Thought Leadership
Allzu leicht fallen Menschen auf Phishing-Mails rein und ermöglichen Cyberkriminellen einen direkten Zugriff auf IT-Systeme. Security Awareness Trainings oder eine Phishing-Simulation verbessern das Wissen der Angestellten sowie das Schutzniveau im Unternehmen.
Phishing ist und bleibt eines der größten Cyberrisiken für Unternehmen und Privatpersonen. Alleine beim FBI ist die Zahl der gemeldeten Fälle von 2016 auf 2021 um über 1.560 Prozent gestiegen. Auch in Deutschland haben sich Phishing-Attacken innerhalb eines Jahres um 70 Prozent erhöht – wie eine Studie des kriminologischen Forschungsinstituts Niedersachsen zeigt. Auf der Jagd nach dem maximalen Profit mit minimalem Aufwand suchen Cyberkriminelle stets den Weg des geringsten Widerstands, um ans Ziel zu gelangen: den Zugang oder die Kontrolle über ein IT-System und die gespeicherten Informationen. Erfolgreich sind die Angreifer beispielsweise durch das Ausnutzen technischer Sicherheitslücken, wie nicht installierte Updates für Software oder RDP-Zugänge mit einfachen Passwörtern, die sich schnell mit einer Brute-Force-Attacke knacken lassen. Häufig sind aber unaufmerksame Angestellte das schwächste Glied in der IT-Sicherheitskette.
Alt, aber effektiv: Phishing-Mails
Seit mehr als 30 Jahren sind Phishing-Mails ein sehr effektiver Angriffsvektor. Die Angreifenden haben dabei ein klares Ziel vor Augen: Sie wollen ihr Opfer zur Preisgabe sensibler Informationen wie etwa Log-in-Daten bewegen oder zum Ausführen einer Aktion bringen – zum Beispiel einen Dateianhang zu öffnen, der Schadsoftware enthält. Dieses Handeln führt schlussendlich zu einer Infektion des Netzwerkes mit Malware – meist verbunden mit einer Lösegeldforderung, weil Ransomware die Daten im Netzwerk verschlüsselt hat.
Dabei nutzen Cyberkriminelle konsequent menschliches Verhalten aus: Sie versenden Nachrichten und setzen dabei auf die Hilfsbereitschaft, Neugier oder Gier des Empfängers. Ein typisches Beispiel dafür sind Bewerbungen auf ausgeschriebene Stellen oder Rechnungen mit infizierten Dateianhängen. Außerdem setzen sie die Empfänger unter Druck mit dem Hinweis, dass sie ihre Zugangsdaten für einen Social-Media-Account erneuern müssen – möglichst innerhalb der nächsten 24 Stunden. Wer den Link anklickt, landet aber auf einer gefälschten Webseite, die kaum von der echten Seite zu unterscheiden ist.
Gleichzeitig werden Phishing-Mails immer raffinierter. Cyberkriminelle verschicken immer noch Massenmails. Allerdings setzen sie verstärkt auf gezielte Attacken, so genannte Spear-Phishing-Mails, denn Angreifer*innen sammeln Informationen über ihre Opfer – etwa in sozialen Medien oder auf der Webseite des Unternehmens. Auf Basis dieser Daten erstellen sie eine maßgeschneiderte E-Mail und adressieren diese an ausgesuchte Mitarbeitende. Das Problem: Eine sogenannte Spear-Phishing-Mail ist kaum von einer echten Nachricht zu unterscheiden. Auch CEO-Fraud, eine Betrugsmasche, bei der Firmen unter Verwendung falscher Identitäten manipuliert werden und Geld überweisen, wird auf diese Weise teils sehr gut getarnt, da die Täter*innen wissen, wen sie im Unternehmen wie ansprechen können, um ihr Ziel zu erreichen.
Phishing-Mails erkennen
Einfach zu erkennende Phishing-Mails enthalten meist keine direkte Anrede, massive Rechtschreib- und Grammatikfehler oder sind in ihrer Argumentation nicht plausibel. Es handelt sich um breit angelegte Kampagnen, die Angreifer wahllos an mehrere tausend Empfänger verschicken. Ein anderes Erkennungszeichen ist der Absender. Zwar lässt sich dieser Name ändern, aber bei genauem Hinsehen passen Absender und E-Mail-Adresse nicht zusammen. Sollten die Angreifenden bereits Zugriff auf einen anderen Account haben, um von dort aus Mails zu verschicken, wird es deutlich schwerer, den Angriffsversuch zu erkennen.
Wer bei einer Mail unsicher ist, sollte immer deren Legitimität hinterfragen. Ein Beispiel: Bei einer neuen Kontaktanfrage von einem sozialen Netzwerk via E-Mail sollten Nutzer*innen unter keinen Umständen den Link in der Mail anklicken, sondern direkt die Webseite des Netzwerkes besuchen. Eine legitime Kontaktanfrage wird auch dort angezeigt. So umgeht er das Risiko, auf einer Phishing-Webseite zu landen.
Sicherheitsbewusstsein schaffen
Vor diesem Hintergrund müssen IT-Verantwortliche in Unternehmen IT-Sicherheit ganzheitlich betrachten, um Cyberkriminelle dauerhaft aus den IT-Systemen fernzuhalten. Das Bewusstsein der Angestellten für Cyberrisiken zu schärfen und kontinuierlich zu steigern, ist ein Marathon und kein Sprint. Eine einfache Aufklärung über Phishings-Mails mit einem Schulungsvideo reicht nicht aus. Zielführender sind umfangreiche Security Awareness Trainings, denn nur, wenn sich die Mitarbeitenden der Gefahren bewusst sind, erkennen sie verdächtige Nachrichten und handeln umsichtig.
Phishing-Simulationen versetzen Mitarbeitende in die Lage, routiniert mit verdächtigen Mails umzugehen. Auf spielerischem Weg sammeln sie in einem geschützten Umfeld Erfahrungen mit gefährlichen Mails und stärken ihr Selbstbewusstsein im Umgang mit Cybergefahren. Hinzu kommt, dass IT-Sicherheit messbar ist. Die Verantwortlichen erhalten einen klaren Hinweis, wie gut oder schlecht das Sicherheitsbewusstsein der Angestellten ist. Nach Abschluss einer Simulation lassen sich die Ergebnisse auswerten und zeigen den Handlungsbedarf innerhalb der Belegschaft. Darauf aufbauend lässt sich mit Security Awareness Trainings das Bewusstsein der Mitarbeitenden für Cybergefahren grundlegend verbessern. Wer anschließend eine weitere Phishing-Simulation durchführt, kann die Ergebnisse miteinander vergleichen und sehen, wie sich das Sicherheitsniveau verändert hat.
Eine Simulation sollte mehrere Wochen dauern und Phishing-Mails in verschiedene Schwierigkeitsstufen enthalten, welche das raffinierte Vorgehen der Angreifer realistisch abbildet. So sind einige Nachrichten etwa durch grobe Rechtschreibfehler und fehlende direkte Anrede auf den ersten Blick erkennbar. Bei anderen Mails wird der Adressat bzw. die Adressatin beispielsweise direkt angesprochen, sodass die Gefahr erst auf den zweiten Blick ersichtlich ist. Auch die zeitliche Komponente, also die Zeit des Versands, sollte variieren. Die Aufmerksamkeit der Angestellten ist nicht konstant. So ist mancher Mitarbeitende in Vorfreude auf den Feierabend oder das Wochenende nicht mehr so aufmerksam wie zu Beginn des Arbeitstages.
Ohne Firmen- und Fehlerkultur geht es nicht
Wichtig ist dabei, dass Firmen vorab einen passenden Rahmen für IT-Sicherheit schaffen müssen. Beispielsweise braucht es für derartige Verdachtsfälle einen Meldeprozess im Unternehmen, damit die Angestellten wissen, was bei einem Phishing-Versuch zu tun ist. So können interne oder externe Security-Spezialisten den Verdacht prüfen und entsprechende Maßnahmen einleiten: Eingesetzte Mail-Filter anpassen, damit Kolleg*innen diese Phishing-Mails gar nicht erst erhalten; bestehende Webseiten-Blocklisten ergänzen, um den Zugriff auf die in der Phishing-Mail enthaltenen Links direkt zu unterbinden. Gleichzeitig braucht es eine Firmenkultur, die Mitarbeitende schützt, die einem Phishing-Versuch zum Opfer gefallen sind. Nur wer offen über dieses Verhalten spricht und es nicht sanktioniert, schafft innerhalb der Belegschaft ein Bewusstsein für das bestehende Risiko.
Unternehmen handeln weitsichtig, wenn sie ihre Belegschaft einbeziehen und IT-Sicherheitsbewusstsein schaffen. Eine Investition in das IT-Sicherheitswissen der Arbeitnehmenden ist gleichzeitig auch eine Investition in die Zukunft des Unternehmens. Wichtig dabei: Das Verhalten der Angestellten muss regelmäßig aufgefrischt werden, sonst schleicht sich wieder Routine in den Arbeitsalltag ein.
