Phishing-E-Mails: Awareness Trainings sind immer noch ein wichtiger Bestandteil in der Sicherheitskultur eines Unternehmens
Spam-E-Mails sind ein leidiger alltäglicher Bürobegleiter, den es zu beseitigen gilt. Zum Glück sind unsere E-Mail-Programme mittlerweile so gut darauf programmiert, dass sie diese direkt als Spam erkennen und in dem Ordner auch landen. Jedoch wurden einige Formen der Spam-E-Mails in den letzten Jahren perfektioniert, sodass sie als solche nicht mehr leicht zu erkennen sind. Eine Form davon sind Phishing-E-Mails.
Was sind Phishing-E-Mails?
Phishing ist eine Form der Betrugsmasche, bei der mithilfe von gefälschten Websites, SMS, Telefon und E-Mails sich jemand als vertrauenswürdiger Kontakt ausgibt. Ziel bei solchen Phishing-E-Mails sind zum Beispiel an sensible Daten des Benutzers bzw. Unternehmens heranzukommen, um an Kontoinformationen zu gelangen oder auch Identitätsdiebstahl zu begehen.
Bei der Phishing-Methode ist der Faktor „Mensch“ der Schlüssel zum Betrugstor. Mit einem Klick laufen Nutzer:innen in die Gefahr sich einen Trojaner, Bots oder Ransomware einzufangen. Die Schadsoftware wird anschließend dafür genutzt, um an hochsensible Informationen heranzukommen, die zu einem wirtschaftlichen Schaden führen können. Wir raten aus dem Grund Unternehmen, Ihre Mitarbeiter:innen darauf zu schulen, Phishing-E-Mails zu erkennen, denn die Tricks sind in den letzten Jahren ausgefeilt worden. Früher ließen sich solche E-Mails anhand von auffälligen Tippfehlern, seltsamen Umlauten, Hexcodes und vielem mehr erkennen.
Doch wie schaffen es noch heute Cyberkriminelle erfolgreich mit Phishing-E-Mails zu sein?
Über die Jahre hinweg haben sich Cyberkriminelle ein Repertoire an möglichen Taktiken überlegt, die sie zum Ziel führen. Dazu gehören:
- Gefälschte Absenderinformationen wie IDs, Domänen und Telefonnummern
- Absenderkonten, in die sich Cyberkriminelle eingehackt haben und damit für Nutzer:innen kaum erkennbar
- Vertrauen erwecken durch detailliertes Wissen, das Cyberkriminelle aus den sozialen Medien recherchieren konnten
- Angst- oder Druckgefühl auslösen, sodass eine Entscheidung aus Affekt gefällt wird
- Links, die zur Schadsoftware führen sollen, werden oftmals verkürzt oder hinter Buttons dargestellt, um das Ziel zu verbergen
- Websites und Anmeldeportale werden mittlerweile so erstellt, dass sie für Nutzer: innen als legitim betrachtet werden
Für Unternehmen kann das, wie bereits erwähnt, zu wirtschaftlichen Schäden führen, die sich in einem Millionenbetrag befinden können. Dabei sind betrügerische E-Mails keine Seltenheit. Laut dem ESET Threat Report T1 2022 sind betrügerische E-Mails von Januar bis April 2022 um knapp 37 % häufiger vorgekommen als im Zeitraum September bis Dezember 2021. Grund für den Anstieg in diesem Zeitraum lag überwiegend an den massenhaften E-Mai-Kampagnen des berüchtigten Emotet, die sich auf bösartige Microsoft Word-Dokumente stützen.
Phishing Awareness Training
Bei dieser steigenden Anzahl an betrügerischen E-Mails sollten sich Unternehmen die Zeit nehmen und sich um ein Phishing Awareness Training für die Mitarbeiter:innen kümmern. Damit Sie vor allen Phishing Methoden gewappnet sind, sollten das Training einige Kriterien erfüllen, um einen langfristigen Erfolg im Unternehmen zu vermerken:
Inhaltliche Anforderung:
- Es sollten alle Phishing-Kanäle abgedeckt werden (E-Mail, Telefon, SMS, soziale Medien, usw.)
- Bestimmte Mitarbeiterrollen benötigen personalisierte Lektionen, die auf sie spezialisiert sind. So sollte das Finanzteam zusätzlich über BEC-Angriffe (CEO-Fraud) informiert und geschult werden
- Nach vollendeter Schulung sollten Analysen zur persönlichen Leistung mitgegeben werden, sodass an den Schwachstellen weitergearbeitet werden, kann
Aufmachung:
Die Lektion sollten kurzweilig sein und kein Angstgefühl vor Phishing-Angriffen auslösen, sondern eine positive Verstärkung liefern
- Realitäts- und praxisbezogene Simulationsübungen helfen zur Verdeutlichung
- Gamification, Workshops und Quizspiele lösen das Gefühl von „ITler:innen belehrt zu werden“ ab
- DIY-Phishing-Übungen: Einige Unternehmen arbeiten mit der Übung, dass Mitarbeiter:innen selbst Phishing-E-Mails erstellen sollen, um ein Gefühl dafür zu bekommen, wie diese funktionieren
Unternehmensseitig:
- Alle Mitarbeiter:innen, die ein Unternehmenskonto und Netzwerkzugang besitzen, müssen an dem Training nehmen, einschließlich Zeitarbeiter: innen, Auftragnehmer: innen und leitende Angestellte
- Die Schulungen sollten kontinuierlich über das ganze Jahr hinweg stattfinden, mit kurzen, verständlichen Lektionen in einer Länge von 15 Minuten
Mit dem richtigen Trainingsprogramm fördern Sie nicht nur die Awareness für betrügerische E-Mails, sondern auch die Sicherheitskultur in Ihrem Unternehmen. Dabei sollte es für die Mitarbeiter:innen die Möglichkeit geben, mögliche Phishing-Angriffe an die IT-Abteilung melden zu können.
Jedoch sind Phishing Awareness Training nur ein Teil einer Cybersecurity-Strategie. Zusätzlich dazu sollten Unternehmen auf Schutztechnologien auf Arbeitsgeräten setzen, um die Gefahr von betrügerischen E-Mails zu reduzieren.