Die Phishing-Maschinerie läuft gerade wieder auf Hochtouren. Zum Jahreswechsel fordern angebliche Finanzdienstleister, Online-Händler oder auch diffuse HR-Abteilungen per E-Mail verstärkt dazu auf, die Identität zu bestätigen, Daten zu aktualisieren oder DSGVO-Bestimmungen zuzustimmen.
Was Empfänger noch vor wenigen Jahren sofort als Betrug erkannt und schmunzelnd in den Spam-Ordner verschoben haben, ruft heute vermehrt Stirnrunzeln und Fragezeichen hervor. Denn heute fällt es nicht mehr so leicht, E-Mails als betrügerisch zu entlarven.
Hohe wirtschaftliche Schäden
Phishing-Mails werden in Sprache und Design immer professioneller und wirken täuschend echt. Unterschiede zum Original sind auf den ersten Blick kaum auszumachen, schon gar nicht im „stressigen“ Tagesgeschäft. Entlarvten sonst offensichtliche Rechtschreib- oder Grammatikfehler eine Fake-Mail, steckt der Teufel heute zunehmend im Detail. In der Folge steigt die Zahl erfolgreicher Phishing-Angriffe. Laut Bitkom-Umfrage ist in jedem vierten der befragten Unternehmen (25 Prozent) jeweils durch Phishing, die Infizierung mit Schadsoftware bzw. Malware und durch Attacken auf Passwörter ein entsprechender Schaden entstanden. Der Digitalverband beziffert die wirtschaftlichen Schäden insgesamt auf rund 203 Milliarden Euro im Jahr 2022.
Warum ist Phishing so erfolgreich?
Phishing ist ein Dauerbrenner und eine „etablierte“ Methode des Datenklaus. Angreifer nutzen den einfachen Weg der direkten Kommunikation, denn Nutzer konsumieren Mails schnell und öffnen sie häufig am Smartphone. Die Hürde, in einer Nachricht auf einen Link zu klicken, ist dann sehr gering. Da genügt eine kurze Unachtsamkeit und schon ist es passiert – zumal sich die Angreifer im Laufe der Zeit weiterentwickelt und ihre schadhaften E-Mails professionalisiert haben. In vielen Fällen sind die sabotierten Nachrichten zudem kontextgebunden und erschweren es, sie als schadhaft zu entlarven. Kommt die E-Mail vermeintlich von einem bekannten Unternehmen oder einer Person, ist die Chance groß, dass ein Empfänger auf den Betrug hereinfällt. Nutzten Phisher sonst Marken wie Google oder Microsoft, wurde laut einer Erhebung von Atlas VPN im ersten Quartal 2022 mit LinkedIn erstmals eine Social-Media-Plattform bei mehr als der Hälfte (52 Prozent) der Phishing-Betrügereien weltweit verwendet.
Phishing als Teil eines Gefahrensystems begreifen
Entwickeln sich Angreifer weiter und perfektionieren ihre Methodik, müssen Unternehmen dies auch tun. Ansonsten bieten sie Cybercrime eine zu große Angriffsfläche. Phishing ist dabei keine singuläre Angriffsmethode. Betrüger und Empfänger sind als Teil eines Gefahrensystems zu verstehen. Es kommt darauf an, Bedrohungen und Risiken strukturiert zu beleuchten und zusammen mit geeigneten Maßnahmen in ein ganzheitliches, individuelles Sicherheitskonzept einzubetten. Einen hundertprozentigen Schutz vor Cyber-Angriffen gibt es zwar nicht, aber technische und organisatorische Maßnahmen reduzieren das Risiko, auf eine Phishing-Mail und andere Cyberattacken hereinzufallen.
Technische Sicherheitsmaßnahmen
Da Phishing immer nur Teil eines umfassenden Gefahrensystems ist, sollte die E-Mail als Einfallstor im Security-Kontext nicht isoliert betrachtet werden. Unternehmen steht eine große Bandbreite an verschiedenen technischen, auch E-Mail-spezifischen Sicherheitsmaßnahmen zur Verfügung, die sie für einen höheren Schutz vor Cyber-Attacken ergreifen können. Zum Beispiel:
1. E-Mail-Richtlinie
Mittels einer E-Mail-Richtlinie legen Unternehmen Verhaltensregeln rund um den E-Mail-Verkehr fest. Damit stellen sie sicher und halten fest, dass die Belegschaft sorgsam mit dem Kommunikationsmedium-E-Mail umgeht, welche Risiken es birgt und wie bei betrügerischen Nachrichten vorzugehen ist.
2. Spamfilter
Spamfilter lassen sich je nach gewünschtem Sicherheitsgrad einstellen, sodass beispielsweise Anhänge oder bestimmte Dateiformate im Anhang nicht toleriert werden. Unerwünschte E-Mails werden als Spamnachricht direkt rausgefiltert und gelangen erst gar nicht in den Posteingang.
3. Firewall und Netzwerksegmentierung
Anhand festgelegter Regeln analysiert die Firewall ein- und ausgehende Daten und blockiert sie bei Verdacht auf einen Angriff. Darüber hinaus lassen sich mit einer Firewall auch Unternehmensnetzwerke segmentieren: Wird ein Netzwerk angegriffen, sind somit nicht direkt alle Netzwerke davon betroffen.
4. Zugriffsrechte
Vergeben Unternehmen Berechtigungen, ist klar geregelt, wer auf welche Daten zugreifen darf. So erhalten nur die Mitarbeitenden oder externe Partner Zugriff auf die Daten, die diese auch wirklich benötigen.
5. Multi-Faktor-Authentifizierung
Dieses Authentifizierungsverfahren erfordert zwei oder mehr Berechtigungsnachweise und erschwert Angreifern damit den Identitätsdiebstahl.
6. Backup-Konzept und Disaster Recovery
Daten sind die Lebensader eines Unternehmens. Um sie zu schützen und ihre Hochverfügbarkeit sicherzustellen, sollten Unternehmen sie absichern und räumlich voneinander getrennt aufbewahren. Disaster-Recovery-Konzepte definieren, wie bei einem Datenverlust durch ungeplante Vorfälle – beispielsweise Cyberangriffe, Naturkatastrophen oder Stromausfälle – vorzugehen ist.
Faktor Mensch: für Gefahrenpotenzial sensibilisieren
Neben den technischen Maßnahmen gehört zu einer ganzheitlichen Risikobetrachtung auch der Mensch. Denn es sind nicht nur die technischen Schwachstellen, die Cyberkriminelle ausnutzen. Im Gegenteil, gerade beim Phishing setzen die Angreifer gezielt auf den „Faktor Mensch“ als vermeintlich schwächstes Glied der Sicherheitskette. Daher gilt es, die Nutzer der Technologien und in diesem Fall des Mediums E-Mail darin zu befähigen, kriminelle Absichten zu erkennen, sie damit für das Gefahrenpotenzial einer einfachen E-Mail zu sensibilisieren und den richtigen Umgang mit dem Kommunikationsmedium zu trainieren. Viele Unternehmen setzen dafür auf Awareness-Schulungen. Hier sollten sie genau differenzieren, welche Art der Schulung für wen geeignet ist. Setze ich Trainings für technisch versierte Mitarbeiter auf, beispielsweise aus dem IT-Bereich, spreche und leite ich diese anders an als Mitarbeiter etwa aus administrativen Fachabteilungen.
Motiviert in Awareness-Schulungen
Von der Art der Schulung hängt auch ab, ob die Mitarbeiter sie motiviert und regelmäßig durchführen. Unternehmen haben hier verschiedene Möglichkeiten, von der Video-Schulung mit Gamification-Charakter bis hin zum persönlich angeleiteten Workshop. Mit verdeckten oder bewussten Maßnahmen lassen sich dann die Kenntnisse überprüfen und bei Bedarf weitere Schritte ergreifen. Wichtig ist, in ständigem Austausch zu bleiben, damit die Mitarbeiter der Organisation auch das Vertrauen entgegenbringen, (eventuelle) Angriffe zu melden. Was im Falle eines Angriffs oder bei Verdacht zu tun ist und an wen sich die Mitarbeiter wenden können, sollte klar festgelegt und kommuniziert sein.
Stabile Cyber-Resilienz aufbauen
Insgesamt kommt es darauf an, diese strukturellen, organisatorischen Maßnahmen und die technischen Security-Lösungen im Rahmen eines ganzheitlichen Sicherheitskonzepts aufeinander abzustimmen und kontinuierlich zu überprüfen. Wie entwickelt sich der Security-Reifegrad des Unternehmens? Welche neuen Sicherheitsanforderungen müssen berücksichtigt werden? Wer seinen Security-Status stets im Blick hat, baut eine stabile Cyber-Resilienz auf und tritt Cyberangriffen wie Phishing-Attacken und anderen digitalen Bedrohungen gut gerüstet entgegen.