Es hört sich hart an, entspricht aber leider der Wahrheit: Der Mensch ist beim Thema Phishing das größte Risiko. Einmal unkonzentriert oder abgelenkt, schon fällt man auf eine Phishing-Mail rein. Das einzige was hilft: Bewusstsein und Übungen, um Phishing-Mails besser zu erkennen.
Die aktuelle Situation während der Corona-Krise bietet Betrügern ein leichtes Spiel. Sie verschicken Phishing-Mails mit Bezug zu COVID-19, die besorgte Personen öffnen und auf die Tricks hereinfallen. Laut der Bedrohungsanalyse von G DATA CyberDefense ist die Zahl der verhinderten Angriffe im März 2020 deutlich gestiegen – im Vergleich zum Vormonat um etwa 30 Prozent.
Die Arbeit im Homeoffice war und ist ein zusätzlicher Faktor. Denn vielen Unternehmen war es in der Kürze der Zeit nicht möglich, ihren Angestellten eine ausreichend gesicherte Infrastruktur bereit zu stellen.
Auf kritische Firmendaten wie etwa Kontodaten haben es die Betrüger besonders abgesehen: Mit geklauten Daten haben die Betrüger immer wieder versucht, staatliche Finanzhilfen zu erhalten.
Phishing: Stress und Routine sind schlechte Begleiter
Wie kann es jetzt dazu kommen, dass ausgebildete Mitarbeiter auf gefälschte Mails reinfallen? Denn während immer leistungsfähigere Technologien entwickelt werden, um Angriffe besser und schneller zu erkennen, lässt sich das menschliche Verhalten nur langsam und schwierig beeinflussen. Die Betrüger nutzen Unaufmerksamkeit und das oftmals fehlende Wissen der Angestellten aus – in Kombination mit Stress oder Routine.
Außerdem ist es heutzutage immer schwieriger, die Phishing-Mails von echten Mails zu unterscheiden. Sie sehen oft wie ganz normale Geschäftsvorgänge aus – häufig nehmen sie sogar Bezug auf bestehenden E-Mail-Verkehr oder einen aktuellen Anlass.
Betrüger verschicken zudem nicht nur Massenmails, sondern suchen sich ganz bewusst ein Opfer aus. Die Person wird über ihre Social-Media-Kanäle oder die Firmenwebsite beobachtet, um dann eine individuelle Phishing-Mail an sie zu verschicken.
Die Betrüger möchten durch die Phishing-Mails einen leichten Zutritt zum System bekommen, um Schadsoftware wie Trojaner oder Ransomware zu verteilen. Oder um persönliche Informationen wie beispielsweise Login-Daten zu bekommen. Grundsätzlich sind E-Mails der grösste Einfallsvektor für Cyberattacken.
Aufmerksame Mitarbeiter machen den Unterschied
Wie können Firmen dafür sorgen, dass Mitarbeiter betrügerische Mails direkt erkennen? Eine einfache Aufklärung über Phishings-Mails mit einem Schulungsvideo alleine hilft nicht weiter. Unternehmen müssen IT-Sicherheit ganzheitlich betrachten. Und das ist ein längerer Prozess mit dem Ziel, das Bewusstsein der Mitarbeiter kontinuierlich zu verbessern.
Denn es ist nicht hilfreich, wenn verdächtige Mails ganz einfach nur gelöscht werden. Viel besser ist es, wenn die Mails an eine interne Stelle weitergeleitet werden. So können beispielsweise eingesetzte Phishing-Filter angepasst werden, damit Mitarbeiter diese Mails gar nicht erst erhalten.
Außerdem sollten die bestehenden Webseiten-Blocklisten ergänzt werden, um den Zugriff auf die in der Phishing-Mail enthaltenen Links direkt zu unterbinden. Grundlage hierfür ist allerdings, dass es eine Firmenkultur gibt, die Mitarbeiter schützt, die versehentlich eine Phishing-Mail anklicken.
Phishing Simulation: Schulungen sensibilisieren
Daher sollten Unternehmen Schulungen in Betracht ziehen, um ihre Mitarbeiter im Umgang mit gefälschten Mails zu trainieren. Dabei bedarf es einer umfangreichen Phishing Simulation, welche die raffinierte Vorgehensweise der Angreifer realistisch abbildet.
Eine Möglichkeit ist beispielsweise, dass die Mitarbeiter über einen festgelegten Zeitraum hinweg mehrere Mails in unterschiedlichen Schwierigkeitsgraden erhalten.
Einige der Mails sind durch grobe Rechtschreibfehler und fehlende direkte Anrede auf den ersten Blick erkennbar. Bei anderen Nachrichten wird der Adressat beispielsweise direkt angesprochen, sodass die Gefahr erst auf den zweiten Blick erkennbar ist. Anschließend können die Ergebnisse ausgewertet werden.
Das Wichtigste ist aber: Das Verhalten der Mitarbeiter muss regelmäßig aufgefrischt werden, sonst schleicht sich wieder Routine in den Arbeitsalltag ein.