Mitarbeiter für Phishing sensibilisieren

Lesen Sie den originalen Artikel: Mitarbeiter für Phishing sensibilisieren


Phishing ist laut dem IT-Sicherheitsexperten Trend Micro die mit Abstand häufigste Angriffsmethode, wofür Mitarbeiter sensibilisiert werden müssen.

Phishing ist die häufigste Angriffsmethode, zu diesem Ergebnis kam die japanische IT-Sicherheitsfirma Trend Micro in ihrer Befragung mit mehr als 1.000 Unternehmen weltweit: Unternehmen müssen daher ihren Mitarbeitern sensibilisieren und Security Awareness vermitteln.

Tatsächlich sind täglich 3,4 Milliarden gefälschte und bösartige E-Mails weltweit im Umlauf. Selbst modernste Soft- und Hardware-Lösungen zur Gefahrenabwehr kommen angesichts der steigenden Anzahl und Qualität der Angriffe an ihre Grenzen. Aus diesem Grund sind neue Ansätze gefragt. Deshalb wird in dem IT-Sicherheitsgesetz und der DSGVO (Art. 28) zwischen technischen und organisatorischen Lösungen unterschieden.

Für Gefahren sensibilisieren

Unter „organisatorischen Maßnahmen“ sollten auch solche fallen, die das Sicherheitsbewusstsein der Mitarbeiter in den Unternehmen und Behörden erhöhen. Das Problem ist allerdings, dass der Begriff Security Awareness so weit gefasst ist, dass jedes Unternehmen und jeder Datenschutz- oder Sicherheitsbeauftragter etwas anderes darunter versteht. Eine offizielle Definition gibt es nicht, wohl aber unterschiedliche davon, wie ein gutes Security-Awareness-Training aussehen sollte. Doch auch hier scheiden sich die Geister, denn überall dort, wo es unterschiedliche Unternehmenskulturen gibt, existieren unterschiedlichste Formen der Wissensvermittlung, und nicht jede ist miteinander kompatibel. Für eine Annäherung an das Thema kann deshalb ein Blick auf die verschiedenen Bedrohungsformen helfen, vor denen ein wachsamer Mitarbeiter gewarnt sein sollte

CEO-Fraud

Diese Bedrohung, die auch als „Chef-Betrug“ bekannt ist, erlangte durch einige spektakuläre Fälle in Deutschland, unter anderem bei einer Bäckereikette in München, eine größere Aufmerksamkeit. Hier hatte eine Gruppe von Cyberkriminellen eine ahnungslose Buchhalterin dazu gebracht, 1,9 Mio. EUR auf ein Bankkonto im Ausland zu transferieren. Zudem veröffentlichte das FBI zu Beginn des Jahres einen Bericht, in dem über 20.000 weltweit bekanntgewordene Betrugsfälle informiert wurde. Der gesamte finanzielle Schaden betrug mehr als 1,2 Mrd. USD. Zwischen 2013 und 2018 summierte sich die Summe von fälschlich überwiesenen Geldern sogar auf den Wert von 12,5 Mrd. USD.

Microsoft Scams

Diese Art des Betrugs betrifft vor allem Privatpersonen, allerdings auch häufiger Unternehmen. Die Kriminellen geben sich als Mitarbeiter von Microsoft oder eines Microsoft-Partners aus und installieren, beispielsweise per Telefonanruf eine Fernzugriffssoftware wie Teamviewer, um sich direkten Zugang zum Gerät oder Netzwerk des Geschädigten zu verschaffen. In einzelnen Fällen erlangen die Angreifer auch physischen Zutritt zu den Computersystemen und nutzen die Ausrede, sie seien als Wartungstechniker geschickt worden. Wie einfach sich jemand unerlaubt selbst zu hochgesicherten Gebäuden Zutritt verschaffen kann, zeigt unter anderem die erste Folge der von Know-Be-4 und Twist and Shout co-produzierten und vor kurzem in Cannes ausgezeichneten Serie „The Inside Man“, die in 12 Teilen genau solche Fälle visualisiert und einem breiteren Publikum nahebringt.

Phishing, Vishing und Smishing

Phishing ist mehr als nur das Versenden von E-Mails mit Betreffzeilen, die eine sofortige Reaktion des Empfängers hervorrufen sollen. Bei diesen Aufhängern spielen Soziale Medien eine immer größere Rolle. Nach einem aktuellen Bericht von Know-Be-4 enthielt mehr als die Hälfte (56 %) der erfassten Phishing-E-Mails in der Betreffzeile die Social Media Plattform Linkedin. E-Mails mit diesen Themen verzeichnen ein rasantes Wachstum; im letzten Jahr stieg die Anzahl um 75 % an. Die Betrüger nutzen zwar vor allem E-Mails, doch auch gefälschte Telefonanrufe, bekannt als Vishing, oder das Versenden von SMS, das „Smishing“, sind gern gebrauchte Techniken.

Allein dieser kleine Auszug der vielfältigen Angriffsmethoden macht deutlich, dass Mitarbeiter nach einem ein- oder zweimaligen Training – egal ob analog oder digital – nicht ausreichend gegen Cyberangriffe gerüstet sein können. Vielmehr müssen regelmäßige und abwechslungsreiche Trainingsangebote zur Verfügung gestellt werden, um den User bestmöglich zu sensibilisieren, so dass sich jeder Mitarbeiter individuell und langfristig sicher in der täglichen Arbeit fühlen kann.

Messen, messen und nochmals messen

Ein gutes Security-Awareness-Programm behandelt alle aktuellen Bedrohungen. Aber erst die Erfolgsmessung ermittelt das tatsächliche Risikoprofil des Unternehmens. Hier gibt der „Phish-Prone-Percentage“ (PPP) Aufschluss. Besonders bei einem erstmalig durchgeführten Training lassen sich schnell Unterschiede bei dem Verhalten von Mitarbeitern feststellen. Getestet werden sollte durch das regelmäßige Versenden simulierter Phishing-Nachrichten. In einer in diesem Jahr durchgeführten Studie konnte der durchschnittliche PPP nach 90 Tagen computergestützten Trainings und simulierten Phishing-Tests halbiert werden. Nach einem kompletten Jahr Security-Awareness-Training mit diesen Methoden sank dieser Prozentsatz sogar auf nur noch zwei Prozent ab.

Richtig umgesetzt, kann Security Awareness die Unternehmenskultur nachhaltig verändern. Letztlich braucht es wachsame, kritische Mitarbeiter, die mitdenken, denn nur so sind das Unternehmen und seine sensiblen Daten auch ganzheitlich geschützt, wenn die Angreifer ihre Techniken anpassen. Aus diesem Grund ist es umso wichtiger, dass alle Mitarbeiter regelmäßig mit verschiedensten Schulungsmaterialien für Security Awareness sensibilisiert werden und langfristig als „menschliche Firewall“ gegen Social Engineering-Angriffe zur Unternehmenssicherheit beitragen. Denn Security ist mehr als eine Wach- und Schließgesellschaft, und Security Awareness ist mehr als nur Clean Desk- und Passwort-Management.

Christine Kipke, Managing Director bei Know-Be-4


Lesen Sie den originalen Artikel: Mitarbeiter für Phishing sensibilisieren