Phishing auf dem Höchststand – und was Sie dagegen tun können

Studien zeigen, dass 2020 das Jahr der Phishing-Attacken war. Vor allem die Corona-Krise hat viele Arbeitsabläufe durcheinandergewirbelt, was Angreifer mehr denn je ausnutzen. Die größte Herausforderung: Wie können Unternehmen den schwierigen Balanceakt zwischen Homeoffice und ausreichend Cyber Security schaffen?

Bei einem Phishing-Angriff werden die Opfer über gefälschte E-Mails, Webseiten oder SMS dazu verleitet, vertrauliche Informationen (Benutzernamen, Passwörter etc.) preiszugeben. Hat der Kriminelle diese Daten erbeutet, loggt er sich damit in das Netzwerk seines eigentlichen Ziels ein. Nun kann er – unbemerkt von der Cyber Security – die IT-Infrastruktur durchstöbern, analysieren und für den eigentlichen Angriff präparieren.

Die Methoden werden dabei immer komplexer. Und da es sich beim Phishing um sogenanntes Social Engineering handelt, sind die Wellen immer dann am höchsten, wenn Unternehmen und Mitarbeiter durch bestimmte Ereignisse ohnehin schon verunsichert sind. So wie jetzt: Angreifer sehen in der Krise ihre Chance, die womöglich geschwächte Cyberresilienz der Unternehmen auszunutzen.

Studien zeigen: Phishingwelle ist größer denn je

Die Studie The Indelible Impact of Covid-19 on Cybersecurity von Bitdefender, bei der rund 6.700 internationale IT-Experten befragt wurden, listet folgende Kernaussagen auf:

Einfluss der COVID-19 Pandemie auf die Cyber Security - Quelle Bitdefender

Auch den beliebtesten Angriffsvektor schält die Studie klar heraus: Durchschnittlich 60 % Prozent aller Mails in den Monaten Mai und Juni 2020 enthielten betrügerische Absichten. Sie waren also eindeutig dem Phishing zuzuordnen. Besonders beliebt: Phishing-Mails rund um das Thema Corona – bis zur Jahresmitte 2020 stieg dieser Angriffsvektor um das Fünffache an.

Auch der aktuelle Phishing and Fraud Report von F5 Labs belegt: Die Phishing-Vorfälle waren auf dem Höhepunkt der weltweiten Pandemie im Vergleich zum Jahresdurchschnitt um insgesamt 220 % gestiegen. Und wenn das Gestern ein Indikator für morgen ist, werden wir uns wappnen müssen: Laut dem Verizon Data Breach Investigations Report 2020 war fast ein Drittel aller Sicherheitsverletzungen im gesamten vergangenen Jahr mit Phishing verbunden.

Strategie anpassen ­– besser jetzt als später

Die gute Nachricht lautet, dass die Unternehmen, die die Zunahme von Attacken laut der Bitdefender Studie mit 80 % bestätigen, ihren Mitarbeitern längst IT-Sicherheitsleitfäden und via abgeschirmte Netzwerke zur Verfügung gestellt haben. Das größte Sicherheitsproblem aber bleibt: Der Zugriff aufs Unternehmensnetzwerk aus dem Homeoffice. Mit schwerwiegenden Folgen im erfolgreichen Angriffsfall:

  • Teilweise Störung oder vollständige Unterbrechung der Abläufe
  • Mögliche Entwendung von Betriebsgeheimnissen
  • Immense Imageschäden bei Partnern und Kunden

Vor allem kleine und mittlere Unternehmen sind schnell in ihrer Existenz bedroht. Auf mehrere dutzend Milliarden Euro jährlich werden die durch Cyberangriffe entstandenen Schäden mittlerweile geschätzt – allein im deutschen Wirtschaftsraum.

E-Mail ist und bleibt zentraler Bedrohungsvektor

Da sich Angreifer am häufigsten über gefälschte Phishing-E-Mails Zugriff auf das Unternehmensnetzwerk verschaffen, ist die Absicherung dieses Kanals ein geschäftskritischer Faktor. So muss sichergestellt sein, dass die Benutzer wissen, wie sie Cyberangriffsversuche erkennen und melden können.

Auf allen Ebenen: Denn am schlimmsten ist es, wenn eine gestohlene Identität zu einem privilegierten Benutzer gehört, der über einen breiten Zugang verfügt und dem Eindringling somit den Generalschlüssel zum Unternehmensnetzwerk liefert. Die regelmäßige Schulung von Anwendern und Verstärkung der E-Mail-Sicherheitssysteme sind zwei wesentliche Schritte, um die Anfälligkeit für Phishing-Kampagnen zu minimieren.

Awareness-Schulungen für die Belegschaft

Als eine der führenden Organisationen für Cyber-Awareness-Schulungen stellt auch KnowBe4 in ihrem 2020 Phishing By Industry Benchmarking Report fest: Fast 38 % der Benutzer, die kein Security-Awareness-Training absolvieren, fallen bei Phishing-Tests durch.

Es geht in erster Linie darum, die Belegschaft durch Schulungsprogramme zu stabilen Gliedern der unternehmensinternen Abwehrkette zu formen. Indem Mitarbeiter einen stetigen Kreislauf durchlaufen, wachsen Sicherheits- und Risikobewusstsein langsam und nachhaltig an.

Was ein gutes Security-Awareness-Training leisten muss:

  • Es bindet die Mitarbeiter aktiv in Lernprozesse ein
  • Es ist auf die Kultur der Organisation und die Funktionen zugeschnitten
  • Es berücksichtigt individuelle Sicherheitsfreigaben, Stärken und Schwächen
  • Es vermittelt spezielle Themenblöcke regelmäßig und über längere Zeiträume hinweg

Zusätzlich sollte das Security-Awareness-Training durch praxisnahe Phishing-Simulationen und andere Scheinangriffe ergänzt werden, um gutes Benutzerverhalten zu testen und zu verstärken. Dabei werden Mitarbeiter in ihrem regulären Arbeitsalltag mit verdächtigen Daten und Aktivitäten – welche sie in den Trainingsphasen bereits kennengelernt haben – konfrontiert und dahingehend überprüft, ob sie diese auch tatsächlich wiedererkennen, meiden und melden.

Technische Verteidigungslinien implementieren

Eine weitere Präventivmaßnahme ist die Implementierung von E-Mail-Schutzsoftware oder sogenannten sicheren E-Mail-Gateways. Diese Tools prüfen eingehende E-Mails, um sie zu validieren und von schädlichen Links zu säubern, auf die Benutzer klicken könnten.

Als fortgeschrittene Strategie kann die Implementierung einer Zero-Trust-Architektur in Frage kommen. Dabei handelt es sich um ein Sicherheitsmodell, bei dem ausschließlich authentifizierten und autorisierten Benutzern und Geräten der Zugriff auf bestimmte Anwendungen und Daten gestattet wird. Es handelt sich dabei um umfassende Leitprinzipien für Workflows und Systemarchitekturen, die die Sicherheitslage gleich am Ansatz verbessern sollen.

Herausforderungen heute und morgen meistern

Klar ist: Obwohl das allgemeine Sicherheitsbewusstsein zu steigen scheint, versuchen es Kriminelle immer wieder. Klar ist auch, dass sie bestimmte Ereignisse wie die aktuelle Krise und die damit einhergehende Verunsicherung ausnutzen möchten. Das zeigen nicht nur die genannten Studien, sondern es entspricht auch unserer Erfahrung. Unternehmen sollten sich dessen bewusst sein und das Sicherheitsbewusstsein ihrer Mitarbeiter verstärkt schulen. Und zwar gerade jetzt, wenn die Arbeit wohl auch in Zukunft verstärkt aus dem Homeoffice erledigt wird. Gerne können Sie uns kontaktieren, wenn Sie weitere Fragen dazu haben.

Whitepaper Security Awareness Training

Dass Cyberangriffe sich zu einer solch immensen Bedrohung für Unternehmen entwickeln konnten hat nicht zuletzt eine Ursache: nach wie vor besteht bei der Belegschaft eine hohe Anfälligkeit für manipulative Ausspähversuche. Nur wenige – zu wenige – Mitarbeiter sind sich der Risiken des Cyberspace tatsächlich bewusst und in der Lage zu erkennen, wenn ein Unberechtigter versucht, an ihre Nutzerdaten zu gelangen.

Daher haben wir gemeinsam mit unserem Partner KnowBe4 das Thema Awareness näher unter die Lupe genommen in diesem Whitepaper.

Whitepaper herunterladen

Security Awareness Training

Diesen Beitrag kommentieren

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.