What is Phishing
What is Phishing

Was Ist Phishing? Die Größte Digitale Bedrohung

Mikael Korsholm

Phishing gilt zur Zeit als die größte IT-Sicherheitsbedrohung für Unternehmen. Wenn du diesen Blogartikel liest, wirst du Antworten auf die folgenden Fragenfinden: Was ist Phishing? Wie hat sich Phishing weiterentwickelt? Wie kannst du verhindern, dass deine Mitarbeiter in diese Falle tappen?

Phishing, Smishing, Spear Phishing - was ist der Unterschied?

Mit Phishing sind gefälschte E-mails gemeint, deren Absicht es ist, dich dazu zu bringen, deine persönlichen Informationen weiterzugeben. Das kann auch per SMS passieren (dieses spezielle Phänomen wird als Smishing bezeichnet). Das Erscheinungsbild dieser E-Mails hat sich im Laufe der Jahre erheblich weiterentwickelt. Es gibt auch den Begriff „Spear Phishing“, bei dem der Phishing Versuch zielgerichtet ist und sich auf bestimmte Personen oder Organisationen konzentriert. [Der Phisher versucht, eine bestimmte Person zu „speeren“.]

Falsche E-Mails und Textnachrichten werden auf viele verschiedene Arten geformt und haben sich im Laufe der Jahre drastisch weiterentwickelt.

Phishing-E-Mails sind immer schwerer zu erkennen

Im Laufe der letzten 10 Jahre hat sich Phishing von einer Falle, in die nur die unaufmerksamsten Personen tappten, zu einer echten Herausforderung entwickelt, mit der sich jedes Unternehmen herumschlagen muss. Am Anfang war Phishing eine Massenproduktion von E-Mails, die mit Rechtschreibfehler gefüllt waren. Die meisten von uns erinnern sich daran, E-Mails von „nigerianischen Prinzen“ erhalten zu haben, die uns große Geldsummen angeboten haben, als Gegenleistung dafür, dass wir ihnen geholfen haben, ihr Gold zu bewegen. Sie waren leicht zu erkennen.

Heutzutage werden Phishing-E-Mails so zugeschnitten,  dass sie Ihre spezifischen Mitarbeiter zum Narren halten. Einige dieser maßgeschneiderten E-Mails tauchten beispielsweise während der COVID-19-Pandemie auf, bei der sich Kriminelle als Regierung und Polizei ausgaben.

Es genügt ein kleiner Fehler eines einzigen Mitarbeiters

Um dein Unternehmen zu schützen, ist es offensichtlich unerlässlich, die technischen Aspekte der IT-Sicherheit zu beherrschen; denn diese helfen, den größten Teil der betrügerischen E-Mails zu identifizieren und zu blockieren. Es ist jedoch nicht weniger wichtig, dass deine Mitarbeiter für den Umgang mit den wenigen Phishing-E-Mails geschult sind, die den Filter umgehen können.

Wenn auch nur ein einziger Mitarbeiter in die Falle tappt, ist dein gesamtes Unternehmen in Gefahr. Mitarbeiter können daher das größte Risiko für Sicherheitsverletzungen darstellen. Im Gegenteil, bewusste Mitarbeiter können zu einem der stärksten Elemente deiner IT-Sicherheitsabwehr werden.

Achte besonders auf Phishing von persönlichen Daten

Die neue Verordnung über persönliche Daten legt ihren Fokus auch auf IT-Sicherheitsverletzungen, insbesondere dort,wo bei einer Verletzung persönliche Daten verloren gehen. Das bedeutet, dass ein Phishing Angriff nicht nur Folgen für die eigenen vertraulichen Informationen des Unternehmens haben kann, sondern auch zu Problemen im Zusammenhang mit der DSGVO führen kann. In diesem Fall führt ein Angriff zu einem Datenverlust von beispielsweise Kunden oder Mitarbeitern.

Kontinuierliches Training kann durch Lehr- oder Phishingkampagnen erfolgen

Um Mitarbeiter zu einem starken Team für IT-sicherheitsverteidigung zu machen, ist es wichtig, sie zu schulen / zu trainieren. Das Training muss kontinuierlich sein, da sich die Bedrohungen ständig weiterentwickeln.

Die Schulung der Mitarbeiter kann auf verschiedene Arten erfolgen. Du kannst Awareness-Trainings durchführen, in dem du deinen Mitarbeitern das Erkennen und Behandeln von Phishing-E-Mails beibringst. Entweder durch digitales E-Learning, durch physischen Unterricht oder eine Mischung aus beiden Formen.

Eine weitere Option sind Phishing-Simulationen, bei denen du absichtlich falsche E-Mails an deine Mitarbeiter sendest. Auf diese Weise können die Mitarbeiter ihre Fähigkeiten beim Erkennen falscher E-Mails üben und auch Strategien erstellen, wie dein Unternehmen reagieren soll, wenn ein Phishing-Versuch bemerkt wird. An wen kann man sich wenden und wie kann  man andere Mitarbeiter warnen? Es ist wichtig, dass der Mitarbeiter die E-Mail nicht einfach löscht, ohne seine Kollegen zu warnen. Eine Verteidigung wird aufgebaut, indem Strategien entwickelt werden. Du kannst Phishing-Simulationen als kleine Feuerwehrübungen anzeigen.

Awareness-Training und Simulationen können natürlich kombiniert werden, was in vielerlei Hinsicht ideal ist. Es ist eine Gelegenheit, Theorie mit Praxis zu verbinden – wie wenn du einen Führerschein machst. Es macht keinen Unterschied zu wissen, wie eine Phishing-E-Mail aussieht, wenn du in deiner täglichen Arbeit nicht aufmerksam bist.

3 Faustregeln für Ihre Mitarbeiter

Jeder muss natürlich irgendwo anfangen und es ist schwierig, eine starke menschliche Verteidigung in einer einzigen Bewegung zu schaffen. Ein einfacher Einstieg ist die Verteilung der drei unten genannten Faustregeln auf Ihre Mitarbeiter. Wenn du diese beim Empfang einer E-Mail immer im Hinterkopf behältst, erhöhst du die Wahrscheinlichkeit, dass jemand nicht auf schädliche Links in Phishing-E-Mails klickt.

Faustregeln sind sicherlich nützlich, aber eine so große Bedrohung wie Phishing erfordert kontinuierliches Training entweder in Form von Kursen oder Tests. Auch der Kenntnisstand und die Bewusstheit der Mitarbeiter sind entscheidend für deine IT-Sicherheit.

Diese können durch ein Training gesteigert werden, die das Bewusstsein für derartige Bedrohungen weckt, und in der den Mitarbeitern spezifische Themen der IT-Sicherheit vermittelt werden. Auch eine direkt auf Phishing bezogene Schulung, bei der du Mitarbeiter durch simulierte Phishing-Angriffe testen kannst, kann sehr hilfreich sein.

Abonnieren Sie unseren Newsletter

Erhalten Sie Updates mit kostenlosen Vorlagen, Tools und Neuigkeiten von CyberPilot.

Treten Sie unseren über 2000+ Abonnenten bei und abonnieren Sie unseren Newsletter. Sie erhalten Inspiration, Tools und Geschichten über gute Cybersicherheitspraktiken direkt in Ihrem Posteingang. Unser Newsletter wird ungefähr einmal im Monat verschickt.

Top

Kontaktiere uns

Sie können uns jederzeit kontaktieren, um ein erstes und informelles Gespräch über Ihre Herausforderungen im Bereich der Cybersicherheit zu führen.

Kontaktiere uns

Sie können uns jederzeit kontaktieren, um ein erstes und informelles Gespräch über Ihre Herausforderungen im Bereich der Cybersicherheit zu führen.