von Redaktion IT-A…
Lesezeit
2 Minuten
Seite 2 - Leitfaden gegen akute Phishing-Bedrohungen
Aufklärung durch konkrete Beispiele
Spoofing, Phishing, Whaling, Smishing – die Betrügereien werden immer kreativer und ausgeklügelter. Derzeit steigt etwa die Anzahl der Betrugsanrufe, die scheinbar von offiziellen Polizeibehörden wie Interpol, Europol oder dem BKA getätigt wurden.
Je mehr Mitarbeiter über die verschiedenen Arten von Phishing-Attacken wissen, desto besser ist das Verständnis dafür, auch gut umgesetzte Phishing-Versuche zu erkennen. IT-Verantwortliche sollten die verschiedenen Phishing-Arten in ihre Sicherheitsschulung aufnehmen und vor allem mit konkreten Beispielen darstellen. Einige Unternehmen setzen sogar auf interne Spam-Testmails, die nach den gleichen Prinzipien wie ein Angriff vorgehen, mit dem Ziel, die Mitarbeiter sensibilisieren, statt Schaden anzurichten. Gängige Aufforderungen, die als Einfallstor für Cyberangriffe dienen und über die somit aufgeklärt werden sollte, sind zum Beispiel:
Ob nun bei Angriffen auf hochkarätige Opfer wie dem C-Level (Whaling) oder andere Kommunikationskanäle wie etwa über SMS (Smishing): In vielen Fällen setzen die Angreifer auf sozialen Druck. Beispielsweise erhalten neue Mitarbeiter in den ersten Wochen ihrer neuen Tätigkeit eine vermeintliche Anfrage einer Führungskraft. Auch werden Emotionen und Empathie gerne genutzt, um das Opfer dazu zu bringen, die bekannten Sicherheitsmaßnahmen zu umgehen. Die Hintergrundinformationen sammeln Cyberkriminelle etwa über Social-Media-Kanäle oder Onlineaktivitäten, die im Netz aufzufinden sind. Solche Informationen machen die Phishing-Attacken noch authentischer und personalisierter.
Daher gilt es, für alle Mitarbeiter Unternehmensrichtlinien aufzustellen. Prozesse zu dringenden Geldtransfers, Passwortweitergabe oder Mitteilungen des CEO müssen gemeinsam besprochen und ein zuverlässiger Workflow definiert werden. Wann ist es erlaubt, eine Überweisung anzustoßen? Was darf das Management von den Mitarbeitern anfordern und welche Anfrage darf niemals bearbeitet werden? Hier sollte auch die Führungsebene eine Sensibilisierung erfahren, dass solch ein Leitfaden definiert wurde und für alle Mitarbeiter gilt.
Maßnahmen für sichere E-Mail-Kommunikation
Selbstverständlich existieren auch technische Tools, um für etwas mehr Sicherheit bei der E-Mail-Kommunikation zu sorgen. Als Standard empfiehlt das BSI eine Kombination aus SPF, DKIM und DMARC – standardisierte Absenderreputationsverfahren. Das Sender-Policy-Framework (SPF) ist eine der gängigen Verfahren, das nicht autorisierte Absender durch die E-Mail-Adressen beziehungsweise Domains erkennt. IT-Teams können für Server Berechtigungen im SPF-Verzeichnis hinterlegen. Beim Eingang einer Mail wird vorher mittels eines Abgleichs der Mailserver überprüft, von dem die eingehende Mail stammt.
Bei der DomainKeys Identified Mail (DKIM) kann der Mail-Empfänger überprüfen, ob eine E-Mail, die scheinbar von einer bestimmten Domäne kommt, tatsächlich vom Eigentümer dieser Domain autorisiert wurde. Dies lässt sich über eine digitale Signatur bei jeder ausgehenden E-Mail realisieren, die mit dem Domain-Namen verknüpft ist.
Die Domain-based Message Authentication, Reporting and Conformance (DMARC) ist das dritte standardisierte Authentifizierungsverfahren, das die E-Mail-Absender prüft. Das Protokoll basiert auf SPF und DKIM und kann nach der vorangestellten SPF- und/oder DKIM-Authentifizierung der zuzustellenden Mail gegebenenfalls Maßnahmen ergreifen. Mit einem DMARC-Eintrag lassen sich zusätzliche Empfehlungen definieren, wie der Empfänger eine nicht regelkonforme E-Mail behandeln soll. E-Mails können bei Verdacht etwa in Quarantäne gestellt oder zurückgewiesen werden. Externe IT-Dienstleister und -Sicherheitsexperten wie Managed Service Provider sind meist darauf spezialisiert, solche gängigen Standards zu überprüfen und sauber aufzusetzen.
Zwar sind technische Hilfsmittel ein wesentlicher Bestandteil der Cybersicherheitsstrategie und bei gut betreuten Unternehmen auch häufig bereits implementiert, doch finden Cyberkriminelle immer wieder neue Methoden, um die technischen Sicherheitsmechanismen zu überlisten.
Fazit
Eine effektive Cybersicherheitsstrategie im Unternehmen muss sich auf die Schulung der Mitarbeiter konzentrieren, denn der Faktor Mensch wird stärker denn je als Einfallstor ausgenutzt. Hierfür ist es unabdingbar, dass IT-Verantwortliche sich dem Thema der Sensibilisierung annehmen. Technische Abwehrhilfen sind ebenfalls unerlässlich, doch zeigen die meisten Vorfälle, dass die IT-Teams sich nicht ausschließlich auf die Technologie verlassen können. Nur wenn eine resiliente Sicherheitskultur im Unternehmen etabliert ist, lässt sich das Risiko einer Kompromittierung durch immer häufiger auftretende Phishing-Attacken reduzieren.
Seite 1: Sicherheitstrainings und Sicherheitskultur
Seite 2: Maßnahmen für sichere E-Mail-Kommunikation
ln/André Schindler, General Manager EMEA bei NinjaOne
Spoofing, Phishing, Whaling, Smishing – die Betrügereien werden immer kreativer und ausgeklügelter. Derzeit steigt etwa die Anzahl der Betrugsanrufe, die scheinbar von offiziellen Polizeibehörden wie Interpol, Europol oder dem BKA getätigt wurden.
Je mehr Mitarbeiter über die verschiedenen Arten von Phishing-Attacken wissen, desto besser ist das Verständnis dafür, auch gut umgesetzte Phishing-Versuche zu erkennen. IT-Verantwortliche sollten die verschiedenen Phishing-Arten in ihre Sicherheitsschulung aufnehmen und vor allem mit konkreten Beispielen darstellen. Einige Unternehmen setzen sogar auf interne Spam-Testmails, die nach den gleichen Prinzipien wie ein Angriff vorgehen, mit dem Ziel, die Mitarbeiter sensibilisieren, statt Schaden anzurichten. Gängige Aufforderungen, die als Einfallstor für Cyberangriffe dienen und über die somit aufgeklärt werden sollte, sind zum Beispiel:
- Hinweise auf verdächtige Aktivitäten mit der Bitte, sich einzuloggen
- Hinweise auf Probleme mit dem Konto oder den hinterlegen Zahlungsinformationen, mit der Bitte, diese zu aktualisieren,
- eine gefälschte Rechnung zu begleichen,
- für eine vermeintliche Rückerstattung oder Gutschein die Kontodaten oder ähnliches anzugeben.
Ob nun bei Angriffen auf hochkarätige Opfer wie dem C-Level (Whaling) oder andere Kommunikationskanäle wie etwa über SMS (Smishing): In vielen Fällen setzen die Angreifer auf sozialen Druck. Beispielsweise erhalten neue Mitarbeiter in den ersten Wochen ihrer neuen Tätigkeit eine vermeintliche Anfrage einer Führungskraft. Auch werden Emotionen und Empathie gerne genutzt, um das Opfer dazu zu bringen, die bekannten Sicherheitsmaßnahmen zu umgehen. Die Hintergrundinformationen sammeln Cyberkriminelle etwa über Social-Media-Kanäle oder Onlineaktivitäten, die im Netz aufzufinden sind. Solche Informationen machen die Phishing-Attacken noch authentischer und personalisierter.
Daher gilt es, für alle Mitarbeiter Unternehmensrichtlinien aufzustellen. Prozesse zu dringenden Geldtransfers, Passwortweitergabe oder Mitteilungen des CEO müssen gemeinsam besprochen und ein zuverlässiger Workflow definiert werden. Wann ist es erlaubt, eine Überweisung anzustoßen? Was darf das Management von den Mitarbeitern anfordern und welche Anfrage darf niemals bearbeitet werden? Hier sollte auch die Führungsebene eine Sensibilisierung erfahren, dass solch ein Leitfaden definiert wurde und für alle Mitarbeiter gilt.
Maßnahmen für sichere E-Mail-Kommunikation
Selbstverständlich existieren auch technische Tools, um für etwas mehr Sicherheit bei der E-Mail-Kommunikation zu sorgen. Als Standard empfiehlt das BSI eine Kombination aus SPF, DKIM und DMARC – standardisierte Absenderreputationsverfahren. Das Sender-Policy-Framework (SPF) ist eine der gängigen Verfahren, das nicht autorisierte Absender durch die E-Mail-Adressen beziehungsweise Domains erkennt. IT-Teams können für Server Berechtigungen im SPF-Verzeichnis hinterlegen. Beim Eingang einer Mail wird vorher mittels eines Abgleichs der Mailserver überprüft, von dem die eingehende Mail stammt.
Bei der DomainKeys Identified Mail (DKIM) kann der Mail-Empfänger überprüfen, ob eine E-Mail, die scheinbar von einer bestimmten Domäne kommt, tatsächlich vom Eigentümer dieser Domain autorisiert wurde. Dies lässt sich über eine digitale Signatur bei jeder ausgehenden E-Mail realisieren, die mit dem Domain-Namen verknüpft ist.
Die Domain-based Message Authentication, Reporting and Conformance (DMARC) ist das dritte standardisierte Authentifizierungsverfahren, das die E-Mail-Absender prüft. Das Protokoll basiert auf SPF und DKIM und kann nach der vorangestellten SPF- und/oder DKIM-Authentifizierung der zuzustellenden Mail gegebenenfalls Maßnahmen ergreifen. Mit einem DMARC-Eintrag lassen sich zusätzliche Empfehlungen definieren, wie der Empfänger eine nicht regelkonforme E-Mail behandeln soll. E-Mails können bei Verdacht etwa in Quarantäne gestellt oder zurückgewiesen werden. Externe IT-Dienstleister und -Sicherheitsexperten wie Managed Service Provider sind meist darauf spezialisiert, solche gängigen Standards zu überprüfen und sauber aufzusetzen.
Zwar sind technische Hilfsmittel ein wesentlicher Bestandteil der Cybersicherheitsstrategie und bei gut betreuten Unternehmen auch häufig bereits implementiert, doch finden Cyberkriminelle immer wieder neue Methoden, um die technischen Sicherheitsmechanismen zu überlisten.
Fazit
Eine effektive Cybersicherheitsstrategie im Unternehmen muss sich auf die Schulung der Mitarbeiter konzentrieren, denn der Faktor Mensch wird stärker denn je als Einfallstor ausgenutzt. Hierfür ist es unabdingbar, dass IT-Verantwortliche sich dem Thema der Sensibilisierung annehmen. Technische Abwehrhilfen sind ebenfalls unerlässlich, doch zeigen die meisten Vorfälle, dass die IT-Teams sich nicht ausschließlich auf die Technologie verlassen können. Nur wenn eine resiliente Sicherheitskultur im Unternehmen etabliert ist, lässt sich das Risiko einer Kompromittierung durch immer häufiger auftretende Phishing-Attacken reduzieren.
Seite 2: Maßnahmen für sichere E-Mail-Kommunikation
| << Vorherige Seite | Seite 2 von 2 |
ln/André Schindler, General Manager EMEA bei NinjaOne
