Hochentwickelte Phishing-Angriffe gefährden die Sicherheit von Unternehmen
(c) Kluva
Cyber-Angriffe werden in unserer modernen Welt immer raffinierter. Nach wie vor zielen viele von ihnen aber auf den schwächsten Punkt in der Sicherheitskette: den menschlichen Benutzer. Ziel des Phishings ist es, die betroffene Person dazu zu bringen, persönliche Daten preiszugeben oder schadhafte Software auszuführen. Mit immer schwieriger zu erkennenden Tricks gelangen die Kriminellen dabei an Bankdaten und andere sensible Informationen. Der folgende Artikel zeigt, warum Phishing per Mail leider nach wie vor funktioniert und wie Einzelpersonen und Unternehmen sich dagegen schützen können.
Phishing kann jeden einzelnen Mitarbeiter zur Sicherheitslücke für Firmen machen
Ein einziger unachtsamer Klick oder die Eingabe von Daten auf der falschen Website kann im schlimmsten Fall die gesamte Sicherheits-Infrastruktur eines Unternehmens gefährden. Daher ist es wichtig, die Mitarbeiter entsprechend zu schulen.
Immer mehr Unternehmen greifen zu diesem Zweck auf eine professionelle Phishing Simulation zurück. Dabei erhalten die Mitarbeiter simulierte Phishing-Mails und müssen vermeiden auf potenziell böshafte Links in E-Mails oder schadhafte Anhänge zu klicken und diesen vermeindlichen Angriff im besten Fall sogar intern melden. So werden die Mitarbeiter auf eine sehr effektive Weise geschult, nicht auf Phishing hereinzufallen.
Im Anschluss an die Simulations-Phase erfolgt eine detaillierte Auswertung der Ergebnisse. So können Unternehmen das vorhandene Risiko korrekt einschätzen und gegebenenfalls weitere Schulungen durchführen und andere Maßnahmen ergreifen.
Die meisten Phishing-Angriffe erfolgen per E-Mail
Über 90% aller Cyberangriffe beginnen mit einer E-Mail. Die Betrüger täuschen beim Phishing vor, dass die Mail von einem vertrauenswürdigen Absender wie beispielsweise einer Bank, von Amazon oder von PayPal stammt.
Der Benutzer wird aufgefordert, seine Daten einzugeben oder einen schadhaften Anhang zu öffnen. So können Betrogene beispielsweise denken, dass sie sich in ihr Konto einloggen. In Wirklichkeit gehen die eingegebenen Daten aber direkt an den Angreifer. Dieser kann mit den Daten dann auf Konten zugreifen, für die er eigentlich gar keine Berechtigung hat.
Phishing-Mails und -Seiten wirken teilweise täuschend echt
Wird ein Internetnutzer per Phishing-Mail aufgefordert, sich beispielsweise in sein PayPal-Konto einzuloggen, so erfolgt meist durch den Klick auf den enthaltenen Link eine Weiterleitung zu einer Seite, die wirkt, als ob es die Original-PayPal-Seite wäre. In Wirklichkeit handelt es sich aber um eine Seite der Betrüger, so dass diese alle eingegebenen Daten auslesen können.
Mittels KI sind sogar Video- und Audio-Fälschungen möglich, die so wirken, als ob sie von einer anderen Person stammen. Hat ein Phishing-Angreifer es gezielt auf ein bestimmtes Unternehmen abgesehen, wäre es beispielsweise möglich, die Stimme des Chefs täuschend echt zu simulieren.
Daten ausschließlich auf vertrauenswürdigen Websites eingeben
Um sich vor Phishing zu schützen, sollten Seiten für Online-Banking und andere Konten immer direkt über den Browser und niemals über einen Link aufgerufen werden. Nur so ist sichergestellt, dass es sich wirklich um die Originalseite handelt. Seriöse Anbieter nutzen zudem verschlüsselte Verbindungen, damit Unbefugte nicht an wichtige Kundendaten gelangen können. Beim kleinsten Zweifel an der Echtheit einer Mail gilt: lieber beim Absender nachfragen, als einmal zu oft vertrauen.
Wann eine Phishing-Schulung sinnvoll ist
Phishing ist ein Sicherheitsproblem, das sich niemals vollständig verhindern lassen wird. Es ist für Firmen aber möglich, die eigenen Mitarbeiter so gut zu schulen, dass diese kaum noch gefährdet sind, auf die Betrugsmasche hereinzufallen. Eine solche Schulung sollte nicht erst stattfinden, wenn der Schaden bereits entstanden ist. Eine gute Prävention ist wesentlich mehr wert und kann hohe Verluste und einen immensen Organisationsaufwand verhindern.