5 Wege, um Sicherheitsbedrohungen durch E-Mail-Phishing zu vermeiden

5 Wege, um Sicherheitsbedrohungen durch E-Mail-Phishing zu vermeiden

Am 24. Mai 2016 entließ der Aufsichtsrat des österreichischen Flugzeugkomponentenherstellers FACC seinen CEO Walter Stephan.

Die Entscheidung dazu fiel, nachdem Stephan zum Opfer des wohl bekanntesten Cyberbetrugs der Neuzeit wurde.

In einem als „Fake President Incident“ bekannten Phishing-Betrug schrieben Kriminelle eine Hoax-E-Mail an einen Angestellten, die scheinbar von Stephan kam, der daraufhin Geld für ein vorgetäuschtes Akquisitionsprojekt auf ein Konto überwies.

Obwohl ein Teil der Verluste zurückerlangt werden konnte, stahlen die Hacker ursprünglich um die 50 Millionen Euro und fügten FACC im Geschäftsjahr 2015/16 einen Betriebsverlust von 23,4 Millionen Euro zu. Das Geld verschwand auf Konten in Asien und China und riss einen großen Teil des Aktienwerts des Unternehmens mit sich.

Lesen Sie weiter, um mehr zu den folgenden Themen zu erfahren:

  • Die Gefahr durch Phishing für die Geschäftswelt
  • Fünf Wege, um Sicherheitsbedrohungen durch Phishing zu vermeiden

Die Gefahr durch Phishing für die Geschäftswelt

Phishing ist bei Cyber-Kriminellen beliebt und Stephans Fall demonstriert, dass große Unternehmen nicht gegen diese subtile, höchst verdeckte Form des Betrugs immun sind.

Es wird vermutet, dass im Jahr 2013 ein Phishing (oder Whaling) Angriff hinter einem riesigen Datenleck stand, das 110 Millionen Menschen in den USA betraf. Die Sicherheitslücke führte dazu, dass Target, der drittgrößte Händler in den USA, hunderte Millionen Dollar verlor und sowohl sein CEO als auch sein CIO entlassen wurden.

Fünf Wege, um Sicherheitsbedrohungen durch Phishing-E-Mails zu vermeiden

Mitarbeiterschulung

Führende Mitarbeiter von Target wurden aufgrund von Anschuldigungen, dass Computersicherheit nicht ernst genug genommen wurde, entlassen. Dies deutet auf Mängel in der Firmenkultur hin, die wiederum mit der Schulung von Mitarbeitern zur stets vorhandenen Gefahr von Cyber-Betrug und dessen gängigster Angriffsart, dem Phishing, zusammenhängen.

Untersuchungen durch Gartner belegen, dass 84 % der „kostspieligsten Sicherheitsverletzungen durch Mitarbeiter entstehen, die vertrauliche Daten außerhalb des Unternehmens verschicken“. Ganz gleich, welche Software-Maßnahmen gelten, einzelne Mitarbeiter können die Datensicherheit des Unternehmens durch E-Mails kompromittieren, wenn die Kultur am Arbeitsplatz nicht angemessen ist.

Während die meisten von uns schlecht geschriebene Phishing-Attacken schnell erkennen, so gibt es doch auch solche, die professionell gemacht sind und verborgenen Code bereits beim Öffnen der E-Mail ausführen.

Durch ein wirksames Sicherheitsschulungsprogramm können Unternehmen ein Bewusstsein für Cyber-Gefahren entwickeln und ein Verhalten fördern, das die digitale Gesundheit des Unternehmens stets an erster Stelle hat.

Erfolgt das Training online, so klicken sich Mitarbeiter oft rasch durch die Inhalte und die Wirkung der Botschaft hält sich in Grenzen. Wird die Schulung durch einen Lehrer vermittelt, der sich einer Reihe verschiedener Techniken bedient und Diskussionen fördert, so ist es wesentlich wahrscheinlicher, dass Mitarbeiter die Kernbotschaft und Praktiken annehmen.

Anti-Phishing-Technologie

Es gibt viele technologische Vorgehensweisen, um Phishing-Attacken zu bekämpfen. Bei einigen werden versuchsweise Phishing-E-Mails an Mitarbeiter des Unternehmens verschickt, um Daten an dessen Sicherheitsexperten zu liefern, die Informationen dazu bieten, wie wirksam Anti-Phishing Schulungsprogramme sind.

Wombat hilft Großunternehmen bei der Vermeidung einer „tickenden Zeitbombe“, indem es mittels Tools zur Sicherheitsbewertung Wissenslücken bei Mitarbeitern identifiziert und Bereiche stärkt, die bei Angriffen potenzielle Schwachstellen darstellen.

Durch Wombats CyberStrength können Schwachstellen an Mobilgeräten, Apps, Datenverwaltung und physischer Sicherheit identifiziert und ein Gesamtplan erstellt werden, wie die Richtlinien und Vorgehensweisen innerhalb des Unternehmens optimiert werden können.

Der Sicherheitsdienst Mimecast erhöht weltweit die Sicherheit geschäftlicher E-Mails und Daten für seine Klienten und Kunden, indem er Cloud-basierte Sicherheit und ein umfassendes Risikomanagement der nächsten Generation für E-Mails anbietet.

Als Teil seines Schutzes gegen Bedrohungen bietet Mimecast Verteidigung gegen Whaling-Attacken und CEO-Betrug, URL-Schutz gegen Speer-Phishing E-Mails mit böswilligen Weblinks und Attachment-Schutz gegen Anhänge, die als Waffe eingesetzt werden. Diese Dateien enthalten Skripte, die bei Ausführung am Rechner des ahnungslosen Mitarbeiters, der die Trojaner-E-Mail öffnet, Malware starten können.

Bringen Sie Ihr eigenes Gerät

Mitarbeiter können Unternehmensnetzwerke Risiken aussetzen, wenn der Zugriff über private Geräte oder über unsichere Verbindungen an abgelegenen Standorten erfolgt. 

Unternehmen sollten mobile Sicherheitssoftware an Benutzergeräten installieren, die Apps scannen und diese Benutzer am Zugriff auf Unternehmensnetzwerke hindern, wenn diese nicht für sicher gehalten werden.

Als Teil einer jeden Mitarbeiterschulung sollten Benutzer daran erinnert werden, dass die Verwendung von nicht vom Unternehmen kontrollierten WLAN-Netzwerken ein Sicherheitsrisiko darstellen kann. Benutzer mobiler Geräte sollten über virtuelle private Netzwerke (VPNs) mit Diensten verbunden sein, die Secure Domain Name System (DNS) und Blacklisting bereitstellen, die wiederum den Zugriff auf Phishing Sites verhindern.

Diese Vorgehensweisen sollten durch Praktiken unterstützt werden, die es ermöglichen, Phishing-Attacken einfach an IT weiterzuleiten, sodass diese gefiltert und der Blacklist hinzugefügt werden können.

Bedrohungen identifizieren

Die Möglichkeit, dass Trojaner für Backdoor-Angriffe zum Einsatz kommen macht es erforderlich, dass Betriebssysteme stets auf dem aktuellsten Stand sind, was Sicherheits-Patches betrifft.

Jedoch halten Firewalls und Patches Benutzer oft nicht davon ab, ihre Daten auf einer gefälschten Website einzugeben (außer sie besitzen eine URL-Reputationsfunktion, die darauf prüft).

Technologie zur Authentifizierung von Absendern wie Sender Policy Framework (SPF) ermöglicht Unternehmen bestimmten Servern zu gestatten, E-Mails im Namen des Unternehmens zu senden. Dadurch kann jede E-Mail, die vorgibt von einem bestimmten Unternehmen zu kommen, jedoch nicht von einem genehmigten Server versandt wurde, abgelehnt werden.

Ein sorgsam angelegter SPF-Eintrag verringert die Wahrscheinlichkeit, dass Ihr Domänenname manipuliert und Ihre Nachrichten als Spam gekennzeichnet und vom Mailserver eines Empfängers abgelehnt werden.

DMARC, DKIM und Sender ID sind weitere Beispiele für E-Mail-Validierungssysteme, die Schichten zur E-Mail-Verifizierung hinzufügen und helfen, authentische Absender zu identifizieren und zu prüfen, ob der Ursprung der E-Mail legitim ist.

Mehrschichtige Vorgehensweise

Es existiert kein Patentrezept gegen Cyberkriminalität, eine Realität, die es erforderlich macht, dass Unternehmen eine mehrschichtige Vorgehensweise anwenden, die sicherstellt, dass das Thema stets ganz oben auf der Agenda verbleibt.

Ergänzt durch fortlaufende Mitarbeiterschulungen, sollte diese Vorgehensweise bei Unternehmensvermögen und Konten mit starker Benutzerauthentifizierung beginnen, die mehrere Benutzer-IDs und Passwörter für den Zugriff auf Konten erfordern.

Betrugserkennung und Überwachung vertraulicher Anwendungen können auf diesen Maßnahmen aufbauen. Diese funktionieren durch Vergleich von Benutzer- und Kontenaktivitäten zur kontinuierlichen Aktualisierung von Profilen um „normales Verhalten“ festzulegen.

Schlussfolgerung

Der Schutz von Firmenteams gegen Datenverletzungen und andere Cyber-Attacken ist entscheidend für den Profit ganzer Organisationen. E-Mail-Konten verwalten täglich eine solche Menge an Informationen, dass ein Leck in den meisten Fällen zum betreffenden Posteingang und Postausgang zurückverfolgt werden kann.

Wirksame Sicherheitsmaßnahmen und -kulturen sind daher entscheidend für das Überleben in einer sich stets weiterentwickelnden Online-Welt.

Insights for Professionals bietet kostenlos Zugang zu brandaktuellen vordenkerischen Ideen globaler Marken. Wir liefern unseren Abonnenten einen Mehrwert, indem wir spezifische Inhalte für erfahrene Fachkräfte schaffen und zusammentragen. Um weitere IT-Inhalte anzuzeigen, hier klicken.

Insights for Professionals