Vom Phishing Schutz zur Security Awareness

Phishing ist längst keine Gefahr mehr, die sich durch künstliche Intelligenz in schützender Software oder Hardware alleine in den Griff bekommen lässt. Im letzten Artikel hinsichtlich Cyber-Security haben wir über die sich stets weiterentwickelnde Phishing Intelligenz und deren Methoden inklusive Tipps zur Erkennung berichtet. Die beste Grundlage für Phishing und Social Engineering Attacken und gleichzeitig das größte Sicherheitsrisiko ist das IT-Sicherheitsverhalten der Mitarbeiter! Anstatt nur einzelne Tipps zu geben, konzentrieren wir uns in diesem Artikel darauf, wie Sie einen nachhaltigen Phishing Schutz anstelle von aktionistischen Maßnahmen sicherstellen können.

Autor: Thomas W. Frick, 03.12.2019, Thema: Phishing Schutz

Was Phishing zur größten Gefahr im Internet macht?

Der “alte Hut” Phishing wird stetig weiterentwickelt!

Phishing E-MailDie Entstehung neuer Phishing Disziplinen, wie zum Beispiel Spear-Phishing, Whaling, Smishing oder auch das anwachsende Voice-Phishing, zeigt auf, dass sich die Angreifer größte Mühe geben, um die schon aufgestellten Hürden in Unternehmen immer aufs Neue zu überwinden. Die versendeten E-Mails wirken auf den ersten Blick immer individueller und dadurch echter. Die Schadsoftware Emotet verdeutlicht, dass selbst in großen Unternehmen mit umfangreichen Cyber Security Investitionen eine massenhafte Ausbreitung, u. a. durch die anwachsende Phishing Qualität, möglich ist. E-Mail-Inhalte und Kontaktbeziehungen der infizierten Systeme wurden den Angreifern zugänglich und zur Verbreitung genutzt. Weitere Informationen über die erfolgreiche Cyber Attacke erfahren Sie in diesem Artikel.

Social Engineering versus Security Awareness

Social Engineering kann beispielsweise in Industriehallen oder am Empfang stattfinden, jedoch ist es für die Angreifer bequemer, effizienter und skalierbarer, den Weg über E-Mails zu gehen. Die sehr guten Erfolgsquoten im persönlichen Kontakt, beispielsweise bei einem Angriffsversuch über einen scheinbar autorisierten Dienstleister, sind sowohl beachtlich als auch alarmierend.

cyber security

Diese Markterfolge der Angreifer erklären auch, weshalb Voice-Phishing aktuell immer stärker ins Visier genommen wird. Sie sind ein weiterer Beleg dafür, dass Systeme alleine nicht des Risikos Lösung sind. Die Vorsicht, eine gewisse Skepsis und das IT-Sicherheitsverhalten jedes einzelnen Mitarbeiters spielt eine große Rolle.

Die allgemein bekannten Phishing Wachstumszahlen sind alarmierend. Aus der Marktbeobachtung ergibt sich, dass noch im Jahr 2013 nur 17 % aller Cyberangriffe eine Social Engineering-Komponente enthielten. Mit 35 % im Jahr 2018 ist die Tendenz klar zu erkennen. Im Buzzword-Dschungel angekommen, findet man auf Anbieterseite die Security Awareness als Lösung für die anwachsende Internetgefahr. Wie es bei vielen oft zu sehr strapazierten Schlagworten (z. B. Industrie 4.0 oder Digitalisierung) der Fall ist, läuft die Security Awareness Gefahr, nur als ein Buzzword wahrgenommen und unterschätzt zu werden, obwohl sie der wichtigste Baustein in jedem Sicherheitskonzept ist.

 

Phishing-Test-Angebot

PDF-Angebot PhishingHinweis: Unsere Berichte sind oft sehr ausführlich. Daher bieten wir an dieser Stelle eine Zusendung des Artikels im PDF-Format zur späteren Sichtung an. Nutzen Sie das Angebot um sich die Praxis-Impulse in Ruhe durchzulesen, Sie können hierfür auch einfach auf das PDF-Symbol klicken.

 

Benchmark zeigt Chancen für Hacker und Lücken von Unternehmen auf

Gibt es hinsichtlich der Phishing Schutzmaßnahmen einen Maßstab, mit dem sich Unternehmen in Bezug auf das IT-Sicherheitsverhalten von Mitarbeitern vergleichen können? Den ESI®-Benchmark (Employee Security Index) finden wir an dieser Stelle besonders erwähnenswert, da er anonymisiert Echtdaten aus über 60 europäischen Unternehmen präsentiert. Neben der Präsentation des IT-Sicherheitsverhaltens von Mitarbeitern, zeigen die erfassten Daten auf, dass die Security Awareness bei den Unternehmen mangelhaft war, jedoch, nach Bewusstseinsschaffung und Training, signifikant gesteigert werden konnte.

Phishing Index ESI

Die Grafik zeigt die Ergebnisse der Testgruppen ähnlich wie beim Hochsprung auf. Wobei die Messlatten folgende Bedeutung haben:

90-100 = vorbildlich
80-90   = gut
70-80   = akzeptabel
20-70   = kritisch

Der ermittelte Durchschnittswert anhand von Echtzeit-Daten liegt bei 46,2 und ist in den Testgruppen Führungskräfte, Vertrieb, Assistenz und C-Level noch geringer.

Die grafische Darstellung spiegelt das Sicherheitsverhalten auf der Grundlage von über 75.000 simulierten E-Mails mit einer Phishing Gefahr, aufgeteilt in die jeweiligen Testgruppen, wider. Es war damit zu rechnen, dass die Personalabteilung, aufgrund der Phishing Angriffsversuche mittels getartner Bewerbungen, am besten abschneidet – dicht gefolgt von der IT. Über das IT-Sicherheitsverhalten auf der C-Level-Ebene sind wir dagegen doch sehr verwundert.

In 5 Schritten vom Phishing Schutz zur nachhaltigen Security Awareness

1. Bestandsaufnahme des IT-Sicherheitsverhaltens der Mitarbeiter

phishing analyse bestandsaufnahmeDas Vertrauen in Ihre Mitarbeiter ist gut. Es stellt sich jedoch die Frage: Sind die Mitarbeiter mit der Phishing Gefahr vielleicht überfordert? Neben der Informationsflut wird auch die E-Mail-Flut immer größer und somit steigt das Risiko für einen Cyberangriff. Da eine Bestandsaufnahme anonymisiert in Echtzeit erfolgen kann, empfehlen wir, diese Maßnahme zumindest einmalig als Bestandteil für einen ganzheitlichen Phishing Schutz durchzuführen.

Jede Kette ist so stark wie ihr schwächstes Glied, Zitatgeber unbekannt, Volksmund aus den 60er Jahren

Legen Sie beim Phishing Schutz wert auf die Praxisnähe, anstatt nur in eine theoretische Schulung zu investieren. Strategische Maßnahmen, Audits oder auch Fragebögen sind zwar wichtig, jedoch sollten Sie bei diesem Schritt so nah wie möglich am Mitarbeiter-Alltag sein.

2. Simulation im Alltag anhand unterschiedlicher Gefahrenklassen

Phishing SimulationBeim Phishing Schutz erhält man oft den Eindruck, dass es sich nur um die eine Phishing Gefahr bzw. um die beschriebenen Phishing Disziplinen handeln könnte. Versetzt man sich in die Köpfe und Maßnahmen der Angreifer, so wird klar: Je attraktiver das Angriffsziel ist, desto größer ist die Investitionsbereitschaft der Angreifer in die Vorbereitungszeit. So erhöht sich die Qualität der Tarnung um ein Vielfaches und das Risiko steigt mit der Individualisierung dieser, oft sehr professionell vorbereiteten, Cyberangriffe. Jedem Angreifer dürfte klar sein, dass es einfacher ist, Erfolge bei kleinen Unternehmen mit geringem Sicherheitsbudget zu ernten, anstatt beispielsweise bei Banken.  Diese Gefahrenklassen sind zu berücksichtigen und zeigen auf, dass es nicht damit getan ist, ein oder zweimal einen Phishing-Test bestanden zu haben. Der Employee Security Index kategorisiert in 5 Gefahrenklassen mit Vorbereitungszeiten zwischen einer und 40 Stunden. Von einer wenig vorbereiteten E-Mail über den Täuschungsversuch als Kollege mit persönlichem Bezug bis hin zu mehrstufigen, mit einem Telefonanruf kombinierten Attacken, sollte man heutzutage auf die Kombinationsvielfalt und Kreativität der Angreifer vorbereitet sein.

 

PDF-Angebot PhishingHinweis: Unsere Berichte sind oft sehr ausführlich. Daher bieten wir an dieser Stelle eine Zusendung des Artikels im PDF-Format zur späteren Sichtung an. Nutzen Sie das Angebot um sich die Praxis-Impulse in Ruhe durchzulesen, Sie können hierfür auch einfach auf das PDF-Symbol klicken.

3. Phishing Testergebnisse in messbare Ziele umwandeln

Das Bundesministerium für Bildung und Forschung sieht an diesem Punkt akuten Handlungsbedarf bei Unternehmen und fördert das Cybersecurity Startup IT-Seal GmbH mit finanziellen Mitteln in Höhe von 0,7 Mio. €. Ziel ist es im Rahmen eines Lifetime-Awareness-Programms Methoden und eine Plattform zu entwickeln, die es Unternehmen und öffentlichen Einrichtungen ermöglichen, kontinuierlich Maßnahmen für eine höhere Security Awareness, auf Basis von Zielen, einfach durchzuführen und deren Erfolg zu evaluieren. Bestandteile des Lifetime-Awareness-Programm sind die Weiterentwicklung der Plattform und der Phishing E-Mail Simulation, verschiedene Medien zur Bewusstseinsförderung wie beispielsweise Kurzvideos und das interaktive E-Learning mittels intelligenten Rückmeldungen.

Halten Sie es wie die alten Römer: Steter Tropfen höhlt den Stein

Der ESI®-Benchmark, welcher von der IT-Seal GmbH entwickelt wurde, ermöglicht eine zielorientierte Förderung und Entwicklung des IT-Sicherheitsverhaltens über den gesamten Mitarbeiterstamm hinweg. Unternehmen und öffentliche Einrichtungen können im Rahmen des Lifetime-Awareness-Programms einen Ziel-ESI® vorgeben, welcher anhand der ermittelten Ausgangssituation und einer individuell abgestimmten Entwicklungsstrategie (zielorientierter und individueller Mix aus Online- und Offline-Schulungen) erreicht werden kann.

4. Interaktives “learning from mistakes”

ESI-Index-Entwicklung-teachable-momentsAuch wenn Sie gerne die 100-prozentige Sicherheit erreichen möchten, dürfen wir nicht vergessen, dass der Mensch, so sehr er auch den wichtigsten Erfolgsfaktor beim Phishing Schutz darstellt, Fehler macht – zumindest wenn er untrainiert oder noch wenig sensibilisiert ist. Den nachhaltigsten Lerneffekt zeigen uns die Beispiele mit dem Kind an der Herdplatte und die Förderung der Einsicht durch das “Erwischt -werden” auf. Es empfiehlt sich demnach, nicht nur einen Phishing Test durchzuführen, sondern direkt nach dem “Schockzustand” im emotionalen Augenblick aufzuzeigen, was genau der Fehler war. Durch die Nutzung dieser “teachable moments” konnten die Testergebnisse, in Anlehnung an den Employee Security Index, innerhalb von 8 Monaten zu einem vorbildlichen Sicherheitsverhalten (ESI®-Index 90-100) weiterentwickelt werden.

Tipp: Besonders in der Testgruppe der Auszubildenden scheint bereits eine kurze „Starthilfe“ zu genügen, um dauerhaft ein gesteigertes Bewusstsein für Phishing-E-Mails zu schaffen.

5. Bessere Grundlage für Entscheidungen, Investitionen und zur Nachhaltigkeitskontrolle

Phishing ROI und MassnahmenDer Mensch ist ein Individuum und, wie dieser Artikel aufzeigen soll, der maßgebliche Erfolgsfaktor beim Phishing Schutz. Die Systematisierung der Mitarbeiter in Testgruppen ermöglicht es Ihnen, menschliche Sicherheitslücken im Unternehmen schnell zu identifizieren und sich darüber hinaus durch die Indexierung der Testergebnisse mit anderen Organisationen zu vergleichen.

Cyber Security Schulungsangebote sind im Markt reichlich vorhanden, allerdings müssen Sie sich die Frage stellen, in welche Schutzmaßnahmen Sie an welcher Stelle genau investieren möchten. In welchen Abteilungen ist eine Schulung unabdingbar und akut notwendig? An welchen Arbeitsplätzen können Sie sich aufgrund der Bestandsaufnahme noch Zeit lassen, da das Sicherheitsverhalten gut oder vorbildlich ist?

Durch die mehrfachen Testläufe über mehrere Tage hinweg und die Simulationen anhand von unterschiedlichen Gefahrenklassen können Schulungsthemen individualisiert und priorisiert je nach Testgruppe definiert werden.  Darüber hinaus kann die anonyme Messung für Ihre Dokumentation und als Schutznachweis hilfreich sein. Zusätzlich führt eine Messbarkeit aus kaufmännischer Sicht zur Möglichkeit des Return on Investment und erlaubt es, die Wirkung der einzelnen Maßnahmen festzuhalten.

Phishing-Test-Angebot

PDF-Angebot PhishingHinweis: Unsere Berichte sind oft sehr ausführlich. Daher bieten wir an dieser Stelle eine Zusendung des Artikels im PDF-Format zur späteren Sichtung an. Nutzen Sie das Angebot um sich die Praxis-Impulse in Ruhe durchzulesen, Sie können hierfür auch einfach auf das PDF-Symbol klicken.

Das unterbewusste Verhalten wird mittels Lifetime Security Awareness gefördert

Erinnern Sie sich noch an die gelernten Details aus dem Chemie oder Physikunterricht? Auch wenn Sie damals eine 1 geschrieben haben – vermutlich nicht. Wichtige Details ohne tägliche Anwendung gehen über einen gewissen Zeitraum verloren.  In der Schulzeit haben wir gelernt, dass es die Wiederholungen gepaart mit der Emotionalität sind, die zum Lern- und Bewusstseinseffekt führen.

Skepsis ist der erste Schritt auf dem Wege zur Philosophie, Zitat Denis Diderot (fanzösischer Philosoph und Schriftsteller der Aufklärung 1713-1784)

AwarenessNicht nur in der Werbung, sondern auch auf dem Gebiet der Phishing Tests zählt “Einmal ist kein Mal”. Investieren Sie daher nicht nur in Einzelmaßnahmen, sondern in einen systematischen oder sogar system-gestützten Phishing Schutz. Heutzutage sind dem Angreifer durch das Internet sehr viele Informationen, beispielsweise über den neuen Kollegen, der diesen Monat im Unternehmen angefangen hat, zugänglich. Aus diesen Informationen lassen sich Phishing-Attacken mit hoher Qualität und hohen Risiken erzeugen. Trainieren Sie die gesunde Skepsis Ihrer Mitarbeiter beim Öffnen der E-Mails, um das verbesserte IT-Sicherheitsverhalten dauerhaft auf einem vorbildlichen Level zu halten.

 

 

Fazit: Einzelmaßnahmen versus Lifetime Security Awareness

Der Phishing Schutz hat aufgrund der täglichen Gefahren längst eine vergleichbare Priorität wie der vorbeugende Brandschutz erreicht. Unternehmen sind bei diesem Beispiel verpflichtet regelmäßige Wartungen durchzuführen und ab einer bestimmten Firmengröße einen externen Brandschutzbeauftragten zu integrieren. Wir empfehlen eine ähnliche Handhabung in Bezug auf die Security Awareness. Vermitteln Sie dauerhaft und zeitlich versetzt (Lifetime) aktuelle Phishing-Beispiele und führen Sie Nachhaltigkeitskontrollen wiederholt über den gesamten Mitarbeiterstamm durch. Das digitale Lernen mittels E-Learning vereinfacht die Wiederholungen und die Vermittlung über die neuesten Phishing Gefahren hinweg bis hin zu allgemein vorbildlichen IT-Sicherheitsverhalten, ohne dabei die zeitlichen Ressourcen Ihrer Mitarbeiter unnötig zu belasten. Aufgrund der Lern- und Kosteneffizienz sind interaktive Lernmethoden empfehlenswert, indem beispielsweise nur eine Wiederholung der Inhalte bei den Mitarbeitern erfolgt, die fälschlicherweise eine Phishing-E-Mail geöffnet haben.

Tipp: Befragen Sie 3-5 Mitarbeiter aus Ihrem Unternehmen, am besten nicht aus der IT-Abteilung, warum sich Emotet so schnell verbreiten konnte und nach welchen Kriterien aktuell entschieden wird eine E-Mail zu öffnen oder nicht?

Leserservice

Testergebnis – Die Redaktion hat sich testen lassen

Jedes Teammitglied hat sicherlich seine eigenen Erfahrungen gemacht. Stichpunktartig möchte ich Ihnen den Verlauf und meine Erfahrung des kostenlosen Tests aufzeigen:

  • Anmeldung beim Service-Provider
  • Zwei Tage später erhielt ich die erste Phishing E-Mail, welche ich entlarven konnte
  • Bei der zweiten E-Mail musste ich noch genauer hinschauen, ich hatte Respekt vor der Individualität als ich die angebliche E-Mail vom Kollegen erhalten habe,
    allerdings konnte ich auch diese enttarnen
  • Bei der dritten E-Mail, muss ich ganz ehrlich sagen, zuckte der Finger. Allerdings war ich übersensibilisiert, da ich eine nicht häufig genutzte E-Mailadresse verwendet hatte

Mein Fazit: Auch wenn ich nicht in die Falle getappt bin, hat mir der Test weitergeholfen. Ich kann mir gut vorstellen, dass ich die dritte E-Mail geöffnet hätte, wenn sie meine normale E-Mailadresse erreicht hätte. Gerne würde ich weitere Details verraten, allerdings möchte ich die Testpointe nicht vorwegnehmen.

Kostenloser anonymer Phishing-Test (automatischer Start)

Es dauert nicht lange und der kostenlose Selbsttest ist schnell angefordert. Jeder Teilnehmer erhält über einen Zeitraum von vier Wochen 2-3 E-Mails mit individuellen Szenarien zu unterschiedlichen Zeitpunkten. Um die Ergebnisse greifbar zu machen, wird das Testergebnis in der Kennzahl “Employee Security Index” (ESI®) zusammengefasst und dargestellt.

Da wir keinen eigenen Phishing-Test haben, ist wie folgt das Check-In Formular der IT-Seal GmbH eingebunden:

Der Inhalt ist nicht verfügbar.
Bitte erlaube Cookies, indem du auf Übernehmen im Banner klickst.

Manueller Check-In für einen kostenlosen Phishing-Test

Wenn Sie den Test nicht sofort starten möchten, können wir die Testphase individuell abstimmen. Hierzu werden Ihre Daten vorab nicht an den Service-Provider weitergegeben, sondern erst nach Freigabe:

Schnelle Testanfrage

Vor- und Nachname (Pflichtfeld)

Ihre Email (Pflichtfeld)

DSGVO-Pflichtfeld: Ich willige ein, dass bei der Kontaktaufnahme über dieses Internetformular, meine Angaben zwecks Bearbeitung der Anfrage sowie für den Fall, dass Anschlussfragen entstehen, gespeichert werden.

Freiwillige Datenfreigabe zur besseren Vernetzung unserer Mitglieder im Netzwerk/Forum (Einzelfallbezogen, nicht öffentlich). Ich willige ein, dass meine Daten, in Ihrem Netzwerk vertraulich und kontextbezogen genutzt werden können. Ohne diese Datenfreigabe kontaktiert Sie, wenn überhaupt, nur das IT-Wegweiser Team.

Freiwillige Angaben:

Firmenname

Branche

Funktion

Straße und Hausnummer

PLZ/Ort

Kontaktrufnummer

Ihre Anfrage oder Ihr Status Quo zu diesem Thema:

Kostenloser Informationsservice it-wegweiser (value-letter)

Sollten Sie sie eine ältere Version Ihres Internet-Browsers nutzen, kann es zu Schwierigkeiten beim ausfüllen des Anmeldeformulares kommen. Sie können uns in diesem Fall auch per Mail erreichen: info@it-wegweiser.de

“Winserat/ Anzeige”

Bei diesem Artikel handelt es sich um ein Winserat. Trotz Artikelsponsoring, welches notwendig ist um unsere Leser/innen nicht mit Bannerwerbung vom Wesentlichen abzulenken, versichern wir eine kritische und herstellerunabhängige Berichtserstattung. Über 90 % der Inhalte in diesem Artikel sind redaktionell entstanden und mit den entsprechenden Hinweisen aus der Praxis mittels einem Experteninterview ergänzt. So wie dieser Artikel sind alle weiteren Artikel klar gekennzeichnet.

Wir bedanken uns bei der IT-Seal GmbH für die Unterstützung!

Die IT-Seal GmbH ist ein erfolgreiches Cyber-Security-Startup, das an der digitalen Selbstverteidigung und menschlichen Firewall ansetzt. Sie testet und trainiert das IT-Sicherheitsbewusstsein, denn aufmerksame Mitarbeiter sind der effektivste Schutz. Das Unternehmen hat 2016 den europaweiten Social Engineering Award gewonnen, es beim internationalen Wettbewerb der SBA Research unter die Top 10 der Cybersecurity Startups Europas geschafft und wurde Ende 2018 als Bestes Cybersecurity Startup (aus D/A/CH) ausgezeichnet.

Erklärvideo

Der Inhalt ist nicht verfügbar.
Bitte erlaube Cookies, indem du auf Übernehmen im Banner klickst.

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies blockieren" eingestellt. Um das beste Surferlebnis zu ermöglichen, klicken Sie auf "Akzeptieren". Auf der Seite Datenschutz können Sie Ihre Entscheidung jederzeit widerrufen. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen