Leitfaden gegen akute Phishing-Bedrohungen

Lesezeit
2 Minuten
Bis jetzt gelesen

Leitfaden gegen akute Phishing-Bedrohungen

21.09.2022 - 14:00
Veröffentlicht in:
Firewalls, Virenschutz und Spamfilter – die technischen Tools gegen Cyberkriminalität sind zahlreich. Doch um gegen Social-Engineering-Angriffe wie Phishing gewappnet zu sein, muss ein ganz anderes Einfallstor abgesichert werden: der Mensch. Gerade E-Mails dienen im Unternehmen noch als Hauptkommunikationskanal, weswegen eine Einweisung in die Do's and Don'ts der E-Mail-Sicherheit für jeden Mitarbeiter sowie der Aufbau einer nachhaltigen Sicherheitskultur in der ganzen Organisation unerlässlich sind.
E-Mail-Phishing, Spear-Phishing und Social Engineering sind nach wie vor die gängigsten und zuverlässigsten Methoden, um sich illegal Zugang zu einem Netzwerk zu verschaffen. Und die Tendenz steigt: Der Proofpoint-Bericht "State of the Phish 2022" zeigt, dass E-Mail-Phishing-Angriffe 2021 um 46 Prozent erfolgreicher waren als im Vorjahr. Einer der Gründe hierfür ist, dass Mitarbeiter im Home Office durch die mentale Belastung der Pandemie nachlässiger und gutgläubiger auf Betrugsversuche reagieren. Allein im Jahr 2021 landeten über 12 Millionen Phishing- und Social-Engineering-E-Mails in den Postfächern von mehr als 17.000 US-Unternehmen. Darüber hinaus waren 85 Prozent der Sicherheitsverletzungen auf einen menschlichen Insider zurückzuführen, und 61 Prozent der Sicherheitsverletzungen betrafen schwache Passwörter oder kompromittierte Anmeldedaten.

Password Phishing auf dem Vormarsch
Typisch für einen Phishing-Angriff sind täuschend echt nachgestellte Login-Eingabefenster, auf die die Opfer über einen getarnten Link in einer authentisch aussehenden E-Mail gelenkt werden. Besonders groß ist der Schaden, wenn das gleiche kompromittierte Passwort zum Einloggen in anderen Anwendungen Verwendung findet. Oft sind Phishing-Mails nicht oder nur minimal personalisiert und tarnen sich als automatisch verschickte E-Mails eines Diensts. Wird ein Angriff mit größerer Sorgfalt auf eine bestimmte Zielperson abgestimmt, ist auch von Spear-Phishing die Rede.

Selbst wenn die entsprechende Software, Hardware und Patches vorhanden sind, bietet das menschliche Element immer noch eine Schwachstelle für Social Engineering. Dieser Angriffsvektor wurde nach Beginn der Pandemie noch attraktiver, da viele Unternehmen auf dezentrale Arbeitsplätze umgestiegen sind und dabei die digitale Transformation überstürzt vollzogen haben. Zahlreiche Studien haben gezeigt, dass das Cyberrisiko mit der Zunahme der Telearbeit anstieg. Anti-Phishing-Software kann sicherlich helfen, sie ersetzt aber nicht das Bewusstsein für solche Attacken bei den Mitarbeitern. Hier müssen IT-Administratoren dabei helfen, eine Sicherheitskultur im Unternehmen zu etablieren.

Sicherheitstrainings und Sicherheitskultur
Gerade bei zunehmenden Phishing-Attacken gilt es, das Personal regelmäßig und gründlich zu schulen. Sicherheitstrainings sind wichtig, das ist bei den allermeisten Unternehmen angekommen. Nachhaltiger ist es aber, eine Sicherheitskultur im Unternehmen zu etablieren. Jedes Teammitglied sollte das Gefühl haben, dass das Thema Cybersicherheit im Unternehmen ernst genommen wird. Außerdem sollte jeder im Unternehmen das Gefühl von Teilhabe an der Unternehmenssicherheit haben. Cybersicherheit liegt nicht nur in der Verantwortung der IT-Teams. Das Engagement der Mitarbeiter ist ausschlaggebend für eine resiliente Sicherheitsstrategie.

Als allerersten Schritt sollten vor allem IT-Verantwortliche und ihre Teams ein sicheres Umfeld schaffen. Damit ist gemeint, dass Mitarbeiter sich vertrauensvoll an das IT-Team wenden können. Löst der Gedanke, einen Vorfall bei den IT-Administratoren zu melden, Furcht vor Schikane aus, schweigen Mitarbeiter aus Angst vor der vermeintlichen Verurteilung lieber. Authentisch werden Maßnahmen aber erst, wenn die IT-Verantwortlichen sich dem Thema der Sicherheitstrainings sowie der nachhaltigen Etablierung einer Sicherheitskultur im Unternehmen annehmen. Auf einige Dinge sollten IT-Verantwortliche bei der Umsetzung und Planung der Schulungen sowie der weiteren Sicherheitsmaßnahmen daher besonders achten.

Seite 1: Sicherheitstrainings und Sicherheitskultur


Seite 1 von 2 Nächste Seite >>


ln/André Schindler, General Manager EMEA bei NinjaOne

Tags

Ähnliche Beiträge

Sicherheit in Microsoft Azure (2)

Hybride Szenarien lassen sich je nach eingesetzter Technologie in der Cloud relativ schnell aufbauen. Dies ist etwa für Testszenarien interessant. Planen Sie aber, Teile Ihrer lokalen Infrastruktur dauerhaft auszulagern, sollten Sie die Sicherheit nicht aus den Augen verlieren. In der Cloud warten hier ganz neue Security-Aspekte – und das gleich auf verschiedenen Ebenen. Im zweiten Workshop-Teil schildern wir, wie Sie auf der Kommandozeile für den Security-Feinschliff sorgen und wie Sie den Azure-Login absichern.

Identity Access Management vs. Identity Governance and Administration

Die IT-Sicherheit differenziert zwischen Identity Access Management (IAM) und Identity Governance and Administration (IGA). Beide sind für Sicherheit und Compliance essenziell, aber in ihren Funktionen leicht verwechselbar. Wer IAM und IGA differenzieren kann, dem bereiten Authentifizierung, Berechtigungsmanagement und Cyberangriffe weitaus weniger Kopfzerbrechen. Der Fachbeitrag klärt, wie sich IGA und IAM unterscheiden und warum beide Konzepte komplementär zu betrachten sind.

Sicherheit in Microsoft Azure (1)

Hybride Szenarien lassen sich je nach eingesetzter Technologie in der Cloud relativ schnell aufbauen. Dies ist etwa für Testszenarien interessant. Planen Sie aber, Teile Ihrer lokalen Infrastruktur dauerhaft auszulagern, sollten Sie die Sicherheit nicht aus den Augen verlieren. In der Cloud warten hier ganz neue Security-Aspekte – und das gleich auf verschiedenen Ebenen. Im ersten Teil des Workshops gehen wir darauf ein, welche Rolle lokale Konten für die Cloudadministration spiele und wie Sie Ressourcenhierarchien und Vererbungen im Blick behalten.