nach oben
Meine Merkliste
Ihre Merklisteneinträge speichern
Wenn Sie weitere Inhalte zu Ihrer Merkliste hinzufügen möchten, melden Sie sich bitte an. Wenn Sie noch kein Benutzerkonto haben, registrieren Sie sich bitte im Hanser Kundencenter.

» Sie haben schon ein Benutzerkonto? Melden Sie sich bitte hier an.
» Noch kein Benutzerkonto? Registrieren Sie sich bitte hier.
Ihre Merklisten
Wenn Sie Ihre Merklisten bei Ihrem nächsten Besuch wieder verwenden möchten, melden Sie sich bitte an oder registrieren Sie sich im Hanser Kundencenter.
» Sie haben schon ein Benutzerkonto? Melden Sie sich bitte hier an.
» Noch kein Benutzerkonto? Registrieren Sie sich bitte hier.

« Zurück

Ihre Vorteile im Überblick

  • Ein Login für alle Hanser Fachportale
  • Individuelle Startseite und damit schneller Zugriff auf bevorzugte Inhalte
  • Exklusiver Zugriff auf ausgewählte Inhalte
  • Persönliche Merklisten über alle Hanser Fachportale
  • Zentrale Verwaltung Ihrer persönlichen Daten und Newsletter-Abonnements

Jetzt registrieren
Merken Gemerkt
23.03.2020

Die menschliche Firewall: So schützen Sie Ihre Mitarbeiter vor Phishing & Co.

Die Anzahl der Hackerangriffe ist in den vergangenen Jahren explodiert. Allein in Deutschland entstehen jedes Jahr über 102 Milliarden Euro Schaden durch Cyberkriminalität. 2018 veröffentlichte das BSI eine Studie aus der hervorgeht, dass 70% aller Unternehmen in Deutschland von Cyberkriminalität betroffen sind. Besonders alarmierend ist, dass über 92% aller Cyberangriffe initial auf eine E-Mail zurückzuführen sind. Deshalb stellt sich nicht die Frage ob Ihr Unternehmen betroffen ist, sondern nur wann!

Cybersecurity ist ein komplexes Puzzle, das sich aus verschiedenen Teilen zusammensetzt. Es gibt nicht die eine Lösung, die vor allen Gefahren schützt. Technische Sicherheitsmaßnahmen wie z.B. Firewalls, Virenscanner, Proxy-Systeme oder Mail-Security-Gateways spielen seit Jahren eine wichtige Rolle.

Phishing: Fokus auf den Angriffsvektor Mensch

In über 90% der Fälle versuchen Angreifer, die Mitarbeiter über eine Phishing-Mail zu attackieren. Dabei beschreibt Phishing den Versuch des Diebstahls von Kennungen und Passwörtern per Internet durch den Versand von gefälschten E-Mails. User werden von Cyberkriminellen mittels täuschend echt aussehender E-Mails auf gefälschte Internetseiten von Banken, Onlineshops oder anderen Onlinediensten gelockt, um dort deren Benutzerkennungen und Passwörter zu ergattern. Die ergaunerten Daten werden beispielsweise für Kontoplünderungen oder Hackerangriffe auf Unternehmen verwendet.

Der Angriffsvektor Mensch steht dmehr denn je im Fokus von Cyberkriminellen, da dieser oft „das schwächste Glied in der Kette“ darstellt. Ungeschultes Personal, das unüberlegt Links oder E-Mail Anhänge öffnet, kann leicht zum Schlupfloch für ungebetene Gäste werden und sämtliche technische Sicherheitsmaßnahmen aushebeln. Darum wird es auch gerade für Unternehmen immer wichtiger, die Mitarbeiter auf die Gefahren hinzuweisen und sie konsequent im Umgang mit Phishing-Mails zu trainieren.

Warum ist Phishing solch eine Gefahr und warum wird es immer beliebter bei Cyberkriminellen?

Günstig zu betreibende Phishing-Infrastrukturen ermöglichen es Angreifern, ohne tiefgehendes technisches Know-how großflächige Angriffe durchzuführen. Die Kosten für solche Angriffe sind extrem niedrig. In den meisten Fällen handelt es sich nicht um gezielte Angriffe. Stellen die Angreifer fest, dass die Erfolgschancen bei einem Unternehmen nicht hoch sind, ziehen sie einfach weiter zum Nächsten. Dieses Verhalten wird auch als „low-hanging fruits“ bezeichnet.

Angreifer wissen, dass die Mitarbeiter in vielen Unternehmen in diesem Bereich nicht hinreichend geschult sind. Somit rechnen sich Hacker durch Phishing-Mails, die in die Postfächer der Mitarbeiter gelangen, eine hohe Erfolgschance für einen Angriff auf ein Unternehmen aus. Zudem ist es für die Mitarbeiter extrem schwer, solche Phishing E-Mails zu erkennen. Das hat verschiedene Gründe:

  • Die Flut an E-Mails, die Mitarbeiter täglich empfangen, wird immer größer,
  • Phishing-Mails sind oft täuschend echt, sodass kaum ein Unterschied zu einer "echten" E-Mail erkennbar ist,
  • Die Mitarbeiter stehen unter immer größerem Druck und haben daher immer weniger Zeit, jede E-Mail genau zu lesen.

Umgekehrt können gut ausgebildete und achtsame Mitarbeiter zu einer fast unüberwindbaren Barriere für Phishing-Angreifer werden – und das bei einem Bruchteil der Kosten technischer Anti-Phishing Maßnahmen. Denn trotz all dieser technischen Maßnahmen gelangen Phishing-Mails nach wie vor durch die Sicherheitsmechanismen der Unternehmen.

Wie läuft ein Phishing-Angriff in der Praxis ab?

Neben großflächig angelegten Phishing-Angriffen, die auf eine breite Masse von Unternehmen abzielen, nutzen Haccker verschiedene Techniken, um die Phishing Mails bestmöglich an Unternehmen anzupassen. In den letzten Jahren hat sich die Professionalität der Angriffe deutlich gewandelt.

Beim sogenannten Harvesting sammeln Angreifer gezielt Informationen von Unternehmensseiten, Social Media Kanälen oder Bewerbungsportalen. So können sie Phishing-Mails täuschend echt gestalten und ggf. sogar mit einer originalen Signaturen eines Mitarbeiters abzuschließen. Dafür können die Angreifer oft die Signatur des Datenschutzbeauftragen, welche häufig auf Webseiten zu finden ist, als Vorlage verwenden, um das Look and Feel des Unternehmens zu imitieren.

Warum muss man bei Links genauer hinsehen?

Eine weiterer Trick ist, eine Domain zu registrieren, welche sich oft nur marginal von der tatsächlichen Firmen- oder Anbieter-Domain unterscheidet.

Als Beispiel dient die Domain von „maindefense.de“. Hier könnten Angreifer gezielt den Buchstaben „i“ durch den Buchstaben „l“ ersetzen („malndefense.de“), was eine Erkennung für Mitarbeiter sehr schwer macht. Eine andere oft verbreitete Methode ist, die gezielte Kombination bzw. Trennung von Firmennamen durch Bindestriche. „maindefense.de“ würde in diesen Fall zu „main-defense.de“ werden.

Im ersten Moment findet der User diese Änderung merkwürdig. Stellen Sie sich aber nun die Frage: Würden Sie an einem stressigen Arbeitstag eine E-Mail mit einem kleinen "Fehler" im Link hinterfragen, wenn der Inhalt sonst legitim erscheint? Leider zeigt sich sehr oft, dass Mitarbeiter die Anhänge oder Links in Emails mit leicht veränderten Absender besonders häufig öffnen.

Wie können Unternehmen ihre Mitarbeiter schulen?

Um die Mitarbeiter von Unternehmen nachhaltig zum Thema Phishing Angriffe zu sensibilisieren, sollte ein User-Awareness-Training fester Bestandteil eines jeden Sicherheitskonzepts sein. Im Rahmen dieses Trainings erhalten User in regelmäßigen Abständen individuell angepasste Training-Phishing-Mails, die von echten Angriffs-E-Mails nicht zu unterscheiden sind. Doch statt im Falle eines unüberlegten Klicks den Rechner des Mitarbeiters mit Schadsoftware zu infizieren oder Daten abzufischen, wird der Mitarbeiter auf eine firmenindividuelle Schulungsseite weitergeleitet. Auf dieser Seite wird ihm in einem kurzen Video anschaulich erklärt, was Phishing ist und wie man den Angriff hätte abwenden können. Der Unternehmensadministrator kann sich die Klickraten und Schulungserfolge in Echtzeit in einem unternehmensindividuellen Online-Portal ansehen und daraus weitere Erkenntnisse ableiten.

Für Unternehmen entsteht für das gezielte Security-Training der Mitarbeiter kein zusätzlicher Aufwand. Die Mitarbeiter der Unternehmen werden durch das User-Awareness-Training regelmäßig und mit geringem Zeitaufwand für den Ernstfall geschult. Die Schulungsmaßnahme vermittelt alle nötigen Informationen in unter 5 Minuten und erreicht exakt die Mitarbeiter, die Schulungsbedarf in puncto Phishing haben. Somit wird vermieden, die gesamte Belegschaft – auch Mitarbeiter, die bereits zu diesem Thema gut geschult sind – auf Trainingsseminare zu schicken, die oft sehr zeitintensiv sind und daher auch nicht regelmäßig besucht werden können.

Wie können sich Unternehmen technisch vor Phishing schützen?

Eine zusätzliche und sehr hilfreiche Variante ist das proaktive Domain Monitoring. In diesem Fall werden gezielt Domains überwacht, welche in direktem Bezug zu Ihrem Unternehmen stehen. Hierbei spielt die große Anzahl an möglichen Domainvarianten eine wesentliche Rolle. Diese können durch Buchstabendreher, Bindestrichkombination und anderen Stichwörter mit Firmenbezug oft schnell eine sechsstellige Anzahl annehmen, welche proaktive überwacht werden müssen.

Falls ein Angreifer nun eine Domain registriert, welche in Verbindung mit Ihrem Unternehmen stehen könnte, werden Sie von dem System direkt informiert. Sie haben nun die Möglichkeit; diese Domain direkt an Ihrem Mail-System zu sperren, bevor sie für einen Phishing-Angriff missbraucht werden kann.

Tobias Ackermann ist Founder & Head of Cyber Security bei der MainDefense GmbH in Röllbach.

Tobias Ackermann
E-Mail: tobias.ackermann <AT> maindefense.de
Telefon: +49 (151) 424 30 264

Weiterführende Information
Hilfe

Haben Sie Fragen zur Onlinekennung und der freien Verfügbarkeit von Online-Fachbeiträgen, dann wenden Sie sich bitte per E-Mail an:
abo-service@hanser.de