Phis­hing-E-Mails: Awa­re­ness Trai­nings sind immer noch ein wich­ti­ger Bestand­teil in der Sicher­heits­kul­tur eines Unternehmens

Spam-E-Mails sind ein lei­di­ger all­täg­li­cher Büro­be­glei­ter, den es zu besei­ti­gen gilt. Zum Glück sind unsere E‑Mail-Pro­gramme mitt­ler­weile so gut dar­auf pro­gram­miert, dass sie diese direkt als Spam erken­nen und in dem Ord­ner auch lan­den. Jedoch wur­den einige For­men der Spam-E-Mails in den letz­ten Jah­ren per­fek­tio­niert, sodass sie als sol­che nicht mehr leicht zu erken­nen sind. Eine Form davon sind Phishing-E-Mails.

Was sind Phishing-E-Mails?

Phis­hing ist eine Form der Betrugs­ma­sche, bei der mit­hilfe von gefälsch­ten Web­sites, SMS, Tele­fon und E‑Mails sich jemand als ver­trau­ens­wür­di­ger Kon­takt aus­gibt. Ziel bei sol­chen Phis­hing-E-Mails sind zum Bei­spiel an sen­si­ble Daten des Benut­zers bzw. Unter­neh­mens her­an­zu­kom­men, um an Kon­to­in­for­ma­tio­nen zu gelan­gen oder auch Iden­ti­täts­dieb­stahl zu begehen.

Bei der Phis­hing-Methode ist der Fak­tor „Mensch“ der Schlüs­sel zum Betrugs­tor. Mit einem Klick lau­fen Nutzer:innen in die Gefahr sich einen Tro­ja­ner, Bots oder Ran­som­ware ein­zu­fan­gen. Die Schad­soft­ware wird anschlie­ßend dafür genutzt, um an hoch­sen­si­ble Infor­ma­tio­nen her­an­zu­kom­men, die zu einem wirt­schaft­li­chen Scha­den füh­ren kön­nen. Wir raten aus dem Grund Unter­neh­men, Ihre Mitarbeiter:innen dar­auf zu schu­len, Phis­hing-E-Mails zu erken­nen, denn die Tricks sind in den letz­ten Jah­ren aus­ge­feilt wor­den. Frü­her lie­ßen sich sol­che E‑Mails anhand von auf­fäl­li­gen Tipp­feh­lern, selt­sa­men Umlau­ten, Hex­codes und vie­lem mehr erkennen.

Doch wie schaf­fen es noch heute Cyber­kri­mi­nelle erfolg­reich mit Phis­hing-E-Mails zu sein?

Über die Jahre hin­weg haben sich Cyber­kri­mi­nelle ein Reper­toire an mög­li­chen Tak­ti­ken über­legt, die sie zum Ziel füh­ren. Dazu gehören:

  • Gefälschte Absen­der­infor­ma­tio­nen wie IDs, Domä­nen und Telefonnummern
  • Absen­der­kon­ten, in die sich Cyber­kri­mi­nelle ein­ge­hackt haben und damit für Nutzer:innen kaum erkennbar
  • Ver­trauen erwe­cken durch detail­lier­tes Wis­sen, das Cyber­kri­mi­nelle aus den sozia­len Medien recher­chie­ren konnten
  • Angst- oder Druck­ge­fühl aus­lö­sen, sodass eine Ent­schei­dung aus Affekt gefällt wird
  • Links, die zur Schad­soft­ware füh­ren sol­len, wer­den oft­mals ver­kürzt oder hin­ter But­tons dar­ge­stellt, um das Ziel zu verbergen
  • Web­sites und Anmel­de­por­tale wer­den mitt­ler­weile so erstellt, dass sie für Nut­zer: innen als legi­tim betrach­tet werden

Für Unter­neh­men kann das, wie bereits erwähnt, zu wirt­schaft­li­chen Schä­den füh­ren, die sich in einem Mil­lio­nen­be­trag befin­den kön­nen. Dabei sind betrü­ge­ri­sche E‑Mails keine Sel­ten­heit. Laut dem ESET Threat Report T1 2022 sind betrü­ge­ri­sche E‑Mails von Januar bis April 2022 um knapp 37 % häu­fi­ger vor­ge­kom­men als im Zeit­raum Sep­tem­ber bis Dezem­ber 2021. Grund für den Anstieg in die­sem Zeit­raum lag über­wie­gend an den mas­sen­haf­ten E‑Mai-Kam­pa­gnen des berüch­tig­ten Emo­tet, die sich auf bös­ar­tige Micro­soft Word-Doku­mente stützen.

Phis­hing Awa­re­ness Training

Bei die­ser stei­gen­den Anzahl an betrü­ge­ri­schen E‑Mails soll­ten sich Unter­neh­men die Zeit neh­men und sich um ein Phis­hing Awa­re­ness Trai­ning für die Mitarbeiter:innen küm­mern. Damit Sie vor allen Phis­hing Metho­den gewapp­net sind, soll­ten das Trai­ning einige Kri­te­rien erfül­len, um einen lang­fris­ti­gen Erfolg im Unter­neh­men zu vermerken:

Inhalt­li­che Anforderung:

  • Es soll­ten alle Phis­hing-Kanäle abge­deckt wer­den (E‑Mail, Tele­fon, SMS, soziale Medien, usw.)
  • Bestimmte Mit­ar­bei­ter­rol­len benö­ti­gen per­so­na­li­sierte Lek­tio­nen, die auf sie spe­zia­li­siert sind. So sollte das Finanz­team zusätz­lich über BEC-Angriffe (CEO-Fraud) infor­miert und geschult werden
  • Nach voll­ende­ter Schu­lung soll­ten Ana­ly­sen zur per­sön­li­chen Leis­tung mit­ge­ge­ben wer­den, sodass an den Schwach­stel­len wei­ter­ge­ar­bei­tet wer­den, kann

Auf­ma­chung:

Die Lek­tion soll­ten kurz­wei­lig sein und kein Angst­ge­fühl vor Phis­hing-Angrif­fen aus­lö­sen, son­dern eine posi­tive Ver­stär­kung liefern

  • Rea­li­täts- und pra­xis­be­zo­gene Simu­la­ti­ons­übun­gen hel­fen zur Verdeutlichung
  • Gami­fi­ca­tion, Work­shops und Quiz­spiele lösen das Gefühl von „ITler:innen belehrt zu wer­den“ ab
  • DIY-Phis­hing-Übun­gen: Einige Unter­neh­men arbei­ten mit der Übung, dass Mitarbeiter:innen selbst Phis­hing-E-Mails erstel­len sol­len, um ein Gefühl dafür zu bekom­men, wie diese funktionieren

Unter­neh­mens­sei­tig:

  • Alle Mitarbeiter:innen, die ein Unter­neh­mens­konto und Netz­werk­zu­gang besit­zen, müs­sen an dem Trai­ning neh­men, ein­schließ­lich Zeit­ar­bei­ter: innen, Auf­trag­neh­mer: innen und lei­tende Angestellte
  • Die Schu­lun­gen soll­ten kon­ti­nu­ier­lich über das ganze Jahr hin­weg statt­fin­den, mit kur­zen, ver­ständ­li­chen Lek­tio­nen in einer Länge von 15 Minuten

Mit dem rich­ti­gen Trai­nings­pro­gramm för­dern Sie nicht nur die Awa­re­ness für betrü­ge­ri­sche E‑Mails, son­dern auch die Sicher­heits­kul­tur in Ihrem Unter­neh­men. Dabei sollte es für die Mitarbeiter:innen die Mög­lich­keit geben, mög­li­che Phis­hing-Angriffe an die IT-Abtei­lung mel­den zu können.

Jedoch sind Phis­hing Awa­re­ness Trai­ning nur ein Teil einer Cyber­se­cu­rity-Stra­te­gie. Zusätz­lich dazu soll­ten Unter­neh­men auf Schutz­tech­no­lo­gien auf Arbeits­ge­rä­ten set­zen, um die Gefahr von betrü­ge­ri­schen E‑Mails zu reduzieren.