Sponsored Post
Die drei größten Irrtümer beim Thema Phishing

Phishing wird bei kriminellen Hackern immer beliebter. Grund genug, mit den Irrtümern aufzuräumen, die rund um das Thema kursieren. Warum Spam-Filter und Larifari-Schulungen nicht reichen.


Anzeige
© iStock

Laut einer aktuellen Studie der bitkom hacken Cyberkriminelle immer seltener IT-Systeme, um an Unternehmensdaten zu kommen. Stattdessen konzentrieren sie sich auf den Menschen als Einfallstor. Mit gravierenden Folgen: 70 Prozent der erfolgreichen Cyberangriffe auf den deutschen Mittelstand fanden über Phishing ihren Weg ins System.

Dafür gibt es sicher viele Gründe. Als besonderes problematisch gelten aber diese drei Irrtümer zum Thema:

Nicht alle Mitarbeiter müssen ihre Daten schützen

In vielen Unternehmen werden nur ausgewählte Mitarbeiter zum Thema Datenschutz und IT-Sicherheit geschult. Zum Beispiel Führungskräfte und Verkaufsmitarbeiter, die mit Kundendaten oder strategischen Unternehmensdaten arbeiten.

Bei anderen Mitarbeitern bleibt das Thema Phishing, Cyber Security und Co. außen vor. Dabei sollten alle Mitarbeiter wissen, worauf sie achten müssen.

Denn wenn es darum geht, ein gutes Schlupfloch zu finden, kann ein krimineller Hacker jeden anvisieren. Jeder einzelne Mitarbeiter kann ihm einen ersten Schritt in die IT-Systeme verschaffen. Wenn er einmal drin ist, lernt er Infrastruktur und Hierarchien kennen. Und hat dann die perfekte Grundlage für den gezielten Phishing-Angriff.

Nur Anhänge von bekannten Kontakten öffnen

Mitarbeitern wird oft dazu geraten, nur Anhänge von Kontakten zu öffnen, die sie kennen. Als Anti-Phishing-Lösung reicht dieser Tipp allerdings nicht aus. Denn gute Phishing-Mails stammen nicht mehr vom Prinzen, der händeringend jemanden sucht, dem er seine Millionen vererben kann.

Sie stammen von der vermeintlichen Kollegin aus der Buchhaltung, die darum bittet, die Kontodaten des Kunden noch einmal zu bestätigen. Oder dem IT-Administrator, der das Passwort benötigt, um den Zugang zum Intranet zu prüfen.

Dieser Beitrag stammt von:

Social Engineering nennt sich diese Methode. Ziel ist es, den Mitarbeiter dazu zu bewegen, vertrauliche Daten preiszugeben. Hierfür schlüpft der kriminelle Hacker in eine neue Persönlichkeit oder nutzt andere Täuschungsmethoden.

Viele Unternehmen gehen mit Spam-Filtern gegen diese Taktik vor. Doch sie reichen nicht aus. Was mich zum letzten Irrtum bringt:

Ein Spam-Filter reicht gegen Phishing aus

Ein Spam-Filter soll Angreifer daran hindern, überhaupt zum Mitarbeiter vorzudringen. Er scannt die Absender-Adresse und den Inhalt der E-Mail nach vordefinierten Regeln – und lässt nur solche Nachrichten durch, die den Kriterien entsprechen. Das funktioniert in den meisten Fällen auch gut.

Aber die Regelabhängigkeit birgt auch Probleme: Gute Phishing Mails lassen sich immer seltener durch Rechtschreibfehler oder seltsame Absender-Adressen erkennen. Sie sind einwandfrei geschrieben und authentisch. Oft ist nur durch genaues Hinsehen erkennbar, dass etwas nicht stimmt. IT-Mitarbeiter müssen somit immer kompliziertere Regeln für den E-Mail-Filter schreiben.

Zusätzlich werden Filter häufig von Betrügern überlistet. Wenn sie sehen, dass ihre Nachrichten nicht mehr beim Empfänger ankommen, passen sie sie einfach an. Was dagegen hilft?

Entweder, der IT-Verantwortliche stellt den Spam-Filter so streng ein, dass so gut wie keine Nachricht durchkommt. Auch nicht solche von seriösen Kontakten.

Oder der Mitarbeiter wird zum Anti-Phishing-Tool. Denn wenn er in Security Awareness geschult wird, weiß er, worauf er bei Phishing-Mails achten muss.

IT-Sicherheit fängt beim Mitarbeiter an

Security Awareness setzt da an, wo technische Sicherheitsmaßen scheitern: Phishing, Social Engineering und Human Hacking. All das sind Methoden, die den Mitarbeiter als Schwachstelle ausnutzen. Deshalb ist es heutzutage besonders wichtig, Mitarbeiter mithilfe von Security Awareness Trainings zu schulen. Und zwar jeden einzelnen.

So räumen IT-Verantwortliche mit Irrtümern auf. Und sorgen dafür, dass Phishing-Betrüger beim nächsten Angriff vor die Wand fahren.

Sponsored Post ist ein vom Werbekunden gesponserter Gastbeitrag. Dieser wird als solcher gekennzeichnet. Der Sponsored Post eignet sich zur Vorstellung von Unternehmen und Produkten und kann Produktabbildungen, Links und Produktbeschreibungen enthalten.

 

Laut einer aktuellen Studie der bitkom hacken Cyberkriminelle immer seltener IT-Systeme, um an Unternehmensdaten zu kommen. Stattdessen konzentrieren sie sich auf den Menschen als Einfallstor. Mit gravierenden Folgen: 70 Prozent der erfolgreichen Cyberangriffe auf den deutschen Mittelstand fanden über Phishing ihren Weg ins System. Dafür gibt es sicher viele Gründe. Als besonderes problematisch gelten aber diese drei Irrtümer zum Thema: Nicht alle Mitarbeiter müssen ihre Daten schützen In vielen Unternehmen werden nur ausgewählte Mitarbeiter zum Thema Datenschutz und IT-Sicherheit geschult. Zum Beispiel Führungskräfte und Verkaufsmitarbeiter, die mit Kundendaten oder strategischen Unternehmensdaten arbeiten. Bei anderen Mitarbeitern bleibt das Thema Phishing, Cyber Security und Co. außen vor. Dabei sollten alle Mitarbeiter wissen, worauf sie achten müssen. Denn wenn es darum geht, ein gutes Schlupfloch zu finden, kann ein krimineller Hacker jeden anvisieren. Jeder einzelne Mitarbeiter kann ihm einen ersten Schritt in die IT-Systeme verschaffen. Wenn er einmal drin ist, lernt er Infrastruktur und Hierarchien kennen. Und hat dann die perfekte Grundlage für den gezielten Phishing-Angriff. Nur Anhänge von bekannten Kontakten öffnen Mitarbeitern wird oft dazu geraten, nur Anhänge von Kontakten zu öffnen, die sie kennen. Als Anti-Phishing-Lösung reicht dieser Tipp allerdings nicht aus. Denn gute Phishing-Mails stammen nicht mehr vom Prinzen, der händeringend jemanden sucht, dem er seine Millionen vererben kann. Sie stammen von der vermeintlichen Kollegin aus der Buchhaltung, die darum bittet, die Kontodaten des Kunden noch einmal zu bestätigen. Oder dem IT-Administrator, der das Passwort benötigt, um den Zugang zum Intranet zu prüfen. Social Engineering nennt sich diese Methode. Ziel ist es, den Mitarbeiter dazu zu bewegen, vertrauliche Daten preiszugeben. Hierfür schlüpft der kriminelle Hacker in eine neue Persönlichkeit oder nutzt andere Täuschungsmethoden. Viele Unternehmen gehen mit Spam-Filtern gegen diese Taktik vor. Doch sie reichen nicht aus. Was mich zum letzten Irrtum bringt: Ein Spam-Filter reicht gegen Phishing aus Ein Spam-Filter soll Angreifer daran hindern, überhaupt zum Mitarbeiter vorzudringen. Er scannt die Absender-Adresse und den Inhalt der E-Mail nach vordefinierten Regeln – und lässt nur solche Nachrichten durch, die den Kriterien entsprechen. Das funktioniert in den meisten Fällen auch gut. Aber die Regelabhängigkeit birgt auch Probleme: Gute Phishing Mails lassen sich immer seltener durch Rechtschreibfehler oder seltsame Absender-Adressen erkennen. Sie sind einwandfrei geschrieben und authentisch. Oft ist nur durch genaues Hinsehen erkennbar, dass etwas nicht stimmt. IT-Mitarbeiter müssen somit immer kompliziertere Regeln für den E-Mail-Filter schreiben. Zusätzlich werden Filter häufig von Betrügern überlistet. Wenn sie sehen, dass ihre Nachrichten nicht mehr beim Empfänger ankommen, passen sie sie einfach an. Was dagegen hilft? Entweder, der IT-Verantwortliche stellt den Spam-Filter so streng ein, dass so gut wie keine Nachricht durchkommt. Auch nicht solche von seriösen Kontakten. Oder der Mitarbeiter wird zum Anti-Phishing-Tool. Denn wenn er in Security Awareness geschult wird, weiß er, worauf er bei Phishing-Mails achten muss. IT-Sicherheit fängt beim Mitarbeiter an Security Awareness setzt da an, wo technische Sicherheitsmaßen scheitern: Phishing, Social Engineering und Human Hacking. All das sind Methoden, die den Mitarbeiter als Schwachstelle ausnutzen. Deshalb ist es heutzutage besonders wichtig, Mitarbeiter mithilfe von Security Awareness Trainings zu schulen. Und zwar jeden einzelnen. So räumen IT-Verantwortliche mit Irrtümern auf. Und sorgen dafür, dass Phishing-Betrüger beim nächsten Angriff vor die Wand fahren. Sponsored Post ist ein vom Werbekunden gesponserter Gastbeitrag. Dieser wird als solcher gekennzeichnet. Der Sponsored Post eignet sich zur Vorstellung von Unternehmen und Produkten und kann Produktabbildungen, Links und Produktbeschreibungen enthalten.