SPONSORED-POST Phishing - In Kooperation mit G Data Cyberdefense

"Phishing ist immer noch der einfachste Weg, Firmen zu infiltrieren"

Uhr

Die Technologie entwickelt sich stetig weiter. Dennoch bleibt die Schwachstelle Nummer eins weiterhin der Mensch. Wie Unternehmen ihre Mitarbeiter mit Awareness-Trainings vor den Gefahren aus dem Cyberraum sensibilisieren können, erklärt Cornelia Lehle, Sales Director bei G Data Schweiz. Interview: Coen Kaat

Cornelia Lehle, Sales Director bei G Data Schweiz (Source: zVg)
Cornelia Lehle, Sales Director bei G Data Schweiz (Source: zVg)

Warum sollte ein Unternehmen seine Mitarbeiter in Bezug auf Phishing sensibilisieren, wenn es schon in eine gute ­IT-Abwehr investiert hat? Was kann schon passieren, wenn ein Mitarbeiter eine schadhafte E-Mail anklickt?

Cornelia Lehle: Wie gross die Gefahr von Phishing-Mails ist, zeigen die regelmässigen Warnungen der Melde- und Analysestelle Informationssicherung (Melani). Phishing-Mails sind immer noch der einfachste Weg für Cyberkriminelle, um Unternehmensnetzwerke zu infiltrieren. Und gleichzeitig sind sie heute immer schwerer zu erkennen. Sie sehen oft wie ganz normale Geschäftsvorgänge aus, weil Cyberkriminelle ihre Angriffe von langer Hand planen und im Vorfeld wichtige Informationen sammeln. Darauf aufbauend passen sie die Mails so an, dass Mitarbeiter diese nur schwer von legitimen Nachrichten unterscheiden können. Ein falscher Klick kann dann fatale Auswirkungen haben und die gesamte IT lahmlegen. Im schlimmsten Fall gefährdet eine erfolgreiche Cyberattacke sogar die Existenz des Unternehmens.

Wie sehen Awareness-Trainings konkret aus?

Die G Data Security Awareness-Trainings umfassen 35 Kurse zu allen wichtigen Themen der IT-Sicherheit. Diese Einheiten sind in neun verschiedene Themenblöcke gegliedert. Dabei wird das Wissen in Form von kurzen E-Learnings praxisnah und nach den neuesten Lernmethoden bedarfsgerecht vermittelt. Zum Einsatz kommen Videos, kurze Texte und Multiple-Choice-Fragen. So können Mitarbeiter die Trainings einfach in ihren Arbeitsalltag integrieren. Ein weiterer Vorteil von E-Learnings: Sie sind kostengünstig, weil Mitarbeiter nicht über einen oder mehrere Tage aus ihrer normalen Tätigkeit herausgerissen werden – und eventuelle Reisekosten für Veranstaltungen ausser Haus entfallen ebenfalls.

Welche Themen werden durch die Trainings abgedeckt?

Das Themenspektrum ist sehr umfassend und reicht von Social Engineering über aktuelle Datenschutzgesetze bis hin zum Arbeiten in der Cloud oder Phishing. Denn das Arbeiten hat sich in den vergangenen Jahren stark gewandelt. Wer unterwegs etwa in der Bahn oder im Homeoffice arbeitet, muss wissen, wie er sensible Unternehmensinformationen schützen muss. Aber auch bei typischen sicherheitsrelevanten Themen, wie Passwörter und Phishing-Mails, ist es unbedingt notwendig, Mitarbeiter zu sensibilisieren.

Wie verhindert ein Unternehmen, dass die Mitarbeiter das Gelernte wieder vergessen?

Für einen langfristigen Erfolg ist es wichtig, Wissen immer wieder aufzufrischen und zu wiederholen. Mit regelmässigen, kurzen Trainingseinheiten bleiben sich die Mitarbeiter der Inhalte kontinuierlich bewusst. Bei aktuellen Gefährdungen oder Sicherheitsvorfällen können wir in kürzester Zeit neue Inhalte zusteuern, sodass Mitarbeiter entsprechend auf aktuelle Angriffsversuche vorbereitet sind. Eine zusätzliche Motivation bieten Zertifizierungen: Nach einem bestandenen Themenblock erhalten Mitarbeiter eine Urkunde über die erfolgreiche Teilnahme.

Wie können Channelpartner wie etwa Reseller davon profitieren?

Die Reseller profitieren zum einen natürlich von ihrer klassischen Vertriebsmarge. Sie erweitern hierdurch aber auch ihr Portfolio und können Unternehmen sowohl umfassende Dienstleistungen als auch passgenaue Sicherheitslösungen aus einer Hand anbieten. Diese Services sorgen daher für eine noch engere Kundenbindung, sodass sich der Fachhandelspartner als ganzheitlicher, vertrauensvoller und kompetenter Ansprechpartner auch im Thema IT-Sicherheit langfristig bei seinen Kunden positionieren kann.

___________________________________

Fachartikel

Vorsicht Phishing: Mitarbeiter für betrügerische Mails sensibilisieren!

Autor: Stefan Karpenstein, Public Relations Manager, G Data Cyberdefense

Beim Menschen liegt das grösste Einfallstor für Cyberkriminelle, um IT-Systeme und Netzwerke lahmzulegen. Allzu leicht lassen sich Nutzer austricksen und fallen auf Phishing-Mails herein. Schulungen in Form von Awareness-Trainings oder einer Phishing-Simulation helfen, das Wissen der Angestellten zu verbessern und Angriffe abzuwehren.

Cyberkriminelle profitieren von Krisenzeiten wie der aktuellen Corona-Pandemie. So ist die Zahl der verhinderten Angriffe laut der Bedrohungsanalyse von G Data Cyberdefense im März 2020 deutlich gestiegen – im Vergleich zum Vormonat um etwa 30 Prozent. Die Angreifer nutzen die Unsicherheit vieler Menschen aus und versenden gefälschte E-Mails mit Bezug auf das Virus. Im Unternehmerumfeld versuchen Kriminelle beispielsweise mit gefälschten Mails, Unternehmensdaten abzugreifen, um damit staatliche Finanzhilfen zu ergaunern.

Der Mensch als Risikofaktor

Täglich werden nach Schätzungen von Experten mehr als 4,7 Milliarden Phishing-Mails rund um den Globus verschickt. Dabei dienen sie den Angreifern als Vehikel, um Schadsoftware wie Trojaner oder Ransomware zu verteilen. Oder um die Empfänger zur Preisgabe persönlicher Informationen wie etwa Login-Daten zu verleiten. Generell sind E-Mails der grösste Einfallsvektor für Cyberattacken. Denn während technische Lösungen Angriffe immer besser und schneller erkennen, lässt sich das menschliche Verhalten nur langsam ändern. Die Angreifer nutzen die Unaufmerksamkeit und das oftmals fehlende Wissen – in Kombination mit Stress oder Routine – der Angestellten aus. Hinzu kommt, dass Gefahren heute weit weniger offensichtlich sind als noch vor einigen Jahren. So sind Phishing-Mails immer schwieriger zu erkennen. Sie sehen heute oft wie ganz normale Geschäftsvorgänge aus – häufig nehmen sie sogar Bezug auf bestehenden E-Mail-Verkehr oder einen aktuellen Anlass.

Gefahr erkannt, Gefahr gebannt

Um Netzwerke und IT-Systeme vor unerlaubten Zugriffen zu schützen, braucht es einen Dreiklang aus zeitgemässen Schutztechnologien, aufmerksamen Mitarbeitern und passenden Prozessen. Denn anstatt eine verdächtige Mail einfach nur zu löschen, wäre es hilfreicher, für derartige Verdachtsfälle einen Meldeprozess zu etablieren. So können die interne IT oder externe Security-Spezialisten den Verdacht prüfen und entsprechende Massnahmen einleiten: zum Beispiel eingesetzte Phishing-Filter anpassen, damit Kollegen diese Phishing-Mails gar nicht erst erhalten, oder die bestehenden Webseiten-Blocklisten ergänzen, um den Zugriff auf die in der Phishing-Mail enthaltenen Links direkt zu unterbinden. Dazu gehört aber auch zwangsläufig eine Firmenkultur, die Mitarbeiter schützt, die versehentlich eine Phishing-Mail anklicken. Nur wer offen über dieses Verhalten spricht und es nicht sanktioniert, schafft innerhalb der Belegschaft ein Bewusstsein für das bestehende Risiko. Daher sollten Unternehmen Schulungen in Betracht ziehen, um ihre Mitarbeiter im Umgang mit gefälschten Mails zu trainieren. Allerdings greifen Lernvideos zu kurz, die nur die typischen Merkmale solcher Mails erläutern.

Aufgrund der veränderten Bedrohungslagen holen sich IT-Reseller zum Schutz ihrer Kunden verstärkt Unterstützung und setzen auf Phishing-Simulation und Awareness-Trainings. Dabei bedarf es einer umfassenden Phishing-Simulation, die das raffinierte Vorgehen der Angreifer realistisch abbildet. Idealerweise erhalten die Angestellten über einen festgelegten Zeitraum hinweg mehrere Mails in unterschiedlichen Schwierigkeitsgraden. So sind einige Mails etwa durch grobe Rechtschreibfehler und fehlende direkte Anrede auf den ersten Blick erkennbar. Bei anderen Nachrichten wird der Adressat beispielsweise direkt angesprochen, sodass die Gefahr erst auf den zweiten Blick erkennbar ist.

Sicherheit wird messbar

Nach Abschluss der Simulation lassen sich die Ergebnisse auswerten und zeigen den Handlungsbedarf für das Unternehmen. Im nächsten Schritt bietet sich ein Security-Awareness-Training an, um das Bewusstsein der Mitarbeiter für Cybergefahren grundlegend zu verbessern und Wissen aufzubauen. Wer anschliessend eine weitere Phishing-Simulation durchführt, kann die Ergebnisse miteinander vergleichen und sehen, wie sich das Sicherheitsniveau der Mitarbeiter verbessert hat. Wichtig ist: Das Verhalten der Mitarbeiter muss regelmässig aufgefrischt werden, sonst schleicht sich wieder Routine ein.

Webcode
DPF8_183979