Wohl jeder hat schon einmal eine dieser zweifelhaften Mails erhalten, die einen Millionen-Gewinn oder eine sofortige Business-Steigerung versprechen. Die Zahl an Phishing-Mails steigt kontinuierlich. Cyberkriminelle nehmen immer mehr den „Faktor Mensch“ ins Visier und zielen darauf ab, via Phishing Passwörter oder andere persönliche Informationen zu erhalten. Unser aktueller Blogbeitrag erläutert, wie Unternehmen dieser Gefahr entgegenwirken können.
Cyberkriminelle haben Phishing als lukrative Quelle erkannt, um an Geld zu gelangen. Durch die Corona-Pandemie und den damit verbundenen Umzug ins Home-Office haben Attacken dieser Art noch einmal erheblich zugenommen. Gerade nach der Neuerung der Corona-Arbeitsschutz-Verordnung, die besagt, dass – sofern möglich – jedem Arbeitnehmer die Möglichkeit des Home-Office gewährt werden muss, ist davon auszugehen, dass die Zahl der Phishing-Attacken steigen wird.
Was ist Phishing?
Als Phishing wird das kriminelle „Abfischen“ von Daten per E-Mail bezeichnet. Betroffene erhalten dabei zumeist eine E-Mail, die augenscheinlich von einem bekannten Absender stammt. Beim klassischen Phishing wird der Empfänger zumeist gebeten, einen Anhang zu öffnen oder auf einen Link zu klicken. Passiert dies in einem Unternehmen, können sich Hacker über eine Schadsoftware durch den Diebstahl von Login-Daten Zugang zu Firmennetzwerken verschaffen.
Die Auswirkungen sind vielfältig. Sie reichen vom unrechtmäßigen Abschluss von Verträgen und der Bestellung von Waren bis hin zur Durchführung von Online-Banküberweisungen. Eins der größten Risiken stellt die Datenverschlüsselung dar. Als Folge kann die Produktion von Hackern zum Stillstand gebracht und die Nutzung von Warenwirtschaftssystemen eingeschränkt werden. Auch Erpressung spielt hierbei eine große Rolle: Hacker fordern für erbeutete Daten Lösegeldzahlungen. Andernfalls drohen sie, die Daten im Darknet zu veröffentlichen (Ransomware).
Phishing ist damit eine Form des „Social Engineering“, das in der IT-Sicherheit Angriffsmethoden beschreibt, bei denen Kriminelle durch die Manipulation von Personen an sensible Informationen von Unternehmen oder Privatpersonen zu gelangen versuchen.
Die Corona-Krise als Phishing-Köder
Cyberkriminelle versuchen noch auf eine andere Art und Weise die Corona-Krise für sich zu nutzen: So versenden sie Phishing-Mails, in denen etwa Impfstoff kostengünstig angeboten oder vermeintliche Unterstützung bei der Beantragung von Finanzhilfen der Bundesregierung versprechen wird.
Um ein Öffnen solcher Mails zu vermeiden, ist es sehr wichtig, Mitarbeiter für Angriffe dieser Art zu sensibilisieren. Denn es gilt: Die Netzwerke eines Unternehmens können mit den besten Security-Lösungen ausgestattet sein – solange der „Faktor Mensch“ das Sicherheitsbewusstsein aber nicht mitträgt, haben Angreifer ein leichtes Spiel, sich Zutritt zu Unternehmensnetzwerken zu verschaffen.
Eine weitere Herausforderung für Unternehmen: Während Phishing-Mails vor einigen Jahren noch unausgereift und ungezielt an Massenverteiler versendet wurden, machen sich die Angreifer heutzutage persönliche Daten, die zum Beispiel durch soziale Medien zugänglich sind, zunutze. Sie adressieren und gestalten Mails individuell. Damit wird es immer schwieriger, echte E-Mails von Phishing-Varianten zu unterscheiden. Darauf weist auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hin.
Anzeichen für Phishing-Mails
Wie können Phishing-Mails erkannt werden? Wie überall gilt: Eine 100-prozentige Sicherheit gegen diese Bedrohung gibt es nicht. Allerdings gibt es einige Indizien hierfür:
- Unbekannter Absender
- Anonyme, unpersönliche oder allgemein gehaltene Anrede
- Merkwürdiger Betreff oder Inhalt
- Fehlerhafte Rechtschreibung und Grammatik
- Abgekürzte oder dubiose Weblinks (z.B. bundesregierung.ru).
- Klickbare Bilder im E-Mail-Text
- Zip-, Word- oder Excel-Dateien im Anhang
- Keine Signatur oder fragwürdige, unvollständige Firmenangaben
- Kein Abmelde-Link, wie bei einem seriösen Newsletter
Weitere Hinweise:
- Banken und andere Unternehmen fordern niemals per E-Mail dazu auf, persönliche Angaben zu machen. Insbesondere bei Kreditinstituten als Absender dieser Nachricht gilt höchste Alarmbereitschaft.
- Auch Gewinne werden nie per E-Mail ausgeschüttet. Bei Mails dieser Art handelt es sich wahrscheinlich ebenso um einen Betrugsversuch.
Trotz dieser Anzeichen reagieren Mitarbeiter, häufig aus Unachtsamkeit oder manchmal auch aus purer Neugier, auf Phishing-Mails und gewähren Angreifern damit Zugriff auf das Unternehmensnetzwerk.
Steigerung des Sicherheitsbewusstseins der Mitarbeiter
Dies zeigt: Phishing-Mails sind heute weit verbreitet. Kaum ein Unternehmen ist vor Angriffen dieser Art gefeit. Hacker nutzen dabei gezielt den Faktor Mensch als Schwachstelle– entsprechend sind Unternehmen gefordert, mit Trainingsmaßnahmen wie Online-Schulungen entgegenzuwirken. Dabei geht es darum, die Mitarbeiter für die Gefahren von schadhaften Mails zu sensibilisieren. Phishing- Simulationen zeigen die Angreifbarkeit des eigenen Unternehmens auf und stärken die Abwehrkräfte gegen Phishing-E-Mails, das größte Einfallstor für Ransomware.
Layer8 als intuitive und praxisnahe Plattform für Phishing-Simulationen erfüllt diese Anforderungen. Das Layer8 Schulungsangebot ist modular aufgebaut und die einzelnen Module werden stetig an aktuelle Bedrohungsszenarien bzw. Branchenspezifika angepasst. Die verschiedenen Module bestehen unter anderem aus interaktiven Einheiten, Videos, Spielsequenzen sowie Hinweisnachrichten, die ausgebildete Inhalte zu einem späteren Zeitpunkt wieder in Erinnerung rufen.
Kompakt aufgeführt – die Vorteile von Layer8
- Abwechslungsreich – durch interaktive Einheiten, Videos, Spielsequenzen und Infografiken.
- Zielgruppenspezifisch – für jede Zielgruppe die passenden Lerninhalte.
- Flexibel – Trainingseinheiten als kurzweilige Trainingsmodule.
- Kontinuierlich – Ausbildung über die gesamte Laufzeit verteilt.
- Nachweislich: Individuelle Trainingsnachweise für ISO 27001 Zertifizierung.
Die praxisnahe und interaktive Schulungsplattform Layer8 ist eine der zahlreichen Lösungen, die Allgeier CyRis bietet. Unsere aufeinander abgestimmten, leicht implementierbaren Produkte bilden ein integriertes Konzept, wenn es um das Thema IT-Sicherheit geht.