IT-Sicherheit

„Unternehmen müssen IT-Sicherheit ganzheitlich betrachten“

Im Interview erklärt Karsten Tellmann, Manager Custom Solutions bei G Data Cyberdefense, wie Unternehmen durch eine Phishing-Simulation das Know-how ihrer Angestellten in puncto IT-Sicherheit messen und das Bewusstsein für Cyberrisiken entscheidend verbessern können.

„Unternehmen müssen IT-Sicherheit ganzheitlich betrachten“

Die Sensibilisierung der ­Mitarbeiter ist laut Karsten Tellmann ein langfristiger Prozess.

ITD: Warum reichen Schutztechnologien alleine nicht aus, um Cyberattacken zu verhindern?
Karsten Tellmann: Schutztechnologien wie Firewalls und Endpoint-Protection-Lösungen erkennen den Großteil der Attacken und wehren diese ab. Cyberkriminelle suchen aber immer den Weg des geringsten Widerstands, um mit wenig Aufwand den maximalen Profit zu erzielen. Durch technische Sicherheitslücken wie etwa ein nicht installiertes Software-Update oder ein unzureichend gesicherter RDP-Zugang in Kombination mit einem einfachen Passwort gelangen sie recht schnell ins Netzwerk. Oft ist allerdings der Mitarbeiter das schwächste Glied in der Kette, denn ein Klick auf einen Mail-Anhang mit Schadcode oder auf einen Link reicht aus und schon haben Angreifer Zugriff auf das Netzwerk. Haben sie einen Fuß in der Tür, können sie die Kontrolle über das Netzwerk übernehmen sowie Daten kopieren oder verschlüsseln, um Lösegeld zu erpressen.

ITD: Warum fallen Menschen auf Phishing-Mails herein?
Tellmann: Cyberkriminelle haben beim Phishing ein klares Ziel vor Augen: Sie wollen vertrauliche Informationen wie etwa Login-Daten abgreifen oder Schad-Software ins Netzwerk schleusen. Um Mitarbeiter zu diesem Handeln zu bewegen, braucht es nicht viel. Die Angreifer nutzen lediglich das menschliche Verhalten aus – Hilfsbereitschaft, Neugier oder Gier sind dabei ihre Komplizen. Ein typisches Beispiel bei Unternehmen sind Bewerbungen auf ausgeschriebene Stellen oder Rechnungen mit infizierten Dateian-hängen. Gerade diese Routinetätigkeiten nutzen die Angreifer aus, weil Mitarbeiter solche Aufgaben meist mit geringer -Aufmerksamkeit erledigen. Und immer wieder bauen die Kriminellen in den Mails Zeitdruck auf, um die Opfer zum raschen und unüberlegten Handeln zu zwingen.

Mitarbeitern müssen wir aber auch zugutehalten, dass Phishing-Mails oft schwer von echten Mails zu unterscheiden sind. So spähen die Angreifer ihr Opfer in sozialen Medien oder auf der Firmen-Homepage zunächst aus. Auf dieser Basis erstellen sie eine maßgeschneiderte Phishing-Mail. In der nehmen sie z. B. auf eine Veranstaltung Bezug, die ein Mitarbeiter besucht hat. 

Solche sogenannten Spear-Phishing-Mails sind kaum von echten zu unterscheiden. Und ist ein Angestellter erst mal davon überzeugt, dass er aus legitimen Gründen beispielsweise auf einer Webseite sein Passwort eingeben soll, dann lassen sich auch gute technische Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung aushebeln.

ITD: Woran lassen sich denn Phishing-Mails erkennen?
Tellmann: Bei einfachen Phishing-Mails, die weiterhin massenhaft versendet werden, fehlt etwa die direkte Anrede. Sie enthalten massive Rechtschreib- und Grammatikfehler oder ist in ihrer Argumentation nicht schlüssig. Ein anderes Erkennungszeichen ist auch der Ab-sender. Zwar lässt sich dieser Name ändern, aber bei genauem Hinsehen ist häufig eine gefälschte E-Mail-Adresse dahinter verborgen. Wenn die Angreifer aber bereits einen anderen Account gekapert haben und von dort Mails verschicken, sind diese nur sehr schwer zu erkennen. Hier rate ich Angestellten beim leisesten Verdacht, die Legitimität der Mail zu hinterfragen. Und im Notfall den Absender anrufen oder den zuständigen IT-Mitarbeiter um Hilfe zu bitten.

Wer etwa eine Benachrichtigung von einem sozialen Netzwerk über eine neue Kontaktanfrage erhält, sollte nicht den Link in der Mail anklicken, sondern direkt die Webseite besuchen. Eine legitime Kontaktanfrage wird auch dort angezeigt und Anwender umgehen so das Risiko, auf eine Phishing-Webseite hereinzufallen.

ITD: Was sollten Unternehmen tun, damit ihre Mitarbeiter künftig keine Phishing-Mails anklicken?
Tellmann: Unternehmen müssen IT-Sicherheit ganzheitlich betrachten. Ein Schulungsvideo oder eine kurze Präsenzschulung, mit dem Unternehmen ihre Angestellten über Phishings-Mails und andere Cyberrisiken aufklären, reicht nicht aus. Vielmehr ist ein langfristiger Prozess erforderlich, um das Bewusstsein der Angestellten für IT-Sicherheitsrisiken zu verbessern. Dafür bieten sich Awareness Trainings an. Diese Kurse zielen darauf ab, dass die Angestellten ein Gefühl für aktuelle IT-Risiken entwickeln, sodass sie künftig mit Mails kritischer umgehen oder ihre Passwörter sorgfältiger wählen.

Dies ist ein Artikel aus unserer Print-Ausgabe 10/2020. Bestellen Sie ein kostenfreies Probe-Abo.

ITD: Welche Rolle spielen Phishing-Simulationen im Rahmen von Security Awareness Trainings?
Tellmann: Ein Vorteil von Phishing-Simulationen ist, dass Angestellte auf spielerische Weise Erfahrungen mit gefährlichen Mails sammeln können. Am Ende gehen sie routinierter mit Phishing-Mails um. Die Unternehmen profitieren davon, dass IT-Sicherheit auf einfache Weise messbar ist. Denn mithilfe eines Reports erfahren die Verantwortlichen, ob und wie viele Mitarbeiter eine gefährliche Mail geöffnet und unter Umständen den enthaltenen Link angeklickt haben. Sie wissen auf einen Blick, wie groß der Handlungsbedarf ist und an welcher Stelle sie handeln müssen. Im Anschluss an eine Phishing-Simulation sollten Firmen Security Awareness Trainings durchführen, um das Bewusstsein der Mitarbeiter für Cybergefahren nachhaltig zu steigern und Wissen aufzubauen. Wer danach eine weitere Phishing-Simulation durchführt, kann prüfen, ob und wie sich das Sicherheitsniveau im Unternehmen verändert hat.

ITD: Wie sollte eine Phishing-Simulation aufgebaut sein?
Tellmann: Idealerweise sollte eine Simulation drei bis vier Wochen dauern. Die Phishing-Mails sollten dabei verschiedene Schwierigkeitsgrade haben und auch die Zeit des Versands sollte variieren. Denn mancher Angestellte ist in Vorfreude auf den Feierabend oder das Wochenende nicht mehr so aufmerksam wie zu Beginn des Arbeitstages. Ich bin mir ziemlich sicher, dass jeder Mitarbeiter auf mindestens eine Mail hereinfällt. Aber genau aus diesem Fehler lernen sie am meisten.

ITD: Was müssen Unternehmen beachten, wenn sie eine Phishing-Simulation durchführen möchten?
Tellmann: Natürlich müssen Firmen die arbeitsrechtlichen Rahmenbedingungen erfüllen. Daher sollten sie frühzeitig den Datenschutzbeauftragten oder den Betriebsrat einbeziehen.

Aus meiner Sicht ist aber ein anderer Punkt viel wichtiger, denn eine Phishing-Simulation braucht einen passenden Rahmen. Ein Teil davon ist ein Meldeprozess für verdächtige Mails. Im Verdachtsfall sollten fragwürdige Nachrichten nicht einfach gelöscht, sondern überprüft werden. Hier bietet sich etwa eine allgemeingültige E-Mail-Adresse an: phishing@musterfirma.de. Die IT-Sicherheitsverantwortlichen können den Verdacht prüfen und umgehend Maßnahmen einleiten, wenn sich die Befürchtung bestätigt. Dazu gehört etwa die Anpassung der eingesetzten Phishing-Filter.

Zudem braucht es auch eine Firmenkultur, die Mitarbeiter schützt, die einer echte Phishing-Mail zum Opfer gefallen sind. Angestellte bloßzustellen ist der falsche Weg und führt dazu, dass andere Opfer versuchen werden, ihre Fehler zu vertuschen. Nur wer offen über dieses Verhalten spricht und es nicht sanktioniert, schafft innerhalb der Belegschaft ein Bewusstsein für das bestehende Risiko.

Bildquelle:G Data

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok