|
Research
|
Blog
|
Newsletter
|
Websession
|
EN

Phishing bleibt einer der beliebtesten Angriffsvektoren

26. Januar 2023

Jeder E-Mail-Nutzer hatte sie bereits in seinem Postfach: Phishing-Mails. Vor allem Massenmails in bekanntem Design, die da beispielsweise lauten „Ihr Konto wurde aufgrund verdächtiger Aktivitäten eingeschränkt“, erfreuen sich bei Cyberkriminellen nach wie vor ungebrochener Beliebtheit. Gepaart mit der Aufforderung, einem Link auf eine manipulierte Seite zu folgen, um dort Zugangsdaten einzugeben, führen sie leider bei zahlreichen Empfängern zum Erfolg und versprechen ein rentables Geschäft. Andere Mails stammen scheinbar vom Streaming-Anbieter und enthalten die Aufforderung, seine Zugangsinformationen zu aktualisieren; wiederum andere wurden angeblich von der Bank geschickt und bitten um eine Anmeldung im Onlinebanking, um das vermeintlich gesperrte Konto wieder zu aktivieren. Bei diesen Mails ist die Masche im Grunde immer dieselbe und vergleichsweise trivial, verspricht aber dennoch großen Erfolg im Vergleich zum geringen Aufwand.

Spear-Phishing
Im Gegensatz zum Massenversand an tausende von E-Mail-Adressen geben sich Cyberkriminelle beim Spear-Phishing durchaus mehr Mühe und richten sich ganz gezielt an vorab ausgewählte Empfänger. Da werden E-Mails an die Mitarbeitenden von Unternehmen geschickt, die den Anschein erwecken, als stammten sie von der hauseigenen IT. Andere Spear-Phishing-Mails wurden scheinbar von Geschäftspartnern oder Kunden verschickt. Dabei wird immer häufiger an bestehende Kontexte angeknüpft. Ein eindrückliches Beispiel, das enorme Schäden angerichtet hat, ist Emotet. Die Schadsoftware hat sich über E-Mail-Anhänge verbreitet und war in der Lage dazu, Kommunikationsverläufe seiner Opfer auszulesen und authentisch nachzuahmen. Diese Phishing-Mails dann als solche zu erkennen, ist ungleich viel schwerer.

Ein Großteil der Phishing-Mails, die täglich im Posteingang landen, lässt sich allerdings schon mit einer simplen Indizienprüfung entschärfen. Dazu benötigen die Mitarbeitenden allerdings das entsprechende Know-how. Sie müssen verinnerlichen, wo Gefahren lauern und worauf sie bei eingehenden E-Mails achten müssen.

Cyberkriminalität ist viel mehr als Phishing
Doch Cybersicherheit endet auch auf Mitarbeiterseite leider nicht beim Thema E-Mail-Sicherheit. Ein souveräner Umgang mit Authentifizierungsverfahren, beispielsweise der Einsatz sicherer Passwörter, die Verwendung eines zweiten Faktors und die Fähigkeit, Hyperlinks auf ihr tatsächliches Ziel hin zu untersuchen, sind nur wenige der Kompetenzen, die Schritt für Schritt aufgebaut und immer wieder aufgefrischt werden müssen. Denn die Gefahren lauern längst nicht mehr nur im E-Mail-Postfach. Unternehmensnetzwerke und Informationstechnologien sind auch unabhängig vom elektronischen Postverkehr angreifbar. Die zunehmende Vernetzung sämtlicher Lebensbereiche erfordert, dass Mitarbeitende umfassendes Wissen rund um sämtliche Gefahren im Cyberspace aufbauen. Davon profitieren übrigens nicht nur Arbeitgeber, sondern auch die Arbeitnehmer selbst bei der privaten Nutzung von Smartphone, Computer & Co.

Sensibilisierung und Training
Sensibilisierungs- und Schulungsmaßnahmen sind für Unternehmen und Behörden mittlerweile unerlässlich geworden, gerade weil Cyberkriminelle neben der Technik auch immer wieder den Anwender angreifen.

Gerade bei größeren Organisationen gestaltet es sich allerdings oftmals besonders schwierig, wirklich alle Mitarbeitenden mit dem dringend benötigten Wissen zu versorgen. Mit Trainings- und Frontalschulungen ist das in der Regel nicht leistbar, auch weil die Schulungen wiederholt werden müssen und ständig neue Mitarbeitende hinzukommen. Daher sind webbasierte Lern- und Schulungsplattformen hierfür längst Standard. In E-Learning-Portalen finden Mitarbeitende alle wichtigen Themen vereint an einem Ort und können bei freier Zeiteinteilung Wissen aufbauen, vertiefen und jederzeit auffrischen. Gleichzeitig erhalten Arbeitgeber Nachweise über die Durchführung der Schulungsmaßnahmen, welche häufig von gesetzlicher Seite gefordert sind.

8com Academy
Auch wir bei 8com bieten mit unserem Awareness-Portal, künftig 8com Academy, eine webbasierte E-Learning-Plattform, auf der die Mitarbeitenden unserer Kunden alle wichtigen Informationen rund um den sicheren Umgang mit Passwörtern, E-Mail und Co. finden. Hier lernen die User, wie sie sich vor Social Engineering schützen, sensible Informationen und Dokumente sicher verwahren oder worauf sie beim Surfen im Internet besonders achten sollten.

Die zum Teil komplexen Themen werden mithilfe praktischer Beispiele aus dem Arbeitsalltag verständlich aufbereitet und spielerisch durchgearbeitet. Das erworbene Wissen kann anschließend überprüft und die Bearbeitung der Kurse nachweisbar dokumentiert werden.

Ganz wichtig: 8com Academy umfasst alle Lebensbereiche der Mitarbeitenden. Deshalb finden sich auf unserer Plattform Themen, die sowohl das private als auch das berufliche Leben betreffen. So erfahren die Mitarbeitenden, warum auch sämtliche Software zuhause immer auf dem neuesten Stand sein muss und worauf sie etwa achten sollten, damit ihr Smart Home vor den Zugriffen Cyberkrimineller geschützt ist. Die Verbindung beruflicher und privater Themen erhöht die Bereitschaft, sich mit Awareness-Themen zu beschäftigen.

Die 8com Academy bietet zudem die Möglichkeit, spezialisierte Inhalte zielgruppenspezifisch zuzuweisen. So können beispielsweise Themen wie CEO Fraud gezielt zahlungsverkehrsberechtigten Mitarbeitenden zugewiesen werden, die im Arbeitsalltag auch tatsächlich dafür zuständig sind.

Mit dem Relaunch zum Q2/2023 unterstützt die 8com Academy neben Deutsch und Englisch zahlreiche weitere Sprachen und bietet sowohl für Unternehmen als auch für Mitarbeitende eine komplett überarbeitete, intuitive Benutzeroberfläche, die das Lernen noch leichter macht.

Zurück zur Blog-übersicht
Zurück zuM Research-Blog
Alle Mitarbeiter-Interviews