Anti-Phishing-Banner: Ausreichende Warnung vor externen E-Mails oder weitere Gefahr?
Phishing ist zu einem bekannten Problem für Unternehmen aller Branchen und Größenordnungen geworden. Um dieses aktiv zu bekämpfen, setzen einige Unternehmen auf Anti-Phishing-Banner. Diese werden im Header von externen E-Mails angezeigt und machen deutlich: “Vorsicht, diese E-Mail kommt von außerhalb und stammt NICHT aus Ihrem Unternehmen”. Ziel ist es, die Belegschaft für die Gefahr zu sensibilisieren. Das Problem: Auch diese Banner bieten keinen 100-prozentigen Schutz. Im Gegenteil! Sie können Hackern sogar Tür und Tor öffnen.
HTML-E-Mails sind aufgebaut wie klassische Websites: Sie gliedern sich in einen Head- und einen Body-Bereich auf. Das ist gefährlich. Denn auf diese Weise können erfahrene Angreifer im Head einer HMTL-E-Mail eigene Style-Attribute hinterlegen, die Auswirkungen auf nachträglich eingefügte Inhalte haben. Der Style wird so konfiguriert, dass er die warnenden Elemente, das Anti-Phishing-Banner, einfach ausblendet. Wie das genau funktioniert, haben Sicherheitsforscher vom Pentest-Experten Syss in diesem Fachartikel (PDF-Download, 13 Seiten, 726KB) ausführlich beschrieben.
Kurz zusammengefasst: Setzt ein Unternehmen auf Anti-Phishing-Banner, können Hacker diese nutzen, um Vertrauen in ihre eigenen Phishing-Mails zu erwecken. Denn der ausgeblendete Banner signalisiert dem Empfänger: “Diese E-Mail und ihre Anhänge können bedenkenlos geöffnet werden.” Doch genau das ist nicht der Fall.
Extern-Banner erhöhen die Aufmerksamkeit – bergen aber auch Gefahren
Grundsätzlich sind die Anti-Phishing-Banner eine gute Sache. Sie erhöhen die Aufmerksamkeit der Belegschaft und rufen mit jeder E-Mail in Erinnerung, dass externe E-Mails eine Gefahr sein können. Zudem geben Sie der Belegschaft Sicherheit, denn diese weiß: Wird mir ein Extern-Banner angezeigt, muss ich der E-Mail vorsichtiger begegnen als internen Mails.
Allerdings sind Anti-Phishing-Banner kein Allheilmittel. Und das ist zwei Gefahren geschuldet:
- Die Mitarbeiter:innen fangen irgendwann an, die Banner nicht mehr wahrzunehmen. Es tritt ein Gewöhnungseffekt ein. E-Mails ohne Banner werden ganz ohne Hinterfragen geöffnet. Aber auch E-Mails mit Banner – also externe Mails – werden mit der Zeit als keine mögliche Bedrohung mehr wahrgenommen.
- Die E-Mails lassen sich technisch manipulieren. Wie oben beschrieben, ist es Angreifenden möglich, die Banner einfach auszublenden. So tarnt sich eine Phishing-Mail schnell als vermeintlich sichere, interne Nachricht.
Eine Möglichkeit, Hacker von dem Ausblenden der Banner abzuhalten, besteht darin, auf die HTML-Formatierung in E-Mails zu verzichten. Denn: HTML bietet zu viele Möglichkeiten für Manipulation. Die Lösung: Auf reine Text-E-Mail setzen – auch wenn diese optisch nicht so schön aussehen, wie die HTML-Varianten.
Fazit: Anti-Phishing-Banner allein, reichen nicht aus!
Extern-Banner sind durchaus eine gute Ergänzung der eigenen Security Awareness Strategie – aber keineswegs ein Allheilmittel. Sobald sich die Belegschaft zu sehr auf die Banner verlässt, werden diese mehr zur Gefahrquelle, als dass sie zur Sicherheit beitragen.
Wir raten dazu, gänzlich auf die HTML-Banner zu verzichten. Schwerer für Kriminelle auszutricksen sind hingegen Ergänzungen im E-Mail Betreff. Grundsätzlich sind die Banner als eine ergänzende Maßnahme der eigenen Informationssicherheit-Strategie zu verstehen. Den besten Schutz bietet eine nachhaltige Sicherheitskultur – bestehend aus technischen Filtern und Scannern, eine schlagkräftige Meldekette, Incident Response Mechanismen sowie einem professionellen Security Awareness Training, das der Belegschaft genau zeigt, wie sie korrekt und sicher mit eingehenden E-Mails umgeht.
Sie wollen einen ersten Einblick bekommen, wie es um die Awareness in Ihrem Unternehmen aussieht? Dann melden Sie sich zu unserer kostenlosen Phishing-Simulation an.