"Irgendwann öffnet jeder Mitarbeiter eine Phishing-Mail"
Allzu leicht fallen Angestellte auf gefährliche Phishing-Mails herein. Warum Schulungen in Form von Awareness-Trainings oder einer Phishing-Simulation helfen, das Wissen der Angestellten zu verbessern und Cyberangriffe abzuwehren, erklärt Cornelia Lehle, Sales Director G Data Schweiz.
Warum sollte ich mein Geld in eine Phishing-Simulation stecken?
Cornelia Lehle: Natürlich braucht jedes Unternehmen eine gute Endpoint Protection. Aber Cyberkriminelle suchen immer den Weg des geringsten Widerstands, um mit wenig Aufwand den maximalen Profit zu erzielen. Oft sind die Mitarbeitenden das schwächste Glied in der Kette. Ein einziger Klick auf den Anhang oder den Link in einer schadhaften Mail, die ein Phishing-Filter durchgelassen hat, reicht aus, und schon haben Angreifer Zugriff auf das Netzwerk. Wer im Bereich Cybersecurity für die Verteidigung des Firmennetzwerks verantwortlich ist, muss sich daher um die Absicherung der gesamten Kette kümmern.
Welche Mitarbeitenden sind am stärksten gefährdet? HR oder Accounting? Und warum?
Phishing wird immer raffinierter - zwar landen weiterhin unzählige Massen-Mails in den Postfächern, aber die Gefahr durch gezielte Attacken hat zugenommen. Natürlich sind gefälschte Bewerbungen im HR oder Rechnungen mit infizierten Dateianhängen im Accounting weit verbreitet. Angreifer nutzen den gewohnten Umgang mit diesen Mails aus, da Angestellte bei Routinearbeiten schneller unaufmerksam sind. Aber auch Vertriebsmitarbeitende, Werkstattleiter oder Geschäftsführerinnen sind nicht vor potenziellen Angriffen ausgenommen. Grundsätzlich kann allen Mitarbeitenden ein Missgeschick oder in unserem Fall ein Fehlklick passieren. Darum sollten stets alle Mitarbeitenden einer Organisation regelmässig sensibilisiert werden. Wenn Mitarbeitende erstmal davon überzeugt sind, dass sie aus Sicherheitsgründen etwa auf einer Webseite ihr Passwort eingeben müssen, können auch gute technische Sicherheitsmassnahmen wie etwa eine Zwei-Faktor-Authentifizierung umgangen werden.
Wie wirken diese Simulationen der Gefahr durch Phishing entgegen?
Bei Phishing-Simulationen sammeln Angestellte Erfahrungen mit gefährlichen Mails. Eine Übung sollte immer Nachrichten in unterschiedlichen Schwierigkeitsstufen enthalten. Auch die Uhrzeit des Mail-Empfangs sollte variieren. Denn die Aufmerksamkeit der Mitarbeitenden ist nicht konstant. Ich bin mir ziemlich sicher, dass jeder und jede auf mindestens eine Mail hereinfällt, aber genau aus diesem Fehler lernen sie am meisten. Darüber hinaus können Unternehmen mit einer Simulation den Status der IT-Sicherheit messen. Ein Reporting zeigt dem Verantwortlichen, wie viele Mitarbeitende eine gefährliche Mail geöffnet und sogar den enthaltenen Link angeklickt haben.
Wie verhindert man, dass Mitarbeitende nach ein paar Monaten die gelernte Vorsicht wieder vergessen?
Die Aufmerksamkeit der Angestellten für IT-Sicherheitsrisiken zu verbessern, geht nicht von heute auf morgen - es ist ein langfristiger Prozess. Dafür bieten sich Security-Awareness-Trainings an. Die Kurse zielen darauf ab, dass die Angestellten ein Gefühl für aktuelle IT-Risiken entwickeln und Gefahren frühzeitig erkennen. In Kombination mit wiederkehrenden Phishing-Simulationen können Firmen prüfen, wie sich das Sicherheitsniveau im Unternehmen verbessert hat.
Welche Chancen bieten sich dem Channel mit diesem Thema?
Aufgrund der veränderten Bedrohungslagen holen sich IT-Reseller zum Schutz ihrer Kunden verstärkt Unterstützung und setzen auf Phishing-Simulationen und Awareness-Trainings durch bereits bekannte Hersteller oder Drittanbieter. Damit präsentieren sie sich gegenüber ihren Kunden als kompetenter Ansprechpartner mit breitem IT-Security-Portfolio und können so ihre Kunden auch weiterhin langfristig an sich binden.
_________________________________________
Fachartikel
Phishing-Mails: Sicherheitslücke Mensch
Der Autor: Stefan Karpenstein, Public Relations Manager bei G Data Cyberdefense (Source: zVg)
Gefälschte Mails sind immer noch eine der grössten Cybergefahren für Unternehmen. Mit einer Phishing-Simulation lässt sich der Status der IT-Sicherheit messen und mit anschliessenden Security-Awareness-Trainings verbessern.
Täglich versenden Cyberkriminelle nach Schätzungen von Sicherheitsexperten 4,7 Milliarden Phishing-Mails. Denn Angreifer suchen stets den Weg des geringsten Widerstands, um maximalen Profit zu erzielen. Und während Schutztechnologien immer besser werden, verharrt das Sicherheitsniveau vieler Mitarbeitenden auf einem niedrigen Niveau. So gelingt es Angreifern immer wieder, Angestellte zu manipulieren, sodass sie einen schädlichen Link anklicken, einen infizierten Dateianhang öffnen oder vertrauliche Daten wie etwa Login-Informationen preisgeben. Dabei nutzen die Kriminellen das menschliche Verhalten konsequent aus – Hilfsbereitschaft, Neugier oder Gier. Ein typisches Beispiel sind gefälschte Bewerbungen oder Rechnungen. Darüber hinaus erzeugen die Täter ein Gefühl der Dringlichkeit und zwingen ihr Opfer zum unüberlegten Handeln. Viele der heutigen Phishing-Mails sind kaum noch von echten Nachrichten zu unterscheiden. Angreifer suchen zunächst nach individuellen Informationen in sozialen Medien oder auf der Firmen-Homepage. Auf dieser Basis erstellen sie eine massgeschneiderte Phishing-Mail und versenden diese an ihr Opfer. Eine sogenannte Spear-Phishing-Mail ist kaum von einer echten Nachricht zu unterscheiden.
Ganzheitliche IT-Sicherheit
Wer im Bereich Cybersecurity für die Verteidigung eines Firmennetzwerks verantwortlich ist, muss sich um die Absicherung der gesamten Kette kümmern. Und Mitarbeiter sind ein elementarer Bestandteil dieser ganzheitlichen IT-Sicherheitskette.
Das Bewusstsein der Angestellten für IT-Sicherheitsrisiken zu verbessern, geht allerdings nicht von heute auf morgen. Das ist vielmehr ein langfristiger Prozess. Dafür bieten sich Security-Awareness-Trainings an. Diese Kurse zielen darauf ab, dass die Angestellten sich aktueller IT-Risiken bewusstwerden und Gefahren frühzeitig erkennen. Dann gehen sie auch mit Mails kritischer um oder wählen ihre Passwörter sorgfältiger.
Bei einer Phishing-Simulation können Angestellte auf spielerische Weise Erfahrungen mit gefährlichen Mails sammeln und bekommen auf diesem Weg Routine im Umgang mit ihnen. Die Unternehmen können das IT-Sicherheitsniveau messen und beispielsweise die Ergebnisse vor und nach einem Security-Awareness-Training miteinander vergleichen. Ein Management-Report zeigt den Verantwortlichen, ob und wie viele Mitarbeitende eine gefährliche Mail geöffnet und unter Umständen den enthaltenen Link angeklickt haben. Mit diesem Wissen sollten Firmen Security-Awareness-Trainings durchführen, um das Bewusstsein der Mitarbeitenden für Cybergefahren nachhaltig zu steigern und Wissen aufzubauen.
IT-Sicherheit als Teil der Firmenkultur
Eine Phishing-Simulation braucht aber einen passenden Rahmen. So sollten Unternehmen ihre Angestellten in Sicherheitsprozesse einbeziehen und einen Meldeprozess für verdächtige Mails aufbauen. Denn fragwürdige Nachrichten sollten nicht einfach gelöscht, sondern überprüft werden. So können die IT-Sicherheitsexperten Massnahmen ergreifen, wenn sich die Befürchtung bestätigt. Dazu gehört etwa die Anpassung der eingesetzten Phishing-Filter. Darüber hinaus braucht es unbedingt eine Firmenkultur, die Mitarbeiter schützt, wenn sie auf eine echte Phishing-Mail geklickt haben. Angestellte blosszustellen ist der falsche Weg und führt dazu, dass andere Opfer versuchen werden, ihre Fehler zu vertuschen. Nur wer offen über Gefahren spricht und Fehler nicht sanktioniert, schafft innerhalb der Belegschaft ein Bewusstsein für das Risiko, auf eine gefälschte Mail hereinzufallen.
Update: Fast 34 Millionen Roblox-Zugangsdaten landen im Darknet
Hamster entrinnt dem Regenbogen-Labyrinth
KI bei Cyberangriffen: Zukunftsmusik oder reale Bedrohung?
BBV Software Services hat einen neuen COO
Die Stimmen zu den Best of Swiss Web Awards 2024
Microsoft muss KI-Modell Wizard LM 2 zurückziehen
IBM übernimmt Hashicorp
Protonmail lanciert Dark Web Monitoring
TD Synnex listet Apple-Geräteverwaltungslösungen von Jamf
