard zu gewährleisten.
Falls Du gerade eine ansteigende Röte in Deinem Gesicht bemerkst oder kalt-nasse Hände bekommst, melde Dich doch einfach bei mir. Die grundsätzlichen Datenschutzregeln sind schnell umgesetzt ;) .
Was fällt Dir hierzu ein? Hinterlasse mir gerne einen Kommentar!
Comments