Im Interview erklärt Karsten Tellmann, Manager Custom Solutions bei G DATA CyberDefense, wie eine Phishing Simulation IT-Sicherheit messbar macht.
Wie sieht die Bedrohungslage für Unternehmen zurzeit aus?
In den ersten sechs Monaten dieses Jahres ist die Zahl der Angriffsversuche stark gestiegen. Das hängt sicherlich auch mit der Corona-Pandemie zusammen. Cyberkriminelle nutzten gerade zu Beginn der Krise die Verunsicherung der Menschen und verschickten massenhaft Mails mit einem Bezug zu COVID-19. Angehängt waren aber Dateien mit Schadsoftware oder der enthaltene Link führte zu einer präparierten Webseite, um Login-Daten abzugreifen. Gleichzeitig profitierten die Angreifer auch davon, dass viele Angestellte im Homeoffice gearbeitet haben. Viele Unternehmen konnten ihren Mitarbeitern im Homeoffice unter dem Zeitdruck keine ausreichend gesicherte Infrastruktur zur Verfügung stellen: die Komplexität der Netzwerke hat zugenommen, die IT-Sicherheit ist aber nicht im gleichen Maße mitgewachsen.
Warum reichen Schutztechnologien alleine nicht aus?
Natürlich erkennen technische Sicherheitslösungen einen Großteil der Angriffsversuche und verhindern den externen Zugriff von Angreifern. Kriminelle Hacker sind heutzutage aber wirtschaftlich orientiert und wollen mit wenig Aufwand einen maximalen Profit erzielen, daher suchen sie immer den Weg des geringsten Widerstands. Das sind technische Sicherheitslücken wie etwa ein nicht installiertes Software-Update. In der Realität ist leider oft der Mitarbeiter das schwächste Glied in der Kette. Da reicht ein falscher Klick in einer Mail auf den Anhang oder einen Link und schon haben Angreifer Zugriff auf das Netzwerk. Es ist dann nur eine Frage der Zeit, bis sie die Kontrolle übernehmen und Daten kopieren oder verschlüsseln, um Lösegeld zu erpressen.
Warum sind Menschen für Phishing-Kampagnen anfällig?
Cyberkriminelle verfolgen beim Phishing ein Ziel. Sie verleiten ihr Opfer dazu, vertrauliche Informationen wie etwa Login-Daten preiszugeben oder Mailanhänge zu öffnen. So erhalten die Angreifer Zugriff auf das Netzwerk oder können die Systeme mit Schadsoftware infizieren. Dabei nutzen sie das menschliche Verhalten konsequent aus. Hilfsbereitschaft, Neugier oder Gier spielen ihnen in die Karten. Im Unternehmensumfeld gehört der Umgang mit Bewerbungen auf ausgeschriebene Stellen oder Rechnungen zur Tagesordnung. Angreifer nutzen den gewohnten Umgang mit diesen Mails aus, da Mitarbeiter bei Routinearbeiten schneller unaufmerksam sind.
Wie können Unternehmen ihre Mitarbeiter unterstützen, damit sie keine Phishing-Mails anklicken?
Unternehmen müssen IT-Sicherheit ganzheitlich betrachten. Neben technischen Sicherheitsmaßnahmen sollten Mitarbeiter zum Bestandteil der Verteidigungsstrategie werden. Hier reicht ein Schulungsvideo über Cybergefahren nicht aus. Auch eine Präsenzschulung greift zu kurz. Das Bewusstsein für IT-Sicherheitsrisiken zu schärfen, ist ein langfristiger Prozess. Das geht nur mit Hilfe von umfangreichen Security Awareness Trainings. Sind sich die Angestellten dem Risiko bewusst, handeln sie vorsichtiger und gehen kritischer mit Mails um.
Welche Rolle spielen Phishing-Simulationen im Rahmen von Security Awareness Trainings?
Bei Phishing-Simulationen können Angestellte auf spielerische Weise Erfahrungen mit gefährlichen Mails sammeln. Es versetzt sie in die Lage, routinierter mit Phishing umzugehen. Die Unternehmen können mit einer Simulation den Status der IT-Sicherheit messen. Ein Reporting zeigt dem Verantwortlichen ob und wie viele Mitarbeiter eine gefährliche Mail geöffnet und den enthaltenen Link angeklickt haben. Damit ist klar, wie groß der Handlungsbedarf ist. Anschließend sollten Firmen ein Security Awareness Training durchführen, um das Bewusstsein der Mitarbeiter für Cybergefahren nachhaltig zu schärfen und Wissen aufzubauen. Wer dann noch eine weitere Phishing-Simulation durchführt, kann sehen, wie sich das Sicherheitsniveau im Unternehmen verbessert hat.
