Wie können Mitarbeiter in puncto Phishing sensibilisiert werden?

Aus Fehlern lernen – mit Security-Awareness-Kampagnen.

Aus Schaden wird man klug. Wer einmal einer Hackerattacke zum Opfer gefallen ist, ist sensibilisiert für mögliche Gefahren. Aber muss dafür denn erst der Ernstfall eintreten? Die Blue Frost Security GmbH zeigt unter anderem mit simulierten Phishing-Attacken im Rahmen von Security-Awareness-Kampagnen Sicherheitsrisiken in Unternehmen auf. Wie reagieren Mitarbeiter auf Nachrichten, denen sie besser nicht vertrauen sollten? Lassen sie Vorsicht walten oder klicken sie auf manipulierte Links? Dadurch wird in Unternehmen aufgedeckt, wo Handlungs- beziehungsweise Schulungsbedarf besteht. Tipps helfen Mitarbeitern Phishing-Mails zu erkennen.

Hacker und Datendiebe haben Hochkonjunktur. Im Zuge des digitalen Wandels werden die Angriffsflächen größer und die Strategien immer raffinierter. Oftmals wird dabei der Faktor Mensch als Sicherheitslücke ausgenutzt. Die Sicherheitsspezialisten führen daher Mitarbeitersensibilisierung im Auftrag von Unternehmen durch. »Eine sehr wirksame Methode ist eine Phishing-Kampagne. Denn Schulungen in Form von Power-Point-Präsentationen werden niemals so verinnerlicht wie eine persönliche Erfahrung«, erklärt Kristina Restrepo, Regional Sales Manager bei der Blue Frost Security GmbH.

Zunächst eruieren die Experten, ob im Unternehmen jemals Awareness-Maßnahmen getroffen wurden. Wenn ja, kann eine Phishing-Kampagne folgen, die überprüft, ob das Erlernte verinnerlicht wurde. Gab es noch keine derartigen Maßnahmen, überprüfen die Spezialisten den Status-quo, d.h. wie sensibilisiert die Mitarbeiter hinsichtlich der Sicherheitsrisiken aktuell sind. Nach ein paar Monaten kann eine Vorher-Nachher-Aktion zur Validierung gestartet werden.

 

Phishing-Mails werden immer professioneller

Eine simulierte Phishing-Mail kann einfach oder schwierig erkennbar gestaltet sein. »In den meisten Fällen reichen gut, aber einfach konzipierte E-Mails aus. Dies kann beispielsweise eine vorgetäuschte Nachricht des Postanbieters oder eines bekannten Versandhändlers sein. In die E-Mail bauen wir bewusst typische Fehler ein, um zu testen, ob der Empfänger sie erkennt. Phishing-Mails werden jedoch immer raffinierter und sind für den Laien kaum noch zu erkennen – umso mehr gilt es, auf kleine Hinweise zu achten«, erklärt Kristina Restrepo.

 

10 Hinweise, wie man eine Phishing-Mail erkennt:

 

1)      Es wird nach vertraulichen Daten (etwa Passwörter, Kontodaten) gefragt

2)      Grammatikalische oder orthografische Fehler

3)      Das Logo ist unscharf oder abgewandelt

4)      Es ist gar kein Logo vorhanden

5)      Die Absender-E-Mail-Adresse enthält ungewöhnliche Buchstabenkombinationen oder unübliche Bestandteile

6)      Die angegebenen Links wirken auf den ersten Blick echt, enthalten auf den zweiten Blick jedoch ungewöhnliche oder falsch geschriebene Bestandteile

7)      Man erhält eine Benachrichtigung an die Firmen-E-Mail-Adresse, hat diese aber nicht zu Online-Shoppingzwecken oder ähnliches verwendet

8)      Hinweise auf Änderung der Abrechnungssysteme oder Software-Updates bei Online-Kaufhäusern oder Bankabfragen von sensiblen Daten sind ein Warnsignal

9)      Die Mail verwendet eine nicht-personalisierte Anrede

10)    Hinweise auf dringenden Handlungsbedarf oder Einhaltung von Fristen sind verdächtig

 

Vorgehensweise einer Sensibilisierung

In Absprache mit dem Unternehmen kreiert Blue Frost Security eine E-Mail, die diese oder ähnliche Phishing-Merkmale enthält. Nach einem Testlauf wird sie an die Mitarbeiter versandt. Der Vorgang und die Auswertung sind anonymisiert. Klickt ein Mitarbeiter auf einen manipulierten Link, ein Bild oder ähnliches, wird dies registriert, jedoch nicht die Person. Ziel ist es, einen Überblick zu erhalten, wie viele Mitarbeiter tatsächlich in die Phishing-Falle tappen. Um die Anfälligkeit für Phishing-Attacken abteilungsspezifisch zu untersuchen, können die Mitarbeiter in relevante Gruppen wie etwa Management, Verwaltung oder Lager unterteilt werden (eine Gruppe muss aus mindestens 10 Personen bestehen).

Wenn der Mitarbeiter auf einen Link geklickt hat, gibt es die Möglichkeit, dass er auf eine Landingpage weitergeleitet wird. Hier kann er dann etwa eine Art Schulung oder Tipps, woran man Phishing-Mails erkennt, erhalten. Die Landingpage könnte alternativ auch anhand eines Formulars, das zum Ausfüllen einlädt, prüfen, wie viele der Mitarbeiter sensible Informationen eingeben.

»Unsere Erfahrung zeigt, dass ca. 70 Prozent der Mitarbeiter, die bisher keine Security-Awareness-Erfahrungen haben, auf die Phishing-Mail hereinfallen. Der Prozentsatz der Mitarbeiter, die Erfahrungen damit haben, liegt jedoch dennoch zwischen 50 und 70 Prozent. Denn der Mensch ist naturgegeben neugierig. Nur regelmäßige Kampagnen können sukzessive sensibilisieren«, erklärt Kristina Restrepo und ergänzt: »Und unsere Tests haben unterschiedliche Schwierigkeitsgrade. Sie reichen von der Standard-Postbenachrichtigung bis hin zu Nachrichten aus der Geschäftsführung zur nächsten Weihnachtsfeier oder Ähnliches. Wer diese erkennt, ist nah am Ziel, keiner Attacke mehr zum Opfer zu fallen.«

 


 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.

 

Massenphänomen Phishing und Identitätsdiebstahl – Multi-Faktor-Authentifizierung und Netzwerkkontrolle

Phishing-Angriffe stoppen: So erkennen Sie bösartige E-Mails

Phishing kommt überwiegend aus EMEA-Region

Anstieg von Phishing-Kampagnen nahezu unvermeidbar

Die fünf häufigsten Phishing-Köder und was man dagegen tun kann

Vorsicht bei der Shopping-Schlacht: Aktuelle Black-Friday- und Cyber-Monday-Phishing-Attacken

Schutz vertraulicher Daten: Phishing bedroht Unternehmen und private Internetnutzer

Weitere Artikel zu