Melden Sie sich zu unserem Newsletter an!
Lust auf interessante Themen und spannende Beiträge rund um IT und IT-Sicherheit? Abonnieren Sie unseren monatlichen Newsletter!
Jetzt anmelden!© Kenny Eliason, Unsplash
Zuletzt aktualisiert: 02. März 2023
Phishing-Angriffe gehören zu den häufigsten Methoden, mit denen Kriminelle in die Netzwerke von Unternehmen eindringen. In der Regel zielen sie dabei auf die Mitarbeiterinnen und Mitarbeiter ab, um sensible Informationen zu stehlen oder Schadsoftware zu verbreiten. Meist geschieht das durch gefälschte Nachrichten, die Mitarbeitende dazu bringen sollen, die E-Mail zu öffnen, Links anzuklicken, Informationen anzugeben oder Dateianhänge herunterzuladen.
Die Erfahrung zeigt, dass die meisten Sicherheitsverletzungen durch Unwissenheit oder mangelnde Sensibilität der Mitarbeitenden erfolgen. Daher ist es unerlässlich, dass Unternehmen ihre Mitarbeitenden für Phishing sensibilisieren, um das Risiko von Datenschutzverletzungen, Datenverlust und IT-Sicherheitsvorfällen erheblich zu reduzieren.
Im Folgenden finden Sie einige Tipps, die Ihnen dabei helfen können.
Schulungen durchführen
Eine der besten Methoden, um Mitarbeitende für Phishing-Angriffe zu sensibilisieren, sind Schulungen. Diese können in Form von Workshops oder Online-Trainings durchgeführt werden und sollten regelmäßig stattfinden. In den Schulungen können die Mitarbeitenden lernen, wie sie Phishing-E-Mails erkennen und auf verdächtige Links oder Anhänge in E-Mails verzichten.
Die Inhalte sollten den Anforderungen der jeweiligen Zielgruppe angepasst werden. Je mehr Rechte und Zugang die Mitarbeitenden haben, desto umfangreicher muss die Schulung sein.
Praxisorientiertes Begleitmaterial einsetzen
Einmal geschult und fertig. So leicht ist es leider nicht. Damit Verhaltensweisen zur Praxis werden, müssen sie regelmäßig eingeübt werden. Daher sollten Unternehmen ihre Mitarbeitenden nicht nur einmalig schulen, sondern regelmäßig sensibilisieren. Das kann durch Begleitmaterial erfolgen. Hier bieten sich beispielweise Lernvideos, Selbsttests oder kreativ gestaltete und themenbezogene E-Mails an.
Wichtig ist, dass Mitarbeitende sowohl in Schulungen als auch bei weiteren Sensibilisierungsmaßnahmen praxisbezogene Tipps erhalten. Zwar ist es auch wichtig, dass Mitarbeitende verstehen, wie Phishing funktioniert und welche Risiken damit einhergehen. Mit Theorie allein können sie aber nicht viel anfangen. Daher sollten die angebotenen Maßnahmen möglichst konkret und praxisorientiert sein. Dazu gehört beispielsweise, wie sich Mitarbeitende am Arbeitsplatz verhalten sollen, wo sie Informationen finden und an wen sie sich bei Fragen wenden können.
Phishing-Situationen simulieren
Eine weitere Möglichkeit, Mitarbeitende für Phishing-Angriffe zu sensibilisieren, sind Phishing-Simulationen. Dabei werden den Mitarbeitenden gezielt gefälschte E-Mails mit verdächtigen Links oder Anhängen zugesandt. Werden diese angeklickt oder geöffnet, erhalten die Mitarbeitenden eine Warnmeldung und werden über das Risiko aufgeklärt. Phishing-Simulationen können dazu beitragen, das Bewusstsein der Mitarbeitenden zu schärfen und sie für die Gefahren zu sensibilisieren.
Die Wirkung derartiger Simulationen ist allerdings umstritten. Das Karlsruher Institut für Technologie beispielsweise befürchtet, dass sich das Schutzniveau dadurch senken könnte und das Vertrauensverhältnis zwischen Mitarbeitenden und Führungskräften beeinflusst wird. Das Institut empfiehlt daher, zunächst Zeit und Geld in die Verbesserung der technischen Maßnahmen und geeignete Awareness-Maßnahmen zu investieren.
Melde- und Rückfrageprozess verbessern
Gerade bei Spear-Phishing-Attacken ist es wichtig, dass Phishing-Nachrichten gemeldet werden. Bei dieser Variante des Phishings werden nämlich nicht massenhaft E-Mails verschickt. Die Nachrichten beschränken sich auf eine kleine Gruppe oder einzelne Mitarbeitende. Durch vorausgegangene Recherche sind die Nachrichten spezifisch auf die Mitarbeitenden zugeschnitten, was die Trefferquote deutlich erhöht.
Um derartige Angriffe frühzeitig zu erkennen, sollten Mitarbeitende Phishing-Nachrichten – besonders, wenn sie gut gemacht sind – melden und eine Stelle für Rückfragen haben. Dafür müssen sie allerdings genau wissen, an wen sie sich in welchen Fällen wenden müssen und wie die Prozesse funktionieren. Genau das sollten Unternehmen definieren und Melde- und Rückfrageprozesse etablieren. Diese sollten dabei möglichst niedrigschwellig sein, damit sie gut angenommen werden.
Richtlinien für E-Mail-Nutzung und Passwörter erstellen
Zusätzlich sollten Unternehmen klare Richtlinien für die Nutzung von E-Mails und Passwörtern erstellen und diese regelmäßig kommunizieren. Die Mitarbeitenden sollten darüber informiert werden, welche E-Mails als verdächtig gelten und wie sichere Passwörter aussehen. Eine klare Kommunikation und Schulung der Mitarbeitenden können dazu beitragen, dass sie sich bewusster im Umgang mit E-Mails und Passwörtern verhalten.
Fazit
Phishing-Angriffe stellen eine ernsthafte Bedrohung für Unternehmen dar. Denn: Phishing ist eine der häufigsten Methoden, mit der Hacker:innen versuchen, an sensible Informationen zu gelangen.
Die meisten Sicherheitsverletzungen sind auf mangelnde Sensibilität der Mitarbeitenden zurückzuführen. Bekanntlich ist eine Kette nur so stark wie ihr schwächstes Glied. Daher ist es unerlässlich, dass Unternehmen eine umfassende Sensibilisierungskampagne durchführen, um das Bewusstsein der Mitarbeitenden für Phishing zu schärfen. Eine erfolgreiche Sensibilisierungskampagne sollte regelmäßig wiederholt werden, praktische Hinweise geben und das Management sollte mit gutem Beispiel vorangehen.
Schulungen, Begleitmaßnahmen und klare Richtlinien für die Nutzung von E-Mails und Passwörtern können dazu beitragen, dass die Mitarbeitenden sich bewusster im Umgang mit verdächtigen E-Mails verhalten und das Risiko von Angriffen minimieren.
Quellen
Bundesamt für Sicherheit in der Informationstechnik (o. J.): „Social Engineering – der Mensch als Schwachstelle“, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Social-Engineering/social-engineering_node.html, letzter Zugriff am 28. Februar 2023.
Karlsruher Institut für Technologie (2020): „Phishing-Kampagnen zur Mitarbeiter-Awareness: Analyse aus verschiedenen Blickwinkeln: Security, Recht und Faktor Mensch“, 20. Mai 2020, https://publikationen.bibliothek.kit.edu/1000119662, letzter Zugriff am 28. Februar 2023.