Ohne Sicherheitskultur geht es nicht Praktische Tipps zur Erkennung von Phishing-Attacken

Von André Schindler

Anbieter zum Thema

Es gibt zwar glücklicherweise Technologien, um die Zahl der Phishing-E-Mails, die in ein Unternehmen gelangen, zu erkennen und zu begrenzen. Dennoch ist der Mensch letztendlich die letzte Verteidigungslinie gegen Social-Engineering-Angriffe.

Um im Unternehmen ein Bewusstsein für Cybergefahren und die Rolle jedes Einzelnen zu schaffen, braucht es eine Unternehmenskultur, die Sicherheit als Fokusthema behandelt und in allen Hierarchieebenen täglich lebt.
Um im Unternehmen ein Bewusstsein für Cybergefahren und die Rolle jedes Einzelnen zu schaffen, braucht es eine Unternehmenskultur, die Sicherheit als Fokusthema behandelt und in allen Hierarchieebenen täglich lebt.
(Bild: mpix-foto - stock.adobe.com )

Irgendwann erwischt es jede Organisation einmal mit einem erfolgreichen Phishing-Angriff! Anstatt alles zu sperren und die Geschäftskommunikation zu behindern, müssen die Mitarbeiter:innen von der Führungsetage bis zu den Auszubildenden in die Lage versetzt werden, Phishing-E-Mails zu erkennen, damit der Ernstfall ausschließlich in Schulungsumgebungen eintritt und nicht in der Realität.

Elemente einer Social-Engineering-Phishing-Attacke

Um Schäden durch Social-Engineering-Phishing-Angriffe vorzubeugen, muss das Management sämtliche Teams darüber aufklären, woran sie diese erkennen. Nur mit diesem Wissen kann jede:r Einzelne dazu beitragen, solche Eingriffe zu verhindern sowie präventiv darauf achten, wo die eigenen Informationen im Internet veröffentlicht sind und möglicherweise missbraucht werden können.

Der digitale Fußabdruck

Cyberkriminelle nehmen sich heutzutage die Zeit, um möglichst viele Informationen über ihr nächstes Opfer zu recherchieren. Indem sie die mit dem Namen verknüpften sozialen Medien durchforsten und über die Google-Suche alle verfügbaren Daten erfassen, können sie Informationen über die Gewohnheiten der anvisierten Person zusammenstellen: Seien es häufig besuchte Orte, wie das Fitnessstudio oder die Arbeitsstelle, oder persönliche Details wie Wohnanschrift, Geburtsdatum oder Familienstand.

Deshalb ist es besonders wichtig, dass sich Mitarbeiter:innen darüber bewusst sind, welches Einfallstor sie schaffen, wenn sie beispielsweise regelmäßig auf Social-Media-Plattformen posten, wie wohl sie sich in ihrem Lieblingscafé fühlen. Solche privaten Informationen können Angreifende gezielt nutzen, um eine überzeugende Phishing-E-Mail zu erstellen – beispielsweise einen unechten Gutscheincode, der angeblich von dieser Location stammt. Je besser der Inhalt der Nachricht zu den Lebensumständen des Opfers passt, umso größer ist die Gefahr, dass die Zielperson auf die Betrügerei hereinfällt.

Der soziale Druck

Das menschliche Verhalten ist schwer zu verändern, denn wir sind Gewohnheitstiere. Stresssituationen und sozialer Druck beeinflussen allerdings die Art und Weise, wie Menschen reagieren, weil sie plötzlich nicht mehr auf gewohnte Muster zurückgreifen können. Dies wissen auch Cyberkriminelle und nutzen diesen Umstand, um ihre Opfer zu verunsichern und zu beeinflussen.

Wird beispielsweise ein:e neue Mitarbeiter:in in der ersten Arbeitswoche mit einem dringenden Auftrag von einer angeblichen Führungskraft per E-Mail betraut, ist die Wahrscheinlichkeit relativ hoch, dass die Person dieser Bitte nachkommt, um von Anfang an einen guten Eindruck zu hinterlassen und sich motiviert zu zeigen. Doch auch Emotionen spielen eine wichtige Rolle: Beispielsweise das Hilfsgesuch eines vermeintlichen Freundes oder Kollegen, der sich angeblich in einer misslichen Lage befindet und schnell Unterstützung in Form von Informationen benötigt. Solche E-Mails können Phishing-Profis mit einigen grundlegenden Daten relativ einfach erstellen und erhöhen damit den Druck auf die jeweiligen Empfänger und die Wahrscheinlichkeit für einen unbedachten Klick auf einen unseriösen Link.

Phishing-Angriffe zuverlässig erkennen

Sind die grundsätzlichen Elemente von Social-Engineering-Phishing-Angriffen allgemein bekannt, geht es darum, solche E-Mails im täglichen Business zuverlässig zu erkennen und richtig darauf zu reagieren.

Ich sehe was, was du nicht siehst

Wann immer jemandem im Unternehmen eine Nachricht wie eine Phishing-E-Mail vorkommt, gilt vor allem eins: absolute Transparenz und offene Kommunikation. Die Meldung jedes potentiellen Angriffs sollte die goldene Regel sein, selbst wenn das Opfer die E-Mail bereits geöffnet oder einen Anhang heruntergeladen hat. Das gelingt jedoch nur, wenn alle Teams ein positives Umfeld für solche Situationen schaffen und Betroffene nicht befürchten müssen, für ein gemeldetes Fehlverhalten schikaniert oder gar bestraft zu werden.

Connor Swalm, CEO von Phin Security, hat dazu einen praktischen Tipp: „Weisen Sie Ihre Mitarbeitenden nicht auf einen Phishing-Test an einem bestimmten Datum oder zu einer bestimmten Uhrzeit hin. Wenn Sie das tun, werden sie an diesen Tagen einfach keine ihrer E-Mails öffnen, was die Effizienz und Kommunikation im gesamten Unternehmen beeinträchtigt."

Was der Bauer nicht kennt, isst er nicht

Je besser die Mitarbeitenden mit den verschiedenen Arten von Phishing-Angriffen vertraut sind, desto besser sind sie gewappnet, wenn es darum geht, einen echten Angriff zu melden. Expert:innen stellen immer wieder Listen über die häufigsten Arten von Phishing-Angriffen zusammen, die als Orientierung gelten können. Dazu gehört beispielsweise auch, dass einige Social-Engineering-Phishing-Angriffe E-Mails, Textnachrichten und sogar Telefonanrufe umfassen können, um die notwendigen Informationen für einen Hack zu sammeln.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Ziel ist es allerdings nicht, eine möglichst lange technische Liste von Bedrohungen erstellen und die Mitarbeiter:innen dazu zu motivieren, diese auswendig zu lernen. Vielmehr geht es darum, das grundsätzliche Verständnis für Methoden und Muster ständig neu zu schulen. Beispiele aus der realen Welt machen mögliche Szenarien greifbar und helfen den Mitarbeiter:innen, sich der tatsächlichen Bedrohung des jeweiligen Problems bewusst zu werden.

Vorsicht ist besser als Nachsicht

Die Unternehmensrichtlinien in Bezug auf finanzielle Transaktionen und die Erstellung neuer Logins sind eine hervorragende Basis für Mitarbeiter:innen, um mögliche Phishing-E-Mails zu erkennen. Wer Opfer einer dubiosen Nachricht wird, kann sich auf die entsprechende interne Regelung berufen und gewinnt somit eine gewisse Handlungssicherheit.

Darüber hinaus ergibt es Sinn, in den Richtlinien festzulegen, was die Teams in Bezug auf die Kommunikation mit der Geschäftsleitung bei zeitkritischen Anfragen erwarten können. Auf diese Weise sind auch neue Kolleg:innen gewarnt, wenn sie etwa eine dringende Anfrage für Amazon-Geschenkkarten im Wert von mehreren hundert Euro in ihrem Posteingang finden.

Fazit: Ohne Sicherheitskultur geht es nicht

Unternehmen sollten regelmäßige, verpflichtende Sicherheitsschulungen für all ihre Teams einplanen und zuverlässig durchführen. Doch um wirklich ein tiefes Verständnis und Bewusstsein für die drohenden Gefahren und die Rolle jedes Einzelnen zu schaffen, brauchen sie eine Unternehmenskultur, die Sicherheit als Fokusthema behandelt und in allen Hierarchie-Ebenen tagtäglich gelebt wird. Regeln sollten jederzeit einfach und leicht verständlich formuliert sein, damit alle Mitarbeiter:innen wissen, was von ihnen erwartet wird. Vor allem können sie so verstehen, dass sie nicht nur an der Verteidigung der Firma gegen bösartige Akteure beteiligt sind, sondern vor allem einen der wichtigsten Bestandteile einer wirksamen Sicherheitsstrategie bilden.

Über den Autor: André Schindler gründete als General Manager EMEA bei NinjaOne die EMEA-Niederlassung in Berlin und baute sowohl den Vertrieb als auch den Service in Europa auf. Als Vice President Strategic Partnerships verantwortet er die strategischen Geschäfts- und Technologiepartnerschaften einschließlich der Planung und Ausführung von Go-to-Market-Strategien. Vor seinem Einstieg bei NinjaOne wirkte André Schindler neuneinhalb Jahre in unterschiedlichen leitenden Funktionen für TeamViewer in den Bereichen Vertrieb, Konzernentwicklung, Value Creation und Strategische Partnerschaften.

(ID:48442501)