von Redaktion IT-A…
Lesezeit
2 Minuten
Leitfaden gegen akute Phishing-Bedrohungen
Firewalls, Virenschutz und Spamfilter – die technischen Tools gegen Cyberkriminalität sind zahlreich. Doch um gegen Social-Engineering-Angriffe wie Phishing gewappnet zu sein, muss ein ganz anderes Einfallstor abgesichert werden: der Mensch. Gerade E-Mails dienen im Unternehmen noch als Hauptkommunikationskanal, weswegen eine Einweisung in die Do's and Don'ts der E-Mail-Sicherheit für jeden Mitarbeiter sowie der Aufbau einer nachhaltigen Sicherheitskultur in der ganzen Organisation unerlässlich sind.
E-Mail-Phishing, Spear-Phishing und Social Engineering sind nach wie vor die gängigsten und zuverlässigsten Methoden, um sich illegal Zugang zu einem Netzwerk zu verschaffen. Und die Tendenz steigt: Der Proofpoint-Bericht "State of the Phish 2022" zeigt, dass E-Mail-Phishing-Angriffe 2021 um 46 Prozent erfolgreicher waren als im Vorjahr. Einer der Gründe hierfür ist, dass Mitarbeiter im Home Office durch die mentale Belastung der Pandemie nachlässiger und gutgläubiger auf Betrugsversuche reagieren. Allein im Jahr 2021 landeten über 12 Millionen Phishing- und Social-Engineering-E-Mails in den Postfächern von mehr als 17.000 US-Unternehmen. Darüber hinaus waren 85 Prozent der Sicherheitsverletzungen auf einen menschlichen Insider zurückzuführen, und 61 Prozent der Sicherheitsverletzungen betrafen schwache Passwörter oder kompromittierte Anmeldedaten.
Password Phishing auf dem Vormarsch
Typisch für einen Phishing-Angriff sind täuschend echt nachgestellte Login-Eingabefenster, auf die die Opfer über einen getarnten Link in einer authentisch aussehenden E-Mail gelenkt werden. Besonders groß ist der Schaden, wenn das gleiche kompromittierte Passwort zum Einloggen in anderen Anwendungen Verwendung findet. Oft sind Phishing-Mails nicht oder nur minimal personalisiert und tarnen sich als automatisch verschickte E-Mails eines Diensts. Wird ein Angriff mit größerer Sorgfalt auf eine bestimmte Zielperson abgestimmt, ist auch von Spear-Phishing die Rede.
Selbst wenn die entsprechende Software, Hardware und Patches vorhanden sind, bietet das menschliche Element immer noch eine Schwachstelle für Social Engineering. Dieser Angriffsvektor wurde nach Beginn der Pandemie noch attraktiver, da viele Unternehmen auf dezentrale Arbeitsplätze umgestiegen sind und dabei die digitale Transformation überstürzt vollzogen haben. Zahlreiche Studien haben gezeigt, dass das Cyberrisiko mit der Zunahme der Telearbeit anstieg. Anti-Phishing-Software kann sicherlich helfen, sie ersetzt aber nicht das Bewusstsein für solche Attacken bei den Mitarbeitern. Hier müssen IT-Administratoren dabei helfen, eine Sicherheitskultur im Unternehmen zu etablieren.
Sicherheitstrainings und Sicherheitskultur
Gerade bei zunehmenden Phishing-Attacken gilt es, das Personal regelmäßig und gründlich zu schulen. Sicherheitstrainings sind wichtig, das ist bei den allermeisten Unternehmen angekommen. Nachhaltiger ist es aber, eine Sicherheitskultur im Unternehmen zu etablieren. Jedes Teammitglied sollte das Gefühl haben, dass das Thema Cybersicherheit im Unternehmen ernst genommen wird. Außerdem sollte jeder im Unternehmen das Gefühl von Teilhabe an der Unternehmenssicherheit haben. Cybersicherheit liegt nicht nur in der Verantwortung der IT-Teams. Das Engagement der Mitarbeiter ist ausschlaggebend für eine resiliente Sicherheitsstrategie.
Als allerersten Schritt sollten vor allem IT-Verantwortliche und ihre Teams ein sicheres Umfeld schaffen. Damit ist gemeint, dass Mitarbeiter sich vertrauensvoll an das IT-Team wenden können. Löst der Gedanke, einen Vorfall bei den IT-Administratoren zu melden, Furcht vor Schikane aus, schweigen Mitarbeiter aus Angst vor der vermeintlichen Verurteilung lieber. Authentisch werden Maßnahmen aber erst, wenn die IT-Verantwortlichen sich dem Thema der Sicherheitstrainings sowie der nachhaltigen Etablierung einer Sicherheitskultur im Unternehmen annehmen. Auf einige Dinge sollten IT-Verantwortliche bei der Umsetzung und Planung der Schulungen sowie der weiteren Sicherheitsmaßnahmen daher besonders achten.
Seite 1: Sicherheitstrainings und Sicherheitskultur
ln/André Schindler, General Manager EMEA bei NinjaOne
Password Phishing auf dem Vormarsch
Typisch für einen Phishing-Angriff sind täuschend echt nachgestellte Login-Eingabefenster, auf die die Opfer über einen getarnten Link in einer authentisch aussehenden E-Mail gelenkt werden. Besonders groß ist der Schaden, wenn das gleiche kompromittierte Passwort zum Einloggen in anderen Anwendungen Verwendung findet. Oft sind Phishing-Mails nicht oder nur minimal personalisiert und tarnen sich als automatisch verschickte E-Mails eines Diensts. Wird ein Angriff mit größerer Sorgfalt auf eine bestimmte Zielperson abgestimmt, ist auch von Spear-Phishing die Rede.
Selbst wenn die entsprechende Software, Hardware und Patches vorhanden sind, bietet das menschliche Element immer noch eine Schwachstelle für Social Engineering. Dieser Angriffsvektor wurde nach Beginn der Pandemie noch attraktiver, da viele Unternehmen auf dezentrale Arbeitsplätze umgestiegen sind und dabei die digitale Transformation überstürzt vollzogen haben. Zahlreiche Studien haben gezeigt, dass das Cyberrisiko mit der Zunahme der Telearbeit anstieg. Anti-Phishing-Software kann sicherlich helfen, sie ersetzt aber nicht das Bewusstsein für solche Attacken bei den Mitarbeitern. Hier müssen IT-Administratoren dabei helfen, eine Sicherheitskultur im Unternehmen zu etablieren.
Sicherheitstrainings und Sicherheitskultur
Gerade bei zunehmenden Phishing-Attacken gilt es, das Personal regelmäßig und gründlich zu schulen. Sicherheitstrainings sind wichtig, das ist bei den allermeisten Unternehmen angekommen. Nachhaltiger ist es aber, eine Sicherheitskultur im Unternehmen zu etablieren. Jedes Teammitglied sollte das Gefühl haben, dass das Thema Cybersicherheit im Unternehmen ernst genommen wird. Außerdem sollte jeder im Unternehmen das Gefühl von Teilhabe an der Unternehmenssicherheit haben. Cybersicherheit liegt nicht nur in der Verantwortung der IT-Teams. Das Engagement der Mitarbeiter ist ausschlaggebend für eine resiliente Sicherheitsstrategie.
Als allerersten Schritt sollten vor allem IT-Verantwortliche und ihre Teams ein sicheres Umfeld schaffen. Damit ist gemeint, dass Mitarbeiter sich vertrauensvoll an das IT-Team wenden können. Löst der Gedanke, einen Vorfall bei den IT-Administratoren zu melden, Furcht vor Schikane aus, schweigen Mitarbeiter aus Angst vor der vermeintlichen Verurteilung lieber. Authentisch werden Maßnahmen aber erst, wenn die IT-Verantwortlichen sich dem Thema der Sicherheitstrainings sowie der nachhaltigen Etablierung einer Sicherheitskultur im Unternehmen annehmen. Auf einige Dinge sollten IT-Verantwortliche bei der Umsetzung und Planung der Schulungen sowie der weiteren Sicherheitsmaßnahmen daher besonders achten.
| Seite 1 von 2 | Nächste Seite >> |
ln/André Schindler, General Manager EMEA bei NinjaOne
