2018-01-26 07:10:38

Aus Fehlern lernen – mit Security-Awareness-Kampagnen

Aus Schaden wird man klug. Wer einmal einer Hackerattacke zum Opfer gefallen ist, ist sensibilisiert für mögliche Gefahren. Aber muss dafür denn erst der Ernstfall eintreten?

Mathias Hein

Die Blue Frost Security GmbH zeigt unter anderem mit simulierten Phishing-Attacken im Rahmen von Security-Awareness-Kampagnen Sicherheitsrisiken in Unternehmen auf. Wie reagieren Mitarbeiter auf Nachrichten, denen sie besser nicht vertrauen sollten? Lassen sie Vorsicht walten oder klicken sie auf manipulierte Links? Blue Frost Security deckt in Unternehmen auf, wo Handlungs- bzw. Schulungsbedarf besteht und gibt Tipps, wie Mitarbeiter Phishing-Mails erkennen.

Hacker und Datendiebe haben Hochkonjunktur. Im Zuge des Digitalen Wandels werden die Angriffsflächen größer und die Strategien immer raffinierter. Oftmals wird dabei der Faktor Mensch als Sicherheitslücke ausgenutzt. Die Blue Frost Security GmbH führt daher Mitarbeitersensibilisierung im Auftrag von Unternehmen durch. „Eine sehr wirksame Methode ist eine Phishing-Kampagne. Denn Schulungen in Form von Power Point-Präsentationen werden niemals so verinnerlicht wie eine persönliche Erfahrung“, erklärt Kristina Restrepo, Regional Sales Manager bei der Blue Frost Security GmbH. 

Zunächst eruieren die Experten von Blue Frost Security, ob im Unternehmen jemals Awareness-Maßnahmen getroffen wurden. Wenn ja, kann eine Phishing-Kampagne folgen, die überprüft, ob das Erlernte verinnerlicht wurde. Gab es noch keine derartigen Maßnahmen, überprüfen die Spezialisten den Status-quo, d.h. wie sensibilisiert die Mitarbeiter hinsichtlich der Sicherheitsrisiken aktuell sind. Nach ein paar Monaten kann eine Vorher-Nachher-Aktion zur Validierung gestartet werden.

Phishing-Mails werden immer professioneller

Eine simulierte Phishing-Mail kann einfach oder schwierig erkennbar gestaltet sein. „In den meisten Fällen reichen gut, aber einfach konzipierte E-Mails aus. Dies kann beispielsweise eine vorgetäuschte Nachricht des Postanbieters oder eines bekannten Versandhändlers sein. In die E-Mail bauen wir bewusst typische Fehler ein, um zu testen, ob der Empfänger sie erkennt. Phishing-Mails werden jedoch immer raffinierter und sind für den Laien kaum noch zu erkennen – umso mehr gilt es, auf kleine Hinweise zu achten“, erklärt Kristina Restrepo.

10 Hinweise, wie man eine Phishing-Mail erkennt: 

  1. Es wird nach vertraulichen Daten (Passwörter, Kontodaten o.Ä.) gefragt
  2. Grammatikalische oder orthografische Fehler 
  3. Das Logo ist unscharf oder abgewandelt
  4. Es ist gar kein Logo vorhanden
  5. Die Absender-E-Mail-Adresse enthält ungewöhnliche Buchstabenkombinationen oder unübliche Bestandteile
  6. Die angegebenen Links wirken auf den ersten Blick echt, enthalten auf den zweiten jedoch ungewöhnliche oder falsch geschriebene Bestandteile 
  7. Man erhält eine Benachrichtigung an die Firmen-E-Mail-Adresse, hat diese aber nicht zu Online-Shoppingzwecken o.Ä. verwendet
  8. Hinweise auf Änderung der Abrechnungssysteme oder Software-Updates bei Online-Kaufhäusern oder Bankabfragen von sensiblen Daten sind ein Warnsignal.
  9. Die Mail verwendet eine nicht-personalisierte Anrede
  10. Hinweise auf dringenden Handlungsbedarf oder Einhaltung von Fristen sind verdächtig 

Wie geht Blue Frost Security vor?

In Absprache mit dem Unternehmen kreiert Blue Frost Security eine E-Mail, die diese oder ähnliche Phishing-Merkmale enthält. Nach einem Testlauf wird sie an die Mitarbeiter versandt. Der Vorgang und die Auswertung sind anonymisiert. Klickt ein Mitarbeiter auf einen manipulierten Link, ein Bild oder ähnliches, wird dies registriert, jedoch nicht die Person. Ziel ist es, einen Überblick zu erhalten, wie viele Mitarbeiter tatsächlich in die Phishing-Falle tappen. Um die Anfälligkeit für Phishing-Attacken abteilungsspezifisch zu untersuchen, können die Mitarbeiter in relevante Gruppen wie z.B. Management, Verwaltung oder Lager unterteilt werden (eine Gruppe muss aus mindestens 10 Personen bestehen). 

Wenn der Mitarbeiter auf einen Link geklickt hat, gibt es die Möglichkeit, dass er auf eine Landingpage weitergeleitet wird. Hier kann er dann z.B. eine Art Schulung oder Tipps, woran man Phishing-Mails erkennt, erhalten. Die Landingpage könnte alternativ auch anhand eines Formulars, das zum Ausfüllen einlädt, prüfen, wie viele der Mitarbeiter sensible Informationen eingeben. 

„Unsere Erfahrung zeigt, dass ca. 70 Prozent der Mitarbeiter, die bisher keine Security-Awareness-Erfahrungen haben, auf die Phishing-Mail hereinfallen. Der Prozentsatz der Mitarbeiter, die Erfahrungen damit haben, liegt jedoch dennoch zwischen 50 und 70 Prozent. Denn der Mensch ist naturgegeben neugierig. Nur regelmäßige Kampagnen können sukzessive sensibilisieren“, erklärt Kristina Restrepo und ergänzt: „Und unsere Tests haben unterschiedliche Schwierigkeitsgrade. Sie reichen von der Standard-Postbenachrichtigung bis hin zu Nachrichten aus der Geschäftsführung zur nächsten Weihnachtsfeier oder Ähnliches. Wer diese erkennt, ist nah am Ziel, keiner Attacke mehr zum Opfer zu fallen.“

Druckversion