Weihnachtszeit ist „Phishing-Zeit“

Die Phishing-Welle reißt nicht ab – ganz besonders zur Weihnachtszeit, wenn Anbieter mit extrem günstigen Deals werben und viele Menschen bei der Jagd nach dem perfekten Geschenk schnell zugreifen wollen. 

Hacker investieren mittlerweile viel Zeit in die Aufmachung solcher Mails: Da die gleichen Schriftarten, Farben, Logos und sogar Unterschriften wie bei der Originalmail des zu imitierenden Unternehmens verwendet werden, fallen immer wieder Adressaten auf die Mails herein. Genau aus diesem Grund gilt Phishing als das derzeit größte Sicherheitsrisiko in Deutschland.

Anzeige

Ziel sind jedoch nicht nur Privatpersonen, sondern auch immer mehr Unternehmen. Laut eines aktuellen Berichts des TÜV-Verbands (VdTÜV) war mehr als jedes zehnte Unternehmen in Deutschland in den vergangenen zwölf Monaten Opfer eines Cyberangriffs. Bei rund einem Drittel der Angriffe wurden Phishing-Attacken eingesetzt, um Kontonummern, Passwörter oder andere sensible Daten abzugreifen. Da immer mehr Mitarbeiter ihre Geschäftshandys und -laptops auch privat nutzen, sind auch Unternehmen von der Phishing-Welle zu Weihnachten betroffen.

Wenig Aufwand, viel Ertrag

Hacker erstellen pro Tag tausende neue Phishing-Webseiten. Meist laufen Phishing-Kampagnen über kompromittierte Webserver. Solche Server werden in Phishing-as-a-Service (PhaaS)-Plattformen aufgebaut und machen es den Hackern leicht, Kosten zu sparen und dabei unentdeckt zu bleiben. Wird auch nur eine ganz kleine Prozentzahl von den Phishing-Anfragen angeklickt, lohnt sich das für die Hacker immer noch.

Für einen effektiven Schutz braucht es laut den Experten des Sicherheitsunternehmens Imperva ein zweistufiges Sicherheitskonzept: Die serverbasierte Abwehr sowie eine Access-Lösung und Trainings für Mitarbeiter:

Serverbasierte Abwehr:

  • Alle bekannten Phishing-Webseiten auf eine Blacklist setzen.
  • Verdächtige Muster im Quellcode blockieren: Diese können auf betrügerische Angriffe hinweisen. Die Mustererkennung basiert auf Daten aus domänenübergreifenden Quellverweisen, die Bilder, Schriften und andere Ressourcen aus einer externen Quelle nutzen.

Sicherheitskonzept um eine Web Application Firewall (WAF) ergänzen: Würden Unternehmen eine WAF genauso häufig nutzen, wie die klassische Netzwerk-Firewall, ließe sich die Phishing-Kriminalität wesentlich besser bekämpfen. Basierend auf einem vorher definierten Regelwerk prüft die WAF in Echtzeit alle Daten-Pakete, die zwischen Anwendung und Nutzer hin und her geschickt werden und warnt bei auffälligen Traffic-Mustern. 

Eine serverbasierte Abwehr alleine, reicht jedoch nicht aus, um Phishing zu verhindern. Denn die größte Sicherheitslücke birgt noch immer der Mensch. Sicherheitslösungen auf Serverseite bieten zwar Schutz, sind aber trotzdem machtlos gegenüber internen Schwachstellen. Der Nutzer wird durch Aufforderungen wie „Verifizieren Sie ihre Kontodaten, sonst wird ihr Konto deaktiviert“ unter Druck gesetzt, und durch die zusätzliche Angabe einer Deadline zu schnellem Handeln gedrängt. So kann das Christmas Shopping schneller vorbei sein, als es angefangen hat und im schlimmsten Fall zu einem Berg von Schulden führen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Mitarbeiterorientierte Abwehr

Sicheres Passwort-Management zur Verfügung stellen. Eine Zwei-Faktor-Authentifizierung gilt hier als eine der effektivsten Methoden: Selbst, wenn ein Nutzer auf eine Phishing-Mail reinfällt, verhindert die Zwei-Faktor-Authentifizierung, dass Hacker die Anmeldedaten verwenden können, um Zutritt zum jeweiligen Account zu bekommen. 

Aufklärung der Mitarbeiter: Mit gezielten Informationen und Traininigsprogrammen können Mitarbeiter Phishing-Mails schneller und effektiver erkennen und lernen, wie sie richtig handeln. Die Trainings sollten regelmäßig stattfinden, um das Sicherheitsbewusstsein der Mitarbeiter nachhaltig in den Köpfen zu verankern. Nur durch die Kombination von effektiven Sicherheitslösungen und Mitarbeiterschulungen lässt sich die Phishing-Welle umschiffen und der Schaden für Mitarbeiter und Unternehmen reduzieren.

www.imperva.com/de

 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.