Es kommt auf die menschliche Firewall an
Nach einer Studie des Bitkom-Digitalverbands nutzt ein Großteil der Cyberkriminellen den „Faktor Mensch“ als vermeintlich schwächstes Glied der Sicherheitskette aus. Immer übernommen Werden die Social-Engineering-Angriffe, die auf die Manipulation der angenommenen Ziele, von hochprofessionellen Betrügerbanden ausgeführt.
Phishing gefährdet Unternehmen in Deutschland
Phishing ist zu einer enormen Bedrohung für die deutsche Wirtschaft geworden. Wer seine Mitarbeiter nachhaltig vor den Risiken gefälschter E-Mails schützen will, braucht eine IT-Sicherheitsstrategie, welche die drei zentralen Bausteine einer Sicherheitskultur integriert: Mindset – Skillset – Toolset.
Nach einer Studie des Bitkom-Digitalverbands nutzt ein Großteil der Cyberkriminellen den „Faktor Mensch“ als vermeintlich schwächstes Glied der Sicherheitskette aus.[1] Immer häufiger werden die Social-Engineering-Angriffe, die auf die Manipulation der Beschäftigten zielen, von hochprofessionellen Betrügerbanden ausgeführt. Sie geben sich in raffiniert gefälschten E-Mails als Vorgesetzte, Kollegen oder Geschäftspartner aus, um die Mitarbeiter zur Preisgabe vertraulicher Daten, zu Klicks auf schädliche Links und Dateianhänge oder zu Überweisungen auf falsche Konten zu verleiten. Nicht selten dient ein geglückter (Spear)-Phishing-Angriff für die Cyberkriminellen als Auftakt, um in das gesamte Unternehmensnetzwerk einzudringen.
Mit einer IT-Sicherheitskultur, die dem Dreiklang „Mindset – Skillset – Toolset“ folgt, können Unternehmen einen nachhaltigen Schutzwall gegen die immer ausgeklügelteren Phishingmethoden errichten. Ganz oben auf der Agenda sollte eine grundlegende Verhaltensänderung der Mitarbeiter stehen.
Mindset: Mitarbeiter zum Umdenken motivieren
So meinen viele Beschäftigte noch immer, sich blind auf die IT-Sicherheitstechnik verlassen zu können, und klicken empfangene E-Mails bedenkenlos an. Doch Vorsicht: Obwohl es den IT-Abteilungen heute gelingt, täglich Millionen betrügerischer Mails abzufangen, landen doch etliche im Posteingang von Mitarbeitern. Daher müssen die Nutzer erkennen, wie wichtig ihre Rolle als menschliche Firewall ist.
Dies geschieht am wirksamsten im Rahmen gezielter Informationskampagnen, die vom Management, den Führungskräften und IT-Sicherheitsverantwortlichen getragen und über unterschiedliche Kanäle verbreitet werden: zum Beispiel in Team-Meetings, Videos und Rundmails. Dabei sollten die Mitarbeiter anhand konkreter Zahlen und Fakten sowie bekanntgewordener Sicherheitsvorfälle in der eigenen Branche ein Bewusstsein für die Gefahren von Phishingangriffen entwickeln. So verlor zum Beispiel der österreichisch-chinesische Maschinenbauer FACC rund 43 Millionen Euro, als die Buchhaltung auf mehrere gefälschte E-Mails des angeblichen Firmenchefs hereinfiel und wiederholte Überweisungen auf ausländische Konten vornahm.
Um solche Horrorszenarien zu vermeiden, sollten die Unternehmen eindringlich an die Eigenverantwortung und Selbstwirksamkeit der Beschäftigten appellieren. Sie dürfen keinesfalls Angst vor Spear Phishing entwickeln, sondern müssen lernen, dass ihr Einsatz und ihre Aufmerksamkeit mitentscheidend für das Funktionieren des gesamten Unternehmens sind. Dies betrifft auch die achtsame Nutzung von Social-Media-Kanälen, wie eine Studie der Technischen Universität (TU) Darmstadt und IT-Seal zeigt.[2] Danach nutzen Cyberkriminelle verstärkt persönliche Daten, die die Mitarbeiter in den sozialen Netzwerken zugänglich machen, zum Aufbau gezielter Spear-Phishing-Mails. Ziel der Informationskampagne ist es, das richtige Mindset zu schaffen und die Mitarbeiter so auf die folgenden Security-Awareness-Trainings vorzubereiten.
Skillset: Schnelle Entscheidung fördern
Awareness-Trainings entfalten dann ihre größte Wirkung, wenn sie theoretische Präsenzschulungen, E-Learnings und Webinare mit praxisnahen Spear-Phishing-Simulationen kombinieren. Diese verwenden echte Unternehmens- und Mitarbeiterinformationen, um reale Angriffe nachzustellen. Doch statt am Haken der Betrüger landet der Mitarbeiter auf einer interaktiven Erklärseite, wo er Hinweise auf die Merkmale der gefälschten E-Mail erhält: von Buchstabendrehern in der Adresszeile über Fake-Subdomains bis hin zu zweifelhaften Links.
Simulierte Spear-Phishing-Angriffe nutzen den „Most teachable Moment“ eines Mitarbeiters, indem sie ihn im richtigen Moment über sein potenziell schadhaftes Verhalten aufklären. Das stärkt sein schnelles, intuitives Entscheidungsvermögen und bewirkt, dass er künftig vorsichtiger mit eingehenden E-Mails umgeht. Um einen nachhaltigen Lerneffekt zu erzielen, sollten die Spear-Phishing-Simulationen kontinuierlich wiederholt und an die aktuellen Angreifermethoden angepasst werden.
Zudem hat es sich als vorteilhaft erwiesen, dass die simulierten Phishingattacken am individuellen Schulungsbedarf der Mitarbeiter ausgerichtet werden und eine kennzahlenbasierte Dokumentation der Lernfortschritte erlauben. Diese Kennzahlen dienen der Ermittlung des Sicherheitsbewusstseins der Mitarbeiter und können sich beispielsweise danach richten, wie die Mitarbeiter auf Phishing-Simulationen verschiedener Schwierigkeitsgrade reagieren. Die Unternehmen können damit jederzeit feststellen, wo Defizite und Handlungsbedarfe bestehen und weitere Schulungsmaßnahmen abgeleitet werden sollten.
Toolset: Innovative Sicherheitstechnik nutzen
Wer den Phishing-Angreifern noch deutlicher Paroli bieten möchte, sollte ergänzend auf geeignete IT-Sicherheitswerkzeuge setzen – neben 2- oder Multi-Faktor-Authentifizierung (2FA/MFA) bieten sich Password Manager an, die einfach zu integrieren sind und eine zentrale Speicherung und Verwaltung digitaler Identitäten erlauben. Damit lässt sich verhindern, dass die Mitarbeiterinnen und Mitarbeiter aus Bequemlichkeit immer die gleichen Log-in-Daten für alle wichtigen Konten wählen. Gelingt es Spear-Phishing-Angreifern, ein bestimmtes Passwort zu stehlen, stehen ihnen nicht mehr automatisch alle anderen Nutzerkonten offen, wenn ein Password Manager im Einsatz ist.
Einen weiteren Schutz vor Spear-Phishing-Betrügern können spezielle Tools zur Erkennung und Meldung zweifelhafter E-Mails bieten. Ein Beispiel bieten sogenannte Reporter Buttons, die direkt in Microsoft Outlook integrierbar sind. Erhalten Nutzer eine verdächtige E-Mail, lässt sich damit per Knopfdruck prüfen, ob diese auch tatsächlich das Werk von Betrügern ist. Sind sich die Mitarbeiter dann immer noch unsicher, können sie diese E-Mail per zweitem Knopfdruck zur Analyse an die IT-Sicherheitsverantwortlichen weiterleiten. Wird die E-Mail dann tatsächlich als gefälscht identifiziert, wird sie unverzüglich gesperrt. Das reduziert die Gefahrenquellen, während die IT-Sicherheitsverantwortlichen einen fundierten und fast tagesaktuellen Überblick über die Phishing-Bedrohungslage im Unternehmen erhalten.
Fazit
Mindset – Skillset – Toolset: Mit dieser Kombination aus didaktischen, organisatorischen und technischen Maßnahmen können die Unternehmen ein Bollwerk gegen die wachsenden (Spear)-Phishing-Gefahren errichten. Sie setzen bei einer der größten Schwachstellen in der Sicherheit eines Unternehmens – den Mitarbeiterinnen und Mitarbeitern – an und nutzen ergänzende IT-Sicherheitstechnik.
Quellen:
[1] Bitkom: „Wirtschaftsschutz 2021“, 5. August 2021
[2] Anjuli Franz und Evgheni Croitor, Technische Universität (TU) Darmstadt: „Who bites the Hook? Investigating Employees‘ Susceptibility to Phishing: A randomized Field Experiment“, 2021
David Kelm, Mitgründer und Geschäftsführer der
IT-Seal GmbH