Phishing ist eine der am häufigsten verwendeten Angriffsstrategien, bei der Verbraucher in die Irre geführt werden. Phishing kann mittels Textnachricht (SMS oder Sofortnachrichten-App), sozialer Medien oder Telefon erfolgen, am häufigsten laufen die Angriffen jedoch per E-Mail ab. Phishing-E-Mails können problemlos an Millionen von Benutzern gleichzeitig geschickt werden und gehen in den vielen seriösen Nachrichten unter, welche die Postfächer von Verbrauchern überschwemmen. Möglicherweise werden bei einem erfolgreichen Angriff Malware installiert, Daten gestohlen und ganze Systeme zerstört.
Phishing-E-Mails können Unternehmen jeder Größe und in allen Branchen betreffen. Der Angriff kann Teil eines größeren, globalen Plans oder aber der Auftakt zu einer gezielten, raffinierten Attacke auf Ihr Unternehmen sein, um beispielsweise sensible Unternehmensinformationen zu entwenden.
Zahlen zum Phishing
Der Bericht ENISA Threat Landscape 2022 betont, dass „Phishing erneut der gängigste Vektor für den Erstangriff ist. Zu diesem Anstieg trugen Fortschritte bei Phishing-Methoden, die Nachlässigkeit der Benutzer und gezieltes, kontext-basiertes Phishing bei.“
Der Verizon Data Breach Investigations Report gibt an, dass 96 % der Phishing-Kampagnen per E-Mail verschickt werden. Cisco fand heraus, dass in ungefähr 86% der Unternehmen mindestens eine Person schon einmal auf einen Phishing-Scam hereingefallen ist. Dieselbe Studie von Cisco ergab, dass Phishing-Angriffe im Monat Dezember um 52 % ansteigen. Außerdem sei Phishing besonders über die Weihnachtsfeiertage dominant.
Anmeldedaten, persönliche Daten und gesundheitliche Informationen sind die drei Datenkategorien, die bei Phishing-Versuchen meist gestohlen werden. Phishing wird damit zum zweitteuersten Grund für Datenlecks und pro Vorfall entstehen Unternehmen durchschnittlich Kosten von 4,65 Millionen USD. Und „Business Email Compromise“ (BEC) ist darunter der häufigste. Diese Art des Datenlecks kostet Firmen im Schnitt 5,01 Millionen USD.
Gegen Phishing verteidigen
In der Praxis ist es häufig so, dass die einzige Verteidigungsstrategie für Phishing wachsame Mitarbeiter sind, welche die gefälschten E-Mails erkennen. Der Erfolg dieser Taktik ist jedoch bestenfalls mittelmäßig. Stattdessen könnten Sie Ihre Verteidigung mit weiteren technischen Vorkehrungen verstärken. Eine bessere Verteidigungsstrategie für Phishing-Angriffe ist möglich, ohne dass die Produktivität Ihrer Benutzer darunter leidet.
Das britische „National Cyber Security Centre“ (NCSC) empfiehlt gegen Phishing eine Vorgehensweise mit mehreren Ebenen:
1. Ebene: Den Angreifern den Weg in das Postfach der Mitarbeiter erschweren.
- Implementieren Sie Anti-Spoofing-Kontrollen wie die Registrierung der Unternehmensangaben bei DMARC.
- Filtern oder blockieren Sie eingehende Phishing-E-Mails mit einer dezidierten E-Mail-Sicherheitslösung, die von Intelligenz in Echtzeit unterstützt wird.
2. Ebene: Unterstützen Sie Anwender bei der Identifikation und beim Melden verdächtiger Phishing-E-Mails.
- Schulen Sie Ihre Mitarbeiter in der Identifizierung von Phishing-E-Mails.
- Unterstützen Sie die Mitarbeiter beim Erkennen von Prozessen, die nachgeahmt und ausgenutzt werden könnten.
- Schaffen Sie ein Umfeld, in dem Mitarbeiter schnell Hilfe erfragen können.
3. Ebene: Schützen Sie das Unternehmen vor möglichen Schäden durch unerkannte Phishing-E-Mails.
- Schützen Sie Konten durch Phishing-resistente Multi-Faktor-Authentifizierung.
- Schützen Sie Mitarbeiter vor dem Zugriff auf schädliche Webseiten.
- Schützen Sie Geräte vor Malware.
4. Ebene: Reagieren Sie schnell auf Vorfälle
- Definieren Sie einen Reaktionsplan auf Vorfälle und trainieren Sie diesen häufig.
- Halten Sie Mitarbeiter dazu an, verdächtige Aktivitäten zu melden.
Diese Schritte sind unabdingbar, weil sie – wie vom NSCS bewiesen – die möglichen Auswirkungen eines erfolgreichen Phishing-Angriffs eindämmen können.
Dabei gilt es zu bedenken, dass selbst in Unternehmen mit einer E-Mail-Sicherheitslösung 50 E-Mails nicht erkannt werden und in den Posteingängen der Mitarbeiter landeten. Daher ist es sehr wichtig, die zweite Verteidigungsmauer – den Menschen – zu stärken.
Ihre Mitarbeiter beim Erkennen von Phishing unterstützen
Häufig wird die Rolle der Schulung Ihrer Mitarbeiter, häufig durch Phishing-Simulationen, überbetont, wenn es um die Verteidigung gegen Phishing geht. Ihre Mitarbeiter können Lücken in der Cybersicherheit nicht ausgleichen. In der modernen Arbeitswelt gehört es dazu, auf E-Mails zu reagieren und Links anzuklicken. Daher kann man von Einzelpersonen nicht erwarten, ständig auf der Hut zu sein.
Das Erkennen von Phishing-E-Mails ist nicht einfach, und Spear-Phishing ist noch schwieriger. Betonen Sie das von Anfang an und verlassen Sie sich nicht darauf, dass die Mitarbeiter immer alles erkennen. Bestrafen Sie eine Person niemals dafür, dass sie eine Phishing-E-Mail nicht erkennen kann. Das ist aus mehreren Gründen nicht empfehlenswert. Fürchten sich Mitarbeiter vor Konsequenzen, melden sie Fehler selten oder gar nicht.
Ihr Personal sollte geschult werden, zukünftige Vorfälle zu melden, und sicher sein, dass sie um Hilfe bitten können, wenn ihnen etwas auffällt. Alle Abteilungen, auch die Personalabteilung, IT-Support und das Management, müssen diese Botschaft unterstützen.
Außerdem sollten Sie sicherstellen, dass alle Mitarbeiter, insbesondere die in für Phishing anfälligen Abteilungen, die Gefahren des Phishings kennen. Miterbeiter, die auf sensible Informationen zugreifen, Finanzmittel verwalten oder IT-Systeme ausführen, sind für Angreifer interessanter und könnten zum Ziel für raffiniertes Spear-Phishing werden. Abteilungen mit Kundenkontakt erhalten wahrscheinlich enorme Mengen nicht angeforderter E-Mails. Sorgen Sie dafür, dass diese Mitarbeiter die Gefahren kennen und besonderes Training sowie Unterstützung erhalten.
Schließlich ist es auch wichtig, eine Kultur zu schaffen, in der Ihre Mitarbeiter Phishing-Versuche melden können, auch wenn sie darauf geklickt haben. Aus diesen Berichten erhalten Sie wesentliche Informationen zu den Arten der eingesetzten Phishing-Angriffen. Außerdem können Sie etwas darüber erfahren, welche Arten von E-Mails mit Phishing verwechselt werden und wie sich das möglicherweise auf Ihre Organisation auswirkt.
Es kann schwer sein, Phishing-E-Mails zu erkennen, aber es ist nicht unmöglich. Laden Sie unser Whitepaper „Die Rolle der E-Mail-Sicherheit“ herunter, um mehr über das Risiko ungeschützter E-Mails zu erfahren und – viel wichtiger – was Sie dagegen tun können.