Anzeige

Anzeige

VERANSTALTUNGEN

Software Quality Days 2020
14.01.20 - 17.01.20
In Wien, Hotel Savoyen

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

DSAG-Technologietage 2020
11.02.20 - 12.02.20
In Mannheim, Congress Center Rosengarten

E-commerce Berlin Expo
13.02.20 - 13.02.20
In Berlin

SMX
18.03.20 - 19.03.20
In München

Anzeige

Anzeige

Hacker

Die Phishing-Welle reißt nicht ab – ganz besonders zur Weihnachtszeit, wenn Anbieter mit extrem günstigen Deals werben und viele Menschen bei der Jagd nach dem perfekten Geschenk schnell zugreifen wollen. 

Hacker investieren mittlerweile viel Zeit in die Aufmachung solcher Mails: Da die gleichen Schriftarten, Farben, Logos und sogar Unterschriften wie bei der Originalmail des zu imitierenden Unternehmens verwendet werden, fallen immer wieder Adressaten auf die Mails herein. Genau aus diesem Grund gilt Phishing als das derzeit größte Sicherheitsrisiko in Deutschland.

Ziel sind jedoch nicht nur Privatpersonen, sondern auch immer mehr Unternehmen. Laut eines aktuellen Berichts des TÜV-Verbands (VdTÜV) war mehr als jedes zehnte Unternehmen in Deutschland in den vergangenen zwölf Monaten Opfer eines Cyberangriffs. Bei rund einem Drittel der Angriffe wurden Phishing-Attacken eingesetzt, um Kontonummern, Passwörter oder andere sensible Daten abzugreifen. Da immer mehr Mitarbeiter ihre Geschäftshandys und -laptops auch privat nutzen, sind auch Unternehmen von der Phishing-Welle zu Weihnachten betroffen.

Wenig Aufwand, viel Ertrag

Hacker erstellen pro Tag tausende neue Phishing-Webseiten. Meist laufen Phishing-Kampagnen über kompromittierte Webserver. Solche Server werden in Phishing-as-a-Service (PhaaS)-Plattformen aufgebaut und machen es den Hackern leicht, Kosten zu sparen und dabei unentdeckt zu bleiben. Wird auch nur eine ganz kleine Prozentzahl von den Phishing-Anfragen angeklickt, lohnt sich das für die Hacker immer noch.

Für einen effektiven Schutz braucht es laut den Experten des Sicherheitsunternehmens Imperva ein zweistufiges Sicherheitskonzept: Die serverbasierte Abwehr sowie eine Access-Lösung und Trainings für Mitarbeiter:

Serverbasierte Abwehr:

  • Alle bekannten Phishing-Webseiten auf eine Blacklist setzen.
  • Verdächtige Muster im Quellcode blockieren: Diese können auf betrügerische Angriffe hinweisen. Die Mustererkennung basiert auf Daten aus domänenübergreifenden Quellverweisen, die Bilder, Schriften und andere Ressourcen aus einer externen Quelle nutzen.

Sicherheitskonzept um eine Web Application Firewall (WAF) ergänzen: Würden Unternehmen eine WAF genauso häufig nutzen, wie die klassische Netzwerk-Firewall, ließe sich die Phishing-Kriminalität wesentlich besser bekämpfen. Basierend auf einem vorher definierten Regelwerk prüft die WAF in Echtzeit alle Daten-Pakete, die zwischen Anwendung und Nutzer hin und her geschickt werden und warnt bei auffälligen Traffic-Mustern. 

Eine serverbasierte Abwehr alleine, reicht jedoch nicht aus, um Phishing zu verhindern. Denn die größte Sicherheitslücke birgt noch immer der Mensch. Sicherheitslösungen auf Serverseite bieten zwar Schutz, sind aber trotzdem machtlos gegenüber internen Schwachstellen. Der Nutzer wird durch Aufforderungen wie „Verifizieren Sie ihre Kontodaten, sonst wird ihr Konto deaktiviert“ unter Druck gesetzt, und durch die zusätzliche Angabe einer Deadline zu schnellem Handeln gedrängt. So kann das Christmas Shopping schneller vorbei sein, als es angefangen hat und im schlimmsten Fall zu einem Berg von Schulden führen.

Mitarbeiterorientierte Abwehr

Sicheres Passwort-Management zur Verfügung stellen. Eine Zwei-Faktor-Authentifizierung gilt hier als eine der effektivsten Methoden: Selbst, wenn ein Nutzer auf eine Phishing-Mail reinfällt, verhindert die Zwei-Faktor-Authentifizierung, dass Hacker die Anmeldedaten verwenden können, um Zutritt zum jeweiligen Account zu bekommen. 

Aufklärung der Mitarbeiter: Mit gezielten Informationen und Traininigsprogrammen können Mitarbeiter Phishing-Mails schneller und effektiver erkennen und lernen, wie sie richtig handeln. Die Trainings sollten regelmäßig stattfinden, um das Sicherheitsbewusstsein der Mitarbeiter nachhaltig in den Köpfen zu verankern. Nur durch die Kombination von effektiven Sicherheitslösungen und Mitarbeiterschulungen lässt sich die Phishing-Welle umschiffen und der Schaden für Mitarbeiter und Unternehmen reduzieren.

www.imperva.com/de

 

GRID LIST
Smart Home

­„Dumb Home“: „smartes“ Türschloss geknackt

Berater des finnischen Cybersecurity-Unternehmens F-Secure haben mit erstaunlich…
Security-Kamera

Schwachstellen in den beliebten Blink Smart Security-Kameras

Cyberkriminelle können die vollständige Kontrolle über die Amazon Sicherheitskameras…
Zero-Day-Schwachstelle

Zero-Day-Schwachstelle im Windows-Betriebssystem

Kaspersky-Technologien haben eine Zero-Day-Schwachstelle im Windows-Betriebssystem…
Ransomware

Neue Ransomware startet PCs im abgesicherten Modus

SophosLabs beschreibt in aktuellem „Snatch“-Report detailliert das Vorgehen der Hacker…
Schritte / Hacker mit Hoody

Software Vulnerability Management: Hackern zwei Schritte voraus

Der Kampf gegen Hackerangriffe gleicht einem Formel-1-Rennen: Der Schnellste gewinnt.…
Tb W190 H80 Crop Int 4bd24ef570d0f885fb56274bdd957c2c

Office 365 im Visier von Cyberkriminellen

Für Cyberkriminelle ist Office 365 durch seine Popularität bei Unternehmen mittlerweile…