:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Ohne Sicherheitskultur geht es nicht Praktische Tipps zur Erkennung von Phishing-Attacken
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Es gibt zwar glücklicherweise Technologien, um die Zahl der Phishing-E-Mails, die in ein Unternehmen gelangen, zu erkennen und zu begrenzen. Dennoch ist der Mensch letztendlich die letzte Verteidigungslinie gegen Social-Engineering-Angriffe.
Irgendwann erwischt es jede Organisation einmal mit einem erfolgreichen Phishing-Angriff! Anstatt alles zu sperren und die Geschäftskommunikation zu behindern, müssen die Mitarbeiter:innen von der Führungsetage bis zu den Auszubildenden in die Lage versetzt werden, Phishing-E-Mails zu erkennen, damit der Ernstfall ausschließlich in Schulungsumgebungen eintritt und nicht in der Realität.
Elemente einer Social-Engineering-Phishing-Attacke
Um Schäden durch Social-Engineering-Phishing-Angriffe vorzubeugen, muss das Management sämtliche Teams darüber aufklären, woran sie diese erkennen. Nur mit diesem Wissen kann jede:r Einzelne dazu beitragen, solche Eingriffe zu verhindern sowie präventiv darauf achten, wo die eigenen Informationen im Internet veröffentlicht sind und möglicherweise missbraucht werden können.
Der digitale Fußabdruck
Cyberkriminelle nehmen sich heutzutage die Zeit, um möglichst viele Informationen über ihr nächstes Opfer zu recherchieren. Indem sie die mit dem Namen verknüpften sozialen Medien durchforsten und über die Google-Suche alle verfügbaren Daten erfassen, können sie Informationen über die Gewohnheiten der anvisierten Person zusammenstellen: Seien es häufig besuchte Orte, wie das Fitnessstudio oder die Arbeitsstelle, oder persönliche Details wie Wohnanschrift, Geburtsdatum oder Familienstand.
Deshalb ist es besonders wichtig, dass sich Mitarbeiter:innen darüber bewusst sind, welches Einfallstor sie schaffen, wenn sie beispielsweise regelmäßig auf Social-Media-Plattformen posten, wie wohl sie sich in ihrem Lieblingscafé fühlen. Solche privaten Informationen können Angreifende gezielt nutzen, um eine überzeugende Phishing-E-Mail zu erstellen – beispielsweise einen unechten Gutscheincode, der angeblich von dieser Location stammt. Je besser der Inhalt der Nachricht zu den Lebensumständen des Opfers passt, umso größer ist die Gefahr, dass die Zielperson auf die Betrügerei hereinfällt.
Der soziale Druck
Das menschliche Verhalten ist schwer zu verändern, denn wir sind Gewohnheitstiere. Stresssituationen und sozialer Druck beeinflussen allerdings die Art und Weise, wie Menschen reagieren, weil sie plötzlich nicht mehr auf gewohnte Muster zurückgreifen können. Dies wissen auch Cyberkriminelle und nutzen diesen Umstand, um ihre Opfer zu verunsichern und zu beeinflussen.
Wird beispielsweise ein:e neue Mitarbeiter:in in der ersten Arbeitswoche mit einem dringenden Auftrag von einer angeblichen Führungskraft per E-Mail betraut, ist die Wahrscheinlichkeit relativ hoch, dass die Person dieser Bitte nachkommt, um von Anfang an einen guten Eindruck zu hinterlassen und sich motiviert zu zeigen. Doch auch Emotionen spielen eine wichtige Rolle: Beispielsweise das Hilfsgesuch eines vermeintlichen Freundes oder Kollegen, der sich angeblich in einer misslichen Lage befindet und schnell Unterstützung in Form von Informationen benötigt. Solche E-Mails können Phishing-Profis mit einigen grundlegenden Daten relativ einfach erstellen und erhöhen damit den Druck auf die jeweiligen Empfänger und die Wahrscheinlichkeit für einen unbedachten Klick auf einen unseriösen Link.
Phishing-Angriffe zuverlässig erkennen
Sind die grundsätzlichen Elemente von Social-Engineering-Phishing-Angriffen allgemein bekannt, geht es darum, solche E-Mails im täglichen Business zuverlässig zu erkennen und richtig darauf zu reagieren.
Ich sehe was, was du nicht siehst
Wann immer jemandem im Unternehmen eine Nachricht wie eine Phishing-E-Mail vorkommt, gilt vor allem eins: absolute Transparenz und offene Kommunikation. Die Meldung jedes potentiellen Angriffs sollte die goldene Regel sein, selbst wenn das Opfer die E-Mail bereits geöffnet oder einen Anhang heruntergeladen hat. Das gelingt jedoch nur, wenn alle Teams ein positives Umfeld für solche Situationen schaffen und Betroffene nicht befürchten müssen, für ein gemeldetes Fehlverhalten schikaniert oder gar bestraft zu werden.
Connor Swalm, CEO von Phin Security, hat dazu einen praktischen Tipp: „Weisen Sie Ihre Mitarbeitenden nicht auf einen Phishing-Test an einem bestimmten Datum oder zu einer bestimmten Uhrzeit hin. Wenn Sie das tun, werden sie an diesen Tagen einfach keine ihrer E-Mails öffnen, was die Effizienz und Kommunikation im gesamten Unternehmen beeinträchtigt."
Was der Bauer nicht kennt, isst er nicht
Je besser die Mitarbeitenden mit den verschiedenen Arten von Phishing-Angriffen vertraut sind, desto besser sind sie gewappnet, wenn es darum geht, einen echten Angriff zu melden. Expert:innen stellen immer wieder Listen über die häufigsten Arten von Phishing-Angriffen zusammen, die als Orientierung gelten können. Dazu gehört beispielsweise auch, dass einige Social-Engineering-Phishing-Angriffe E-Mails, Textnachrichten und sogar Telefonanrufe umfassen können, um die notwendigen Informationen für einen Hack zu sammeln.
Ziel ist es allerdings nicht, eine möglichst lange technische Liste von Bedrohungen erstellen und die Mitarbeiter:innen dazu zu motivieren, diese auswendig zu lernen. Vielmehr geht es darum, das grundsätzliche Verständnis für Methoden und Muster ständig neu zu schulen. Beispiele aus der realen Welt machen mögliche Szenarien greifbar und helfen den Mitarbeiter:innen, sich der tatsächlichen Bedrohung des jeweiligen Problems bewusst zu werden.
Vorsicht ist besser als Nachsicht
Die Unternehmensrichtlinien in Bezug auf finanzielle Transaktionen und die Erstellung neuer Logins sind eine hervorragende Basis für Mitarbeiter:innen, um mögliche Phishing-E-Mails zu erkennen. Wer Opfer einer dubiosen Nachricht wird, kann sich auf die entsprechende interne Regelung berufen und gewinnt somit eine gewisse Handlungssicherheit.
Darüber hinaus ergibt es Sinn, in den Richtlinien festzulegen, was die Teams in Bezug auf die Kommunikation mit der Geschäftsleitung bei zeitkritischen Anfragen erwarten können. Auf diese Weise sind auch neue Kolleg:innen gewarnt, wenn sie etwa eine dringende Anfrage für Amazon-Geschenkkarten im Wert von mehreren hundert Euro in ihrem Posteingang finden.
Fazit: Ohne Sicherheitskultur geht es nicht
Unternehmen sollten regelmäßige, verpflichtende Sicherheitsschulungen für all ihre Teams einplanen und zuverlässig durchführen. Doch um wirklich ein tiefes Verständnis und Bewusstsein für die drohenden Gefahren und die Rolle jedes Einzelnen zu schaffen, brauchen sie eine Unternehmenskultur, die Sicherheit als Fokusthema behandelt und in allen Hierarchie-Ebenen tagtäglich gelebt wird. Regeln sollten jederzeit einfach und leicht verständlich formuliert sein, damit alle Mitarbeiter:innen wissen, was von ihnen erwartet wird. Vor allem können sie so verstehen, dass sie nicht nur an der Verteidigung der Firma gegen bösartige Akteure beteiligt sind, sondern vor allem einen der wichtigsten Bestandteile einer wirksamen Sicherheitsstrategie bilden.
Über den Autor: André Schindler gründete als General Manager EMEA bei NinjaOne die EMEA-Niederlassung in Berlin und baute sowohl den Vertrieb als auch den Service in Europa auf. Als Vice President Strategic Partnerships verantwortet er die strategischen Geschäfts- und Technologiepartnerschaften einschließlich der Planung und Ausführung von Go-to-Market-Strategien. Vor seinem Einstieg bei NinjaOne wirkte André Schindler neuneinhalb Jahre in unterschiedlichen leitenden Funktionen für TeamViewer in den Bereichen Vertrieb, Konzernentwicklung, Value Creation und Strategische Partnerschaften.
(ID:48442501)
:quality(80)/p7i.vogel.de/wcms/9a/84/9a842dae4841788c867b58160e258510/0109960780.jpeg "KI-gestützte Lösungen können helfen, das Internet sicherer zu machen. Dies gilt nicht nur für die Sicherheit von Privatanwender*innen, sondern auch für Unternehmen. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e3/4a/e34a68d48018059ecb7aef41e101dcff/0111274291.jpeg "Wenn Mitarbeitende durch Simulationen lernen, was im Notfall zu tun ist, wissen sie, wie sie im Ernstfall reagieren sollten. (Bild: Andrea Danti - stock.adobe.com)")