SPONSORED-POST Phishing - in Kooperation mit G Data Cyberdefense

Mitarbeiter für gefälschte Mails sensibilisieren

Uhr
von Stefan Karpenstein, Public Relations Manager, G Data Cyberdefense

Phishing ist eine der grössten Gefahren für Unternehmen. Es trifft Mitarbeiter mitten im Arbeitsalltag – wenn sie ihre Aufmerksamkeit auf das kommende Meeting oder den nahenden Feierabend richten. Phishing-Simulationen und Security-Awareness-Trainings sind daher ein wichtiger Bestandteil moderner IT-Security.

Stefan Karpenstein, Public Relations Manager, G Data Cyberdefense
Stefan Karpenstein, Public Relations Manager, G Data Cyberdefense

Cyberkriminelle suchen stets den Weg des geringsten Widerstands, um Netzwerke zu infiltrieren. Ihr Ziel dabei: maximaler Profit. Während Schutztechnologien aber immer besser werden, bleiben Mitarbeiter anfällig für Phishing-Mails. So gelingt es Angreifern immer wieder, Angestellte zu manipulieren, sodass sie einen schädlichen Link anklicken, einen infizierten Dateianhang öffnen oder vertrauliche Daten wie etwa Login-Informationen preisgeben. Dabei nutzen die Kriminellen das menschliche Verhalten, wie Hilfsbereitschaft oder Neugier, konsequent aus. Ein typisches Beispiel sind gefälschte Bewerbungen oder Rechnungen. Immer wieder bauen die Angreifer in den Mails Zeitdruck auf, um die Opfer zum raschen und unüberlegten Handeln zu zwingen. Und wenn ein Mitarbeiter erstmal davon überzeugt ist, dass er aus legitimen Gründen beispielsweise auf einer Webseite sein Passwort eingeben soll, können auch gute technische Sicherheitsmassnahmen, wie eine Zwei-Faktor-Authentifizierung, umgangen werden.

Noch immer landen tagtäglich unzählige Massen-Spam-Mails in den Postfächern von Angestellten. Bei diesen einfachen Phishing-­Mails fehlt beispielsweise die direkte Anrede. Die Nachricht enthält massive Rechtschreib- und Grammatikfehler oder ist in ihrer Argumentation nicht schlüssig. So sind sie in der Regel einfach zu identifizieren. Aber die Zahl gezielter Spear-Phishing-Angriffe nimmt zu. Wer eine verdächtige E-Mail erhält, sollte immer die Legitimität hinterfragen und im Notfall den Absender anrufen oder den zuständigen IT-Mitarbeiter um Hilfe bitten.

Ganzheitliche IT-Sicherheit

Wer im Bereich Cyber Security die Abwehr des Firmennetzwerkes verantwortet, muss sich um die gesamte Kette kümmern. Mitarbeiter sind ein elementarer Bestandteil dieser ganzheitlichen IT-Sicherheitskette. Das Bewusstsein der Angestellten für IT-Sicherheitsrisiken zu verbessern, geht allerdings nicht von heute auf morgen. Das ist vielmehr ein langfristiger Prozess. Dafür bieten sich Security-Awareness-Trainings an. Diese Kurse zielen darauf ab, dass die Angestellten sich aktueller IT-Risiken bewusst werden und Gefahren frühzeitig erkennen. Dann gehen sie auch mit Mails kritischer um oder wählen ihre Passwörter sorgfältiger.

Phishing-Simulationen tragen dazu bei, dass Mitarbeiter Phi­sh­ing-­Attacken frühzeitig erkennen. Die simulierten Phishing-Attacken zeigen Nutzern, dass ein erfolgreicher Angriff jederzeit geschehen kann – und nur einen falschen Klick entfernt ist. Unternehmen können gleichzeitig das IT-Sicherheitsniveau messen. Ein Management-Report zeigt den Verantwortlichen, ob und wie viele Mitarbeiter eine gefährliche Mail geöffnet und unter Umständen den enthaltenen Link angeklickt haben. Mit diesem Wissen sollten Firmen Security-Awareness-Trainings durchführen, um das Bewusstsein der Mitarbeiter für Cybergefahren nachhaltig zu steigern und Wissen aufzubauen.

========

Jeder Mitarbeiter ist anfällig für Phishing

Immer wieder fallen Mitarbeitende auf Phishing-Mails herein und richten grossen Schaden an. Warum Schulungen in Form einer Phishing-Simulation helfen, Cyberangriffe abzuwehren, erklärt Cornelia Lehle, Sales Director, G Data Schweiz. Interview: Marc Landis

Wie können Mitarbeitende für Phishing sensibilisiert werden?

Cornelia Lehle: Eine Phishing-Simulation versetzt Angestellte in die Lage, routinierter mit Phishing umzugehen und steigert das Sicherheitsbewusstsein. Idealerweise dauert die Übung drei bis vier Wochen. Die Phishing-Mails sollten dabei verschiedene Schwierigkeitsstufen abdecken und auch die zeitliche Komponente, also die Uhrzeit des Versands, sollte variieren. Denn die Aufmerksamkeit der Mitarbeitenden ist nicht konstant. So ist mancher in Vorfreude auf den Feierabend oder das Wochenende nicht mehr so aufmerksam wie zu Beginn des Arbeitstags. Ich bin mir ziemlich sicher, dass jeder und jede auf mindestens eine Mail hereinfällt. Aber genau aus diesem Fehler lernen sie am meisten.

Wie kann man sich vor den besonders perfiden Spear-Phishing-Attacken schützen?

Phishing wird immer raffinierter – zwar landen weiterhin unzählige Massen-Mails in den Postfächern, aber die Gefahr durch gezielte Attacken hat zugenommen. Spear-Phishing-Mails sind kaum von echten Nachrichten zu unterscheiden. Hier spähen die Angreifer in so­zialen Medien oder auf der Firmen-Website ihr Opfer aus und erstellen da­rauf aufbauend eine massgeschneiderte Phishing-Mail. In dieser nehmen sie etwa auf eine Veranstaltung Bezug, die ein Mitarbeitender besucht hat. Umso wichtiger ist es also, nicht nur die Infrastruktur, sondern auch die Mitarbeitenden kontinuierlich upzudaten.

Was sollte ein Mitarbeiter tun, der merkt, dass er Phishing-Opfer geworden ist?

Am besten sofort den Rechner vom Firmennetz nehmen, im Zweifel gar Stecker ziehen und umgehend die IT-Verantwortlichen einbeziehen, um den Verdacht überprüfen zu lassen und gegebenenfalls gleich weitere Schritte einzuleiten. An dieser Stelle ist eine entsprechende Firmenkultur, die Mitarbeitende schützt, die Opfer einer Phishing-Mail geworden sind, extrem förderlich. Nur wer offen über mögliche Worst-Case-Szenarien mit seinen Mitarbeitenden spricht, anstelle diese öffentlich zu sanktionieren, schafft innerhalb der Belegschaft meiner Meinung nach langfristig das richtige IT-Sicherheitsbewusstsein.

Was ist das Prozedere aus Unternehmenssicht im Phishing-Fall?

Dazu gehört beispielsweise ein Meldeprozess für verdächtige Mails. Im Verdachtsfall sollten verdächtige Nachrichten nicht einfach gelöscht, sondern überprüft werden. Dann können die IT-­Sicherheitsverantwortlichen umgehend Massnahmen einleiten, wenn sich der Verdacht bestätigt. Dazu gehört etwa die Anpassung der eingesetzten Spam-Filter, damit diese Mails direkt blockiert werden.

Inwiefern muss «Phishing-Awareness» als Teil einer Gesamt-IT-Security-Strategie gesehen werden? Was gehört ausserdem dazu?

Eine aktuelle Studie geht davon aus, dass 91 Prozent aller Cyber­angriffe mit einer Phishing-Mail beginnen – daher sind Mitarbeitende ein elementarer Bestandteil der Verteidigungsstrategie. Das Bewusstsein der Angestellten für IT-Sicherheitsrisiken zu schärfen, ist aber ein langfristiger Prozess. Das geht aus meiner Sicht nur mithilfe von umfangreichen und kontinuierlich durchgeführten Security-Awareness-Trainings. Wenn sich die Angestellten der Risiken bewusst sind, handeln sie vorsichtiger und gehen kritischer mit Mails um. Gleichzeitig eignen sie sich Verständnis für Passwortvorgaben und andere sicherheitsrelevante Themen an.

Webcode
DPF8_198013

Kommentare

« Mehr