Bei IT-Sicherheit denken viele zuerst an Firewalls und das Einspielen von Updates, um bekannte Software-Fehler zu beheben. Aber oftmals finden Hacker einen Weg in ein gesichertes Computer-Netzwerk und das auch gar nicht so selten durch gut vorbereitete E-Mails. Nahezu jeder kennt Phishing-Mails als E-Mails von wildfremden Menschen, wie einem Prinz von Nigeria, der zufällig dem Empfänger der E-Mail eine große Geldsumme schenken will. Diese klassische Art von Phishing ist mittlerweile auch vielen Computer-Benutzern bekannt, sodass deren Erfolgreichsgrad mit unter einem Prozent eher überschaubar ist. Diese Art von E-Mails werden meistens auch von Spam-Filtern erkannt und aussortiert.

Deutlich unbekannter, aber auch erfolgreicher, sind sogenannt Spear-Phishing E-Mails. Hierbei handelt es sich um Phishing-Mails, die speziell auf einen Empfänger zugeschnitten wurden. Konkretes Beispiel: In einem Unternehmen arbeitet ein Mitarbeiter, der sich für Autorennen interessiert. Diese Information ist oftmals auch in sozialen Netzwerken für jederman einsehbar (üblicherweise ist auf solchen Profilen auch der Arbeitgeber vermerkt). Hacker können nun aus diesen Informationen eine E-Mails designen, die als Content eben das Thema Autorennen beinhaltet. Das kann zum Beispiel der Hinweis auf ein neues Forum zu diesem Thema sein, gleich direkt mit einem Link dorthin (Spoiler: Dieser Link ist natürlich auch gefaket und verweist auf eine präparierte Website, die zum Beispiel eine Sicherheitslücke in einem Browser ausnutzt). Damit die E-Mail noch vertrauenswürdiger wird, wird als Absender einer Kollege der anvisierten Empfängers in die E-Mail eingetragen. Denn Absender-Informationen einer E-Mail können leicht gefälscht werden. Somit sieht der Empfänger eine E-Mail, angeblich von einem Kollegen mit für ihn interessanten Inhalt und einem Link. Die Wahrscheinlichkeit, dass derEmpfänger einer solchen E-Mail keinen Verdacht hegt, dass da etwas faul sein könnte, ist ziemlich hoch. Damit ist auch die Wahrscheinlichkeit sehr hoch, dass der Benutzer auf den Link in der E-Mail klickt und somit die präperierte Webseite öffnet. 

Diese Spear-Phishing E-Mails sind so individuell, dass herkömmliche Spam-Filter diese nicht erkennen. Denn Spam-Filter vergleichen E-Mails mit bekannten Phishing-Mails und wenn hierbei eine große Übereinstimmung des Inhaltes erkannt wird, wird eine E-Mail als Spam/Phishing klassifiziert. Bei Spear-Phishing ist der Content jedoch ganz einzigartig und daher nicht mit bekannten (Massen)-Phishing E-Mails vergleichbar.

Wie kann dieses Problem behoben werden? Das ist die Kernfrage meiner Masterarbeit. Die Idee ist, die Autorschaft von E-Mails zu verifizieren. Daher wird die zu entwickelende App anhand von einigen, bereits empfangen E-Mails, lernen mit welchem Stil ein Autor schreibt. Diese Daten werden anschließend genutzt, um neue E-Mails von diesem Autor mit den bekannten E-Mails zu vergleichen und so die Autorschaft zu verifizieren. Im obrigen Beispiel sollte dieser Ansatz dazu führen, dass die E-Mail als nicht vertrauenswürdig eingestuft wird, da der Hacker (sehr wahrscheinlich) einen anderen Schreibstil hat als der echte Kollege.