Übersicht - Kurznavigation
Phishing ist längst keine Gefahr mehr, die sich durch künstliche Intelligenz in schützender Software oder Hardware alleine in den Griff bekommen lässt. Im letzten Artikel hinsichtlich Cyber-Security haben wir über die sich stets weiterentwickelnde Phishing-Intelligenz und deren Methoden inklusive Tipps zur Erkennung von Angriffen berichtet. Die beste Grundlage als auch das größte IT-Security-Risiko für getarnte und kriminelle E-Mails sowie für Social-Engineering-Attacken, ist das IT-Sicherheitsverhalten der Mitarbeiter! Ergänzend zu unseren bisherigen Tipps konzentrieren wir uns in diesem Artikel darauf, wie Sie einen nachhaltigen Phishing-Schutz anstelle von aktionistischen Maßnahmen sicherstellen können.
Autor: Thomas W. Frick, 03.12.2019, Thema: Phishing Schutz
Was Phishing zur größten Gefahr im Internet macht
Der „alte Hut“ Phishing wird stetig weiterentwickelt!
Die stetige Entstehung neuer Methoden für kriminelle E-Mails, wie zum Beispiel Spear-Phishing, Whaling, Smishing oder auch das anwachsende Voice-Phishing, zeigt auf, dass sich die Angreifer größte Mühe geben, um die schon aufgestellten Hürden in Unternehmen immer aufs Neue zu überwinden. Vorsicht ist geboten! Die versendeten E-Mails wirken auf den ersten Blick immer individueller und dadurch echter. Die Schadsoftware Emotet verdeutlicht, dass selbst in großen Unternehmen mit umfangreichen Investitionen in die IT-Sicherheit eine massenhafte Ausbreitung, u. a. durch die anwachsende Qualität der Attacken, möglich ist. E-Mail-Inhalte und Kontaktbeziehungen der infizierten Systeme wurden den Angreifern zugänglich und zur Verbreitung genutzt. Weitere Informationen über die erfolgreiche Cyber-Attacke erfahren Sie in diesem Artikel.
Social Engineering versus Security Awareness
Social Engineering kann beispielsweise in Industriehallen oder am Empfang stattfinden, jedoch ist es für die Betrüger bequemer, effizienter und skalierbarer, den Weg über E-Mails zu gehen. Die sehr guten Erfolgsquoten im persönlichen Kontakt, beispielsweise bei einem Angriff über einen scheinbar autorisierten Dienstleister, sind sowohl beachtlich als auch alarmierend.
Diese Markterfolge der Betrüger erklären auch, weshalb Voice-Phishing aktuell immer stärker ins Visier genommen wird. Sie sind ein weiterer Beleg dafür, dass Systeme alleine nicht des Risikos Lösung sind. Die Vorsicht, eine gewisse Skepsis und das Verhalten in puncto IT-Sicherheit jedes einzelnen Mitarbeiters spielen eine große Rolle. Viele Betrüger nutzen die mangelnde Vorsicht und wissen, dass es doch noch viele Mitarbeiter gibt, die sich die Adresszeile im Link bzw. im Browser nicht genau anschauen.
Die allgemein bekannten Wachstumszahlen der Angriffe sind alarmierend. Aus der Marktbeobachtung ergibt sich, dass noch im Jahr 2013 nur 17 % aller Cyberangriffe eine Social-Engineering-Komponente enthielten. Mit 35 % im Jahr 2018 ist die Tendenz klar zu erkennen. Im Buzzword-Dschungel angekommen, findet man auf Anbieterseite die Security Awareness als Lösung für die anwachsende Internetgefahr. Wie es bei vielen oft zu sehr strapazierten Schlagworten (z. B. Industrie 4.0 oder Digitalisierung) der Fall ist, läuft die Security Awareness Gefahr, nur als ein Buzzword wahrgenommen und unterschätzt zu werden, obwohl sie der wichtigste Baustein in jedem Konzept für IT-Sicherheit sein sollte.
Hinweis: Unsere Berichte sind oft sehr ausführlich. Daher bieten wir an dieser Stelle eine Zusendung des Artikels im PDF-Format zur späteren Sichtung an. Nutzen Sie das Angebot um sich die Praxis-Impulse in Ruhe durchzulesen, Sie können hierfür auch einfach auf das PDF-Symbol klicken.
Benchmark zeigt Chancen für Hacker und Lücken von Unternehmen auf
Gibt es hinsichtlich der Schutzmaßnahmen gegen Angriffe mittels krimineller E-Mails einen Maßstab, mit dem sich Unternehmen in Bezug auf das IT-Sicherheitsverhalten von Mitarbeitern vergleichen können? Den ESI®-Benchmark (Employee Security Index) finden wir an dieser Stelle besonders erwähnenswert, da er anonymisiert Echtdaten aus über 60 europäischen Unternehmen präsentiert. Neben der Präsentation des IT-Sicherheitsverhaltens von Mitarbeitern zeigen die erfassten Daten auf, dass die Security Awareness bei den Unternehmen mangelhaft war, jedoch, nach Bewusstseinsschaffung und Training, signifikant gesteigert werden konnte. Die Vorsicht hinsichtlich der unbeabsichtigten Weitergabe von Daten an die Betrüger (z.B. Kontodaten oder Zugangsdaten) könnte deutlich erhöht werden.
Die Grafik zeigt die Ergebnisse der Testgruppen ähnlich wie beim Hochsprung auf. Wobei die Messlatten folgende Bedeutung haben:
90-100 = vorbildlich
80-90 = gut
70-80 = akzeptabel
20-70 = kritisch
Der ermittelte Durchschnittswert anhand von Echtzeit-Daten liegt bei 46,2 und ist in den Testgruppen Führungskräfte, Vertrieb, Assistenz und C-Level noch geringer.
Die grafische Darstellung spiegelt das Verhalten in Bezug auf IT-Sicherheit auf der Grundlage von über 75.000 simulierten E-Mails mit einer Phishing Gefahr, aufgeteilt in die jeweiligen Testgruppen, wider. Es war damit zu rechnen, dass die Personalabteilung, aufgrund der Phishing-Angriffsversuche mittels krimineller Bewerbungen, am besten abschneidet – dicht gefolgt von der IT. Über das IT-Sicherheitsverhalten auf der C-Level-Ebene sind wir dagegen doch sehr verwundert.
In 5 Schritten vom Phishing-Schutz zur nachhaltigen Security Awareness
1. Bestandsaufnahme des IT-Sicherheitsverhaltens der Mitarbeiter
Vertrauen in Ihre Mitarbeiter ist gut. Es stellt sich jedoch die Frage: Sind die Mitarbeiter mit der Phishing-Gefahr vielleicht überfordert? Neben der Informationsflut wird auch die E-Mail-Flut immer größer und somit steigt das Risiko für einen Cyberangriff. Da eine Bestandsaufnahme anonymisiert in Echtzeit erfolgen kann, empfehlen wir, diese Maßnahme zumindest einmalig als Bestandteil eines ganzheitlichen Phishing-Schutzes durchzuführen.
Jede Kette ist so stark wie ihr schwächstes Glied, Zitatgeber unbekannt, Volksmund aus den 60er Jahren
Legen Sie Wert auf Praxisnähe anstatt nur in theoretische Schulungen zu investieren. Beispielweise wird ein Mitarbeiter sofort zustimmen, dass er keine Kontodaten oder Zugangsdaten an eine verdächtige Person weitergeben wird. In Verbindung mit einem Test zeigt sich jedoch, dass die Betrüger häufig auch bei diesen Mitarbeitern Erfolg haben. Strategische Maßnahmen, Audits oder auch Fragebögen sind zwar wichtig, jedoch sollten Sie bei diesem Schritt so nah wie möglich am Mitarbeiter-Alltag sein.
2. Simulation im Alltag anhand unterschiedlicher Gefahrenklassen
Beim Schutz vor kriminellen E-Mails erhält man oft den Eindruck, dass es sich nur um die eine Phishing-Gefahr bzw. um die beschriebenen Phishing-Disziplinen handeln könnte. Versetzt man sich in die Köpfe und Maßnahmen der Betrüger, so wird klar: Je attraktiver das Angriffsziel, desto größer die Investitionsbereitschaft der Angreifer in die Vorbereitungszeit. So erhöht sich die Qualität der Tarnung um ein Vielfaches und das Risiko steigt mit der Individualisierung dieser, oft sehr professionell vorbereiteten, Cyberangriffe. Jedem Angreifer dürfte klar sein, dass es einfacher ist, Erfolge bei kleinen Unternehmen mit geringem Sicherheitsbudget zu ernten, anstatt beispielsweise bei Banken. Diese Gefahrenklassen sind zu berücksichtigen und zeigen auf, dass es nicht damit getan ist, ein oder zweimal einen Phishing-Test bestanden zu haben. Der Employee Security Index kategorisiert fünf Gefahrenklassen mit Vorbereitungszeiten zwischen einer und 40 Stunden. Von wenig vorbereiteten E-Mails (z.B. ein Täuschungsversuch als Kollege mit persönlichem Bezug, um Zugangsdaten oder Passwörter zu erfahren) bis hin zu mehrstufigen, mit Telefonanrufen kombinierten, Attacken – heutzutage sollte man auf die Kombinationsvielfalt und Kreativität der Angreifer vorbereitet sein.
3. Phishing-Testergebnisse in messbare Ziele umwandeln
Das Bundesministerium für Bildung und Forschung sieht an diesem Punkt akuten Handlungsbedarf bei Unternehmen und fördert das Cybersecurity-Startup IT-Seal GmbH mit finanziellen Mitteln in Höhe von 0,7 Mio. Euro. Ziel ist es, im Rahmen eines Lifetime-Awareness-Programms Methoden und eine Plattform zu entwickeln, die es Unternehmen und öffentlichen Einrichtungen ermöglichen, kontinuierlich Maßnahmen für eine höhere Security Awareness, auf Basis von Zielen, einfach durchzuführen und deren Erfolg zu evaluieren. Bestandteile des Lifetime-Awareness-Programms sind die Weiterentwicklung der Plattform und der Phishing-E-Mail-Simulation, verschiedene Medien zur Bewusstseinsförderung wie beispielsweise Kurzvideos und ein interaktives E-Learning mittels intelligenter Rückmeldungen.
Halten Sie es wie die alten Römer: Steter Tropfen höhlt den Stein.
Der ESI®-Benchmark, welcher von der IT-Seal GmbH entwickelt wurde, ermöglicht eine zielorientierte Förderung und Entwicklung des IT-Sicherheitsverhaltens über den gesamten Mitarbeiterstamm hinweg. Unternehmen und öffentliche Einrichtungen können im Rahmen des Lifetime-Awareness-Programms einen Ziel-ESI® vorgeben, welcher anhand der ermittelten Ausgangssituation und einer individuell abgestimmten Entwicklungsstrategie (zielorientierter und individueller Mix aus Online- und Offline-Schulungen) erreicht werden kann.
4. Interaktives „learning from mistakes“
Auch wenn Sie gerne die 100-prozentige Sicherheit erreichen möchten, dürfen wir nicht vergessen, dass der Mensch, so sehr er auch den wichtigsten Erfolgsfaktor beim Phishing-Schutz darstellt, Fehler macht – zumindest wenn er untrainiert oder noch wenig sensibilisiert ist. Verdächtige E-Mails, beispielsweise mit der Aufforderung zur Eingabe von Daten, werden trotz klar erkennbar gefälschter Adresszeile bzw. Link, mangels Training und Bewusstsein, häufiger geklickt als man denkt.
Die Methoden zur Erreichung eines nachhaltigen Lerneffekts zeigen uns die Beispiele mit dem Kind an der Herdplatte und die Förderung der Einsicht durch „Erwischt-werden“ auf. Es empfiehlt sich demnach, nicht nur einen Phishing-Test durchzuführen, sondern direkt nach dem „Schockzustand“ im emotionalen Augenblick aufzuzeigen, was genau der Fehler war. Durch die Nutzung dieser „teachable moments“ konnten die Testergebnisse, in Anlehnung an den Employee Security Index, innerhalb von acht Monaten zu einem vorbildlichen Sicherheitsverhalten (ESI®-Index 90-100) weiterentwickelt werden.
Tipp: Besonders in der Testgruppe der Auszubildenden scheint bereits eine kurze „Starthilfe“ zu genügen, um dauerhaft ein gesteigertes Bewusstsein für Phishing-E-Mails zu schaffen.
5. Bessere Grundlage für Entscheidungen, Investitionen und zur Nachhaltigkeitskontrolle
Der Mensch ist ein Individuum und, wie dieser Artikel aufzeigen soll, der maßgebliche Erfolgsfaktor für IT-Sicherheit. Die Systematisierung der Mitarbeiter in Testgruppen ermöglicht es Ihnen, menschliche Sicherheitslücken (z.B. mangelnde Vorsicht bei einer getartnen Adresszeile im Browser) im Unternehmen schnell zu identifizieren und sich darüber hinaus durch die Indexierung der Testergebnisse mit anderen Organisationen zu vergleichen.
Neben der Vielzahl der Anbieter im Bereich IT-Sicherheit sind auch Cyber-Security-Schulungsangebote im Markt reichlich vorhanden. Neben der Frage nach dem richtigen Anbieter müssen Sie sich allerdings auch die Frage stellen, in welche Schutzmaßnahmen Sie an welcher Stelle genau investieren möchten. In welchen Abteilungen ist eine Schulung unabdingbar und akut notwendig? Bei welchen Arbeitsplätzen können Sie sich aufgrund der Bestandsaufnahme noch Zeit lassen, da das IT-Sicherheitsverhalten gut oder vorbildlich ist?
Durch mehrfache Testläufe über Tage hinweg und Simulationen anhand von unterschiedlichen Gefahrenklassen können Schulungsthemen individualisiert und priorisiert je nach Testgruppe definiert werden. Darüber hinaus kann die anonyme Messung für Ihre Dokumentation und als Schutznachweis hilfreich sein. Zusätzlich führt eine Messbarkeit aus kaufmännischer Sicht zur Möglichkeit des Return on Investment und erlaubt, die Wirkung der einzelnen Maßnahmen festzuhalten.
In jedem Markt gibt es weniger gute, gute und sehr gute Anbieter. Selbst ein Mitarbeiter von einem sehr guten Anbieter kann Fehler machen. Überlassen Sie die Kontrolle der Maßnahmen daher nicht dem Anbieter alleine, sondern schaffen Sie sich selbst eine Datengrundlage. Erfahren Sie direkt, wenn von Mitarbeitern eine falsche Eingabe in Verbindung mit verdächtigen und kriminellen E-Mails, Links oder Adresszeilen im Browser durchgeführt werden.
Das unterbewusste Verhalten wird mittels Lifetime Security Awareness gefördert
Erinnern Sie sich noch an die gelernten Details aus dem Chemie- oder Physik-Unterricht? Auch wenn Sie damals eine 1 geschrieben haben – vermutlich nicht. Wichtige Details ohne tägliche Anwendung gehen über einen gewissen Zeitraum verloren. In der Schulzeit haben wir gelernt, dass es die Wiederholungen gepaart mit der Emotionalität sind, die zum Lern- und Bewusstseinseffekt führen. Weiter erhöht die Erklärung des Fehlers direkt nach falscher Eingabe die Security Awareness.
Skepsis ist der erste Schritt auf dem Wege zur Philosophie, Zitat Denis Diderot (französischer Philosoph und Schriftsteller der Aufklärung 1713-1784)
Nicht nur in der Werbung, sondern auch auf dem Gebiet der Phishing-Tests zählt „Einmal ist kein Mal“. Investieren Sie daher nicht nur in Einzelmaßnahmen, sondern in einen systematischen oder sogar system-gestützten Phishing-Schutz. Heutzutage sind einem Angreifer durch das Internet sehr viele Informationen, beispielsweise über den neuen Kollegen, der diesen Monat im Unternehmen angefangen hat, zugänglich. Aus diesen Informationen lassen sich Phishing-Attacken mit hoher Qualität und hohen Risiken erzeugen. Trainieren Sie die gesunde Skepsis Ihrer Mitarbeiter beim Öffnen von E-Mails, um das verbesserte IT-Sicherheitsverhalten dauerhaft auf einem vorbildlichen Level zu halten.
Fazit: Einzelmaßnahmen versus Lifetime Security Awareness
Phishing-Schutz hat aufgrund der täglichen Gefahren längst eine vergleichbare Priorität wie vorbeugender Brandschutz erreicht. Unternehmen sind bei diesem Beispiel verpflichtet, regelmäßige Wartungen durchzuführen und ab einer bestimmten Firmengröße einen externen Brandschutzbeauftragten zu integrieren. Wir empfehlen eine ähnliche Handhabung in Bezug auf die Security Awareness. Vermitteln Sie dauerhaft und zeitlich versetzt (Lifetime) aktuelle Phishing-Beispiele und führen Sie Nachhaltigkeitskontrollen wiederholt über den gesamten Mitarbeiterstamm durch. Digitales Lernen mittels E-Learning vereinfacht die Wiederholungen und die Vermittlung über die neuesten Phishing-Gefahren, bis hin zu allgemein vorbildlichem IT-Sicherheitsverhalten, ohne dabei die zeitlichen Ressourcen Ihrer Mitarbeiter unnötig zu belasten. Aufgrund der Lern- und Kosteneffizienz sind interaktive Lernmethoden empfehlenswert, indem beispielsweise nur eine Wiederholung der Inhalte bei den Mitarbeitern erfolgt, die fälschlicherweise eine Phishing-E-Mail geöffnet haben.
Tipp: Befragen Sie 3-5 Mitarbeiter aus Ihrem Unternehmen – am besten nicht aus der IT-Abteilung – warum sich Emotet so schnell verbreiten konnte und nach welchen Kriterien aktuell entschieden wird, eine E-Mail zu öffnen oder nicht?
Leserservice
Testergebnis – Die Redaktion hat sich testen lassen
Jedes Teammitglied hat sicherlich seine eigenen Erfahrungen gemacht. Stichpunktartig möchte ich Ihnen den Verlauf und meine Erfahrung des kostenlosen Tests aufzeigen:
- Anmeldung beim Service-Provider
- Zwei Tage später erhielt ich die erste Phishing-E-Mail, welche ich entlarven konnte
- Bei der zweiten E-Mail musste ich noch genauer hinschauen. Ich hatte Respekt vor der Individualität, als ich die angebliche E-Mail vom Kollegen erhalten habe. Allerdings konnte ich auch diese enttarnen
- Bei der dritten E-Mail, muss ich ganz ehrlich sagen, zuckte der Finger. Allerdings war ich übersensibilisiert, da ich eine nicht häufig genutzte E-Mailadresse verwendet hatte
Mein Fazit: Auch wenn ich nicht in die Falle getappt bin, hat mir der Test weitergeholfen. Ich kann mir gut vorstellen, dass ich die dritte E-Mail geöffnet hätte, wenn sie meine normale E-Mailadresse erreicht hätte. Gerne würde ich weitere Details verraten, allerdings möchte ich die Testpointe nicht vorwegnehmen.
Kostenloser anonymer Phishing-Test (automatischer Start)
Es dauert nicht lange und der kostenlose Selbsttest ist schnell angefordert. Jeder Teilnehmer erhält über einen Zeitraum von vier Wochen 2-3 E-Mails mit individuellen Szenarien zu unterschiedlichen Zeitpunkten. Um die Ergebnisse greifbar zu machen, wird das Testergebnis in der Kennzahl “Employee Security Index” (ESI®) zusammengefasst und dargestellt.
Da wir keinen eigenen Phishing-Test haben, ist wie folgt das Check-In-Formular der IT-Seal GmbH eingebunden:
Manueller Check-In für einen kostenlosen Phishing-Test
Wenn Sie den Test nicht sofort starten möchten, können wir die Testphase individuell abstimmen. Hierzu werden Ihre Daten vorab nicht an den Service-Provider weitergegeben, sondern erst nach Freigabe:
Sponsored Posts
„Winserat/ Anzeige“
Bei diesem Artikel handelt es sich um ein Winserat. Trotz Artikelsponsoring, welches notwendig ist, um unsere Leser/innen nicht mit Bannerwerbung vom Wesentlichen abzulenken, versichern wir eine kritische und herstellerunabhängige Berichtserstattung. Über 90% der Inhalte in diesem Artikel sind redaktionell entstanden und mit den entsprechenden Hinweisen aus der Praxis mittels eines Experteninterviews ergänzt. So wie dieser Artikel sind alle weiteren Artikel klar gekennzeichnet.
Wir bedanken uns bei der IT-Seal GmbH, dem Anbieter des kostenfreien Phishing-Tests, für die Unterstützung!
Die IT-Seal GmbH ist ein erfolgreiches Cyber-Security-Startup, das an der digitalen Selbstverteidigung und menschlichen Firewall ansetzt. Sie testet und trainiert das IT-Sicherheitsbewusstsein, denn aufmerksame Mitarbeiter sind der effektivste Schutz. Das Unternehmen hat 2016 den europaweiten Social Engineering Award gewonnen, es beim internationalen Wettbewerb der SBA Research unter die Top 10 der Cybersecurity-Startups Europas geschafft und wurde Ende 2018 als Bestes Cybersecurity-Startup (aus D/A/CH) ausgezeichnet.
