Ganze 90% aller erfolgreichen Cyber-Angriffe beginnen mittlerweile mit Phishing. Für Unternehmen stellt sich nicht nur die Herausforderung, wie solche Angriffe auf technischem Level zu vereiteln sind, sondern auch, wie das Bewusstsein der Mitarbeiter gefördert werden kann.
Nachstehend sind einige Tipps, wie Sie Ihre Mitarbeiter darin schulen können, Phishing-Versuche zu erkennen und zu vermeiden:
-
- Klären Sie Ihre Mitarbeiter über Phishing auf: Erklären Sie zunächst, was Phishing ist und wie es funktioniert. Vergewissern Sie sich, dass sie verstehen, dass Phishing ein Versuch ist, sie dazu zu bringen, vertrauliche Informationen wie Passwörter oder Kreditkartennummern preiszugeben.
- Zeigen Sie Beispiele: Zeigen Sie Ihren Mitarbeitern Beispiele für Phishing-E-Mails, -SMS oder -Nachrichten in sozialen Medien. Erläutern Sie, worauf Sie achten müssen, z. B. auf verdächtige Links oder Anhänge, schlechte Rechtschreibung und Grammatik sowie die Aufforderung zur Angabe persönlicher Daten. Nur wenn Ihre Mitarbeiter sich vorstellen können, wie solche Nachrichten aussehen, können sie sich auch dementsprechend verhalten.
- Betonen Sie die Vorsicht bei E-Mail-Links und -Anhängen: Ermuntern Sie Ihre Mitarbeiter, bei E-Mail-Links und -Anhängen vorsichtig zu sein. Sie sollten nur auf Links klicken oder Anhänge aus vertrauenswürdigen Quellen herunterladen.
- Ermuntern Sie zur Meldung: Ermuntern Sie Ihre Mitarbeiter, verdächtige E-Mails oder Nachrichten sofort an die IT-Abteilung zu melden. Dies hilft, weitere Angriffe zu verhindern, und ermöglicht der IT-Abteilung, Nachforschungen anzustellen.
- Regelmässige Schulungen: Führen Sie regelmässig Schulungen durch, um Ihre Mitarbeiter auf dem Laufenden zu halten und sie über die neuesten Phishing-Techniken zu informieren.
- Verwenden Sie simulierte Phishing-Tests: Verwenden Sie ein simuliertes Phishing-Tool, um gefälschte Phishing-E-Mails an Ihre Mitarbeiter zu senden. So können Sie herausfinden, welche Mitarbeiter am anfälligsten für Phishing sind und die Effektivität Ihrer Schulungen messen. Das ist ein mächtiges Instrument, weswegen ich im nächsten Kapitel noch im Detail darauf eingehen möchte.
Phishing-Simulationen
Sogenannte Simulation-Phishing-Tests haben in den letzten Jahren an Beliebtheit gewonnen und sind für viele eine effektive Massnahme für die Sensibilisierung auf Phishing-Attacken. Diese Simulationen können wichtige Erkenntnisse über das Sicherheitsbewusstsein Ihres Unternehmens bringen und Ihnen vor Augen führen, welche Abteilungen oder Mitarbeiter empfänglich sind für solche Angriffe. Da die Informations-Sicherheit nicht nur der Job der IT ist, wird es immer entscheidender, eine einheitliche IT-Sicherheitspolitik sowie auch -kultur zu pflegen.
Mittlerweile hat sich ein grosser Markt aufgetan mit zahlreichen Lösungen, welche automatisierte Phishing-Simulationen anbieten. Wie bei vielen Software-Anwendungen lassen sich solche Simulations-Tools sowohl als On-Premise-Lösung oder auch vermehrt als SaaS-Lösung beziehen. Die National Institute of Standards and Technology (NIST) stellt wichtige Ressourcen für die CyberSecurity Ausbildung zusammen.
Die nachfolgende Zusammenstellung der NIST umfasst die folgenden Kategorien:
-
- Berufliche Weiterentwicklung für IT-Fachleute
- Ausbildung von IT-Lehrkräften
- Awareness Training für die Mitarbeitenden: Eine der besten Free-Optionen bietet mit Abstand das Wizer Security Awareness Package. Dieses bietet in der Free Version die folgenden Vorteile:
- Phishing Aufgabe, welche bewertet wird und vermittelt, wo die Schwachstellen liegen.
- Trainingskurse. Dieser Schulungskurs vermittelt die Grundlagen zu Phishing, Passwörtern, MFA, Ransomware.
Phishing-Simulation mit WIZER
Bevor mit der Phishing-Kampagne gestartet werden kann, sollten im Regelfall die IP’s vom Provider in der Whitelist aufgenommen werden, da ansonsten auch diese Mails von den E-Mail-Security-Lösungen abgefangen werden können.
Als nächstes muss der Kampagne-Typ definiert werden. In der Regel wird zwischen zweierlei unterschieden:
-
- One-Time Phishing: Manuelle Auswahl der Empfänger und Templates.
- Smart Phishing: Einsatz von verschiedenen Templates (dynamisch) und automatischer und zufälliger Versand der E-Mails.
Nachfolgend kann zwischen benutzerdefinierten oder auch bereitgestellten Templates selektiert werden:
Hier ist es wichtig, dass auch Templates verwendet werden, welche für eine gewisse Relevanz haben und ebenfalls einen Bezug zu Kommunikation sowie auch zur Firmen-Policy haben.
Nachdem das Template ausgewählt ist, können nun die Zielempfänger bestimmt werden. Bei Wizer sowie auch anderen ähnlichen Konkurrenz-Produkten ist es möglich, vorab Departments oder Gruppen zu definieren, um den Versand dieser Mails gestaffelt und auch punktuell zu versenden.
Nach Erstellung der Kampagne ist nun die Analyse im Backend und insbesondere die Auswertung der Kampagne im Fokus.
So sieht es für den User aus
Der erste Test liegt bei mir in der Box und kommt mit der klassischen LinkedIn-Benachrichtigung beim Erhalt von Nachrichten daher.
Beim Klick auf eine der beiden Links wird der User auf eine konfigurierte Landing-Page der Kampagne weitergeleitet. Üblicherweise gibt es in der Landing-Page Hinweise und Training-Links oder Videos, welche angezeigt werden.
So sieht es für den Admin aus
Als Administrator erhalten Sie nun eine Zusammenfassung im Backend, welche es Ihnen ermöglicht, über die Kampagnen ein Fazit zu ziehen, um daraus die Weichen für ein effektives Cyber-Security-Training und Awareness-Kurse zu stellen.
Somit sind solche Simulationen nicht nur präventive, sondern auch korrektive Massnahmen zur Stärkung der Wachsamkeit gegenüber Phishing.
Immer mehr Angreifer greifen mithilfe von Social Engineering direkt Mitarbeiter an und somit sind regelmässige Schulungen, Training und mitunter auch Simulationen eine gute Strategie, damit die User auch im Ernstfall richtig handeln.
Quellenverzeichnis
Wizer-Training (2023). Abgerufen am 04.03.2023 von admin.wizer-training.com/phishing/create/new?isList=false&isSmartPhishing=true&order=desc&orderBy=modifiedDate&searchText=
Mr. Robot
Mr. Robot ist Security Engineer bei AVANTEC. Seine IT-Interessen sind Firewalls und Angriffsvektoren. Seine Freizeit verbringt er am liebsten mit Wandern, Lesen und Sport treiben.