Der Mensch als Einfallstor für Malware – So steigern Sie die User Awareness.
von Udo Stiefvater
Unternehmen sehen sich immer perfideren Cyber-Attacken ausgesetzt. Besonders weit verbreitet sind Phishing-Angriffe. Dabei werden Anwender über perfekt nachgebildete E-Mails und Websites dazu verleitet, Zugangsdaten oder andere sensible Informationen herauszugeben und so dem Angreifer Türen ins Unternehmensnetz zu öffnen. Oft enden diese Angriffe mit der Verschlüsselung von Unternehmensdaten und der Forderung nach Lösegeld.
Verfasst von
Wie kann man sich vor dieser Gefahr schützen?
Neben allen technischen Maßnahmen und einer tragfähigen Security-Strategie ist die Sensibilisierung der Anwender (User Awareness) das wichtigste Glied in der Sicherheitskette. Mit einer einmaligen Frontalschulung ist dieses Ziel allerdings nicht zu erreichen. Für den Aufbau einer Sicherheitskultur sind fortlaufende Schulungen der Mitarbeitenden zwingend erforderlich – analog zu Updates und Patches bei technischen Systemen.
In der Praxis hat sich ein Kreislauf aus Phishing-Simulationen zur Steigerung des Awareness-Levels und darauf aufbauenden gezielten E-Learning-Maßnahmen bewährt. Mit unserem Partner KnowBe4 stellen wir dazu eine komfortable Web-Plattform mit mehr als 1.000 interaktiven Modulen und Videos in 35 Sprachen zur Verfügung, darunter innovative Formate im Stil der beliebten Serien großer Streaming-Anbieter. Für die Durchführung von Phishing-Simulationen ist zudem eine umfangreiche Vorlagenbibliothek enthalten. Kommen Sie gerne auf uns zu, wenn Sie mehr erfahren möchten!
Woran lassen sich Phishing-E-Mails erkennen?
Wir haben für Sie in einem Schaubild die wichtigsten Anzeichen für Phishing-E-Mails zusammengestellt. Sie können es über das nachstehende Formular als PDF-Dokument herunterladen. Hängen Sie es doch am besten in einem stark frequentierten Bereich auf oder verteilen Sie es über Ihr Intranet. Dadurch sorgen Sie für ein Stück mehr Sicherheit in Ihrem Unternehmen.
Bitte beachten Sie unsere Datenschutzhinweise, die Sie umfassend über unsere Datenverarbeitung und Ihre Datenschutzrechte informieren.
Klassisches Phishing.
Bei dieser ältesten Form des Phishings werden massenhaft identische E-Mails an einen großen Verteilerkreis geschickt. Fast jeder kennt den Klassiker vom angeblich reichen Geschäftsmann, der dringend Unterstützung für den Transfer einer hohen Geldsumme benötigt. Während früher diese Betrugsversuche leicht erkennbar waren, sind moderne Versionen oft auf einem hohen sprachlichen und gestalterischen Niveau verfasst. Auch inhaltlich werden vermehrt aktuelle Themen wie Corona aufgegriffen.
Spear-Phishing.
Beim Spear-Phishing wird eine Organisation oder eine Person ganz gezielt angegriffen. Dazu werden vom Angreifer öffentlich zugängliche Informationen gesammelt, z. B. in sozialen Netzwerken. Diese Informationen werden dann zielgenau eingesetzt. Das Opfer erhält eine E-Mail, die in hohem Maße plausibel wirkt. Wird z. B. über ein soziales Netzwerk die Teilnahme an einem Event gepostet, dann könnte eine Phishing-E-Mail als Absender den Veranstalter vortäuschen und einen schadhaften Anhang mitsenden.
Dynamite-Phishing.
Ähnlich wie beim Spear-Phishing werden die Opfer sehr gezielt und auf Basis zuvor gesammelter Informationen adressiert. Beim Dynamite-Phishing erfolgt die Sammlung der Informationen aber innerhalb des Unternehmens – durch bereits zuvor eingeschleusten Schadcode. Über einen längeren Zeitraum liest der Schadcode Kontaktbeziehungen und E-Mail-Inhalte aus, um dann explosionsartig in sehr kurzer Zeit eine Masse an passgenauen Phishing-E-Mails zu erzeugen. Im Gegensatz zum Spear-Phishing erfolgt dies jedoch automatisiert und ohne größere manuelle Eingriffe. Die Empfänger erhalten E-Mails von fingierten Absendern, mit denen sie erst kürzlich in Kontakt standen – mit dazu passenden Inhalten.
Vishing (auch Voice oder Telefon-Phishing).
Hier wird der Betrugsversuch telefonisch durchgeführt. Der Anrufer gibt eine falsche Identität vor, z. B. als höherrangiger Mitarbeiter im Unternehmen, Finanzamt etc., und versucht, das Opfer mit einer ideenreichen Geschichte zu einer Handlung oder der Preisgabe von Informationen zu bewegen. Besonders gefährlich wird diese Variante, wenn sogenannte Deepfakes verwendet werden – in diesem Fall die synthetische Nachbildung der realen Stimme des vorgeblichen Anrufers.
Beitrag weiterempfehlen
