Internet-User geben immer mehr von sich und ihrem Leben Preis. Auch die vermeintlich harmlose Information über das Lieblingsrestaurant kann für Cyberkriminelle der erfolgbringende Aufhänger für personalisierte Phishing-Mails sein.
So ist das Arbeiten aus der Ferne gepaart mit dem IT-Fachkräftemangel ein nährreicher Boden für ausgeklügelte Phishing-Attacken. Denn Privates und Berufliches wird immer schwerer zu trennen und so kann eine private Information eines Internet-Users zu einer echten Gefahr für Unternehmen und Behörden werden.
Natürlich gibt es bereits Technologien und Sicherheitsmechanismen, wie beispielsweise E-Mail-Gateways, um die Zahl der Phishing-E-Mails, die in ein Unternehmen gelangen, zu reduzieren. Dennoch ist der Mensch letztendlich die letzte Verteidigungslinie gegen Social-Engineering-Angriffe, die immer häufiger auftreten. Bei Social-Engineering-Phishing geht es um E-Mails, die vermeintlich von seriösen Quellen stammen und das Ziel verfolgen, persönliche Informationen zu erlangen.
Sollte es zu einem erfolgreichen Phishing-Versuch kommen, ist das Sperren und die Stilllegung aller Geschäftsaktivitäten im Unternehmen nicht nur ein Horrorszenario, sondern auch geschäftsschädigend und in der Realität kaum umsetzbar. Phishing-Attacken haben sich in den letzten Jahren als vielversprechende Methode erwiesen, um sich Zugang zu Unternehmen und sensiblen Informationen zu verschaffen. Daher sollte die Aufklärung der Mitarbeitenden, vom Praktikanten bis zur Führungsebene, ein elementarer Teil der Sicherheitsschulungen in jedem Betrieb werden. Alle Angestellten sollten darüber in Kenntnis gesetzt werden, welche Elemente einen Social-Engineering-Phishing-Angriff ausmachen und wie sie darauf achten können, wo ihre Informationen im Internet veröffentlicht werden.
Pandemie befeuert Phishing-Attacken
Laut eines Berichts von Proofpoint waren die E-Mail-Phishing-Angriffe 2021 verglichen zum Jahr 2020 um 46 Prozent erfolgreicher. Dabei bleiben E-Mails für Cyberkriminelle der wichtigste Angriffsvektor. Auch die Pandemie spielt laut der Analyse eine bedeutsame Rolle, denn sie hat einen großen Einfluss auf die psychische Verfassung der Mitarbeitenden. Die sogenannte Pandemiemüdigkeit und Isolierung wirkt sich negativ auf die Arbeitsweise aus und begünstigt einen fahrlässigen Umgang mit E-Mails von vermeintlichen Freunden oder Kollegen. Zudem ist nicht nur ein Anstieg der Anzahl von Phishing-Attacken zu verzeichnen – die Attacken werden außerdem immer kreativer und personalisierter.
Neben dem Massen-Phishing, das auf den Massenversand an viele Mitarbeitende in einem Unternehmen setzt, wird auch das Spear-Phishing immer häufiger betrieben, bei dem gezielte Personen in einem Unternehmen per Phishing-E-Mail kontaktiert werden. Bei den Social-Engineering-Methoden nehmen sich die Cyberkriminellen Zeit und spähen ihr nächstes Opfer vorher aus, indem sie die mit dem Namen der Person verknüpften Social-Media-Feeds durchforsten. Auch verrät eine Google-Suche wertvolle Informationen über das potenzielle Opfer. So stellen Kriminelle schnell einen Überblick über die Gewohnheiten einer Person zusammen. Dabei geht es bei größeren Social-Engineering-Phishing-Hacks etwa um Orte, die vom ausgewählten Opfer häufig aufgesucht werden, wie etwa ein Fitnessstudio oder ein Lieblingsrestaurant. Wenn persönliche Informationen wie das Geburtsdatum oder Wohnanschrift und zusätzlich noch der Arbeitgeber im Netz stehen, kann ein Hacker bereits eine überzeugende Phishing-E-Mail erstellen. Als Aufhänger dient dann beispielsweise ein Gutscheincode für das besagte Fitnessstudio oder Lieblingsrestaurant. Mit dieser Art von persönlichen Informationen aus dem Privatleben, die im Internet kursieren, ist es wahrscheinlicher, dass die Opfer auf Betrügereien hereinfallen.
Sozialer Druck spielt Cyberkriminellen in die Karten
In vielen Fällen setzen die Angreifenden auf sozialen Druck. Einige Beispiele hierfür sind Phishing-E-Mails, die beispielsweise Anfragen einer Führungskraft an einen neuen Mitarbeitenden in den ersten Wochen der Tätigkeit enthalten. In anderen Fällen werden eher Emotionen ausgenutzt, indem scheinbar jemand aus dem Freundes- oder Kolleg:innenkreis darum bittet, schnell aus einer misslichen Lage befreit zu werden. In beiden Fällen werden soziale Strukturen und die Hilfsbereitschaft ausgenutzt, um das Opfer dazu zu bringen, den schnellen, unüberlegten Klick über die hoffentlich bekannten Sicherheitsmaßnahmen zu stellen.
Ob nun Angriffe auf hochkarätige Opfer, wie dem C-Level (das sogenannte Whaling) oder andere Kommunikationskanäle wie etwa über SMS (Smishing): Die Fahrlässigkeit des Menschen ist bei Social-Engineering-Methoden immer das Einfallstor in ein Unternehmen. Daher ist es unabdingbar, für das Thema Phishing zu sensibilisieren. IT- und Sicherheitsverantwortliche können folgenden Leitfaden berücksichtigen, sodass ein stärkeres Bewusstsein für solche Attacken und eine nachhaltige Sicherheitskultur im Unternehmen verankert werden kann.
Leitfaden: Anti-Phishing
Sicheres Umfeld schaffen
Das Melden solcher potenziell gefährlichen Mails ist bereits Standard in vielen Unternehmen. Wichtig ist aber auch, dass Betriebe eine sichere Umgebung schaffen, in der sich Mitarbeitende vertrauensvoll an das IT-Team wenden können. Verschweigen Mitarbeitende aus Furcht vor Verurteilung oder Belehrung, dass sie eine Phishing-Mail geöffnet haben, können die IT-Verantwortlichen eventuell nicht schnell genug reagieren. Daher sollte jedes Teammitglied sensibilisiert sein und sich bei der Kommunikation potenzieller Gefahren jederzeit sicher fühlen können.
Aufklärung zu verschiedenen Phishing-Methoden
Je besser Mitarbeitende mit den verschiedenen Arten von Phishing-Angriffen vertraut sind, desto besser sind sie gegen gut umgesetzte Angriffe gewappnet. Daher sollten IT-Verantwortliche die verschiedenen Phishing-Arten mit konkreten Beispielen erklären. Eine Phishing-Mail könnte etwa:
- auf verdächtige Aktivitäten hinweisen mit der Bitte, sich einzuloggen,
- auf Probleme mit dem Konto oder den hinterlegen Zahlungsinformationen hinweisen, mit der Bitte, diese zu aktualisieren,
- eine gefälschte Rechnung enthalten mit der Aufforderung die Zahlung auf einer Website zu begleichen,
- mit einer Rückerstattung oder einen Gutschein locken.
In letzter Zeit werden auch vermehrt Phishing-Mails von vermeintlich bekannten Marken versendet. Ob der Streaming-Anbieter oder der Online-Versandhändler: Die großen Namen erwecken trügerische Vertrautheit.
Richtlinien für Teams
Für alle Mitarbeitenden sollten Unternehmensrichtlinien gelten, die Verfahren zu dringenden Geldtransfers, Mitteilungen des CEO oder der Erstellung neuer Logins etc. festlegen. Sämtliche Teammitglieder inklusive Führungskräfte und Management sollten für solch einen Leitfaden sensibilisiert werden, damit ihnen bekannt ist, welchen kurzfristigen Anfragen sie nicht nachkommen dürfen und wann sie hellhörig werden müssen.
Sicherheitskultur und Sicherheitstraining
Natürlich sind regelmäßige Trainings richtig und wichtig. Viel effektiver ist es aber, eine Sicherheitskultur im Unternehmen zu verankern und jedem Teammitglied das Gefühl zu geben, dass sie an der Sicherheit teilhaben und ihre Taten ausschlaggebend für eine funktionierende Security-Struktur sind.
Fazit
Wie bei allen Cybersicherheitsthemen müssen Mitarbeitende sensibilisiert und aufgeklärt werden. Doch bei der ansteigenden Häufigkeit der Cyberattacken, wobei bei Phishing-Versuchen der Mensch als gezieltes Opfer fungiert, reichen jährliche Sicherheitstrainings eventuell nicht aus. Sich und das Unternehmen vor Social-Engineering-Phishing zu schützen, bedeutet für IT-Verantwortliche, eine nachhaltige Sicherheitskultur zu etablieren. So sollte bei bestehenden Remote- und Homeoffice-Modellen jedes Teammitglied eine Phishing-Mail erkennen können und wissen, wie es damit umgehen muss.