Mindset – Skillset – Toolset: Mit diesem Dreiklang können Unternehmen eine nachhaltige Sicherheitskultur zur Abwehr von Spear-Phishing-Angriffen etablieren. Ziel sollte eine grundlegende Verhaltensänderung der Mitarbeiter sein.
IT-Sicherheitstechnik leistet viel, aber nicht alles. Zwar gelingt es den IT-Abteilungen, täglich Millionen an Spear-Phishing-Attacken zu stoppen. Trotzdem schaffen es etliche betrügerische E-Mails immer wieder, in den Posteingang von Mitarbeitern zu gelangen. Als Vorgesetzte, Kollegen oder Geschäftspartner getarnt, verleiten die Cyberkriminellen ihre Opfer zur Preisgabe vertraulicher Informationen, zu Klicks auf schädliche Links und Dateianhänge oder zu Überweisungen auf falsche Konten. Um es den Angreifern künftig schwer zu machen, sollten die Unternehmen eine IT-Sicherheitskultur entwickeln, die auf den Dreiklang „Mindset – Skillset – Toolset“ setzt.
Mindset: Sensibilisierung für Phishing-Gefahren
„Die IT-Abteilung wird’s schon richten!“ Leider ist diese Denkweise unter Mitarbeitern weit verbreitet, aber gerade bei Spear-Phishing-Angriffen höchstgefährlich – da hier der Mensch die größte Schwachstelle bildet. Daher sollten die Unternehmen ihre Mitarbeiter schleunigst zum Umdenken und zum vorsichtigen Umgang mit eingehenden E-Mails motivieren. Zum Auftakt empfehlen sich gezielte Informationskampagnen, die vom Management angestoßen und von den Führungskräften und IT-Sicherheitsverantwortlichen mitgetragen werden.
Dabei gilt es, die Mitarbeiter für die wachsende Bedrohungslage durch Spear-Phishing-Kriminalität zu sensibilisieren – am besten anhand von konkreten Zahlen und Fakten sowie von bekannt gewordenen Sicherheitsvorfällen in der eigenen Branche. So gingen allein dem deutschen Automobilzulieferer Leoni 2016 rund 40 Millionen Euro verloren, als ein Mitarbeiter einer E-Mail von einem angeblichen Vorstandsmitglied auf den Leim ging und diese Summe gutgläubig auf ein falsches Konto überwies.
Im nächsten Schritt sollten die Unternehmen an die Eigenverantwortung und Selbstwirksamkeit der Mitarbeiter appellieren. Die Beschäftigten müssen verinnerlichen, wie wichtig ihre Rolle als menschliche Firewall gegen die wachsende Spear-Phishing-Kriminalität ist. Sie müssen verstehen, dass es durchaus in ihrer Hand liegt, den Angreifern die Tour zu vermasseln. Um eine möglichst große Schlagkraft zu entwickeln, sollten die Informationskampagnen verschiedene Kanäle bespielen und im Rahmen von Team-Meetings, Videos und Rundmails kommuniziert werden. Ziel muss es sein, die Mitarbeiter positiv auf die Security Awareness Trainings einzustimmen.
Skillset: Stärkung schneller Entscheidungen
Diese Awareness Trainings sind besonders wirksam, wenn sie theoretische und praktische Wissensvermittlung kombinieren. So sind Präsenzschulungen, E-Learnings und Webinare je nach Unternehmensgröße und Teilnehmerkreis ideal geeignet, um den Teilnehmenden allgemeine Kenntnisse über Phishing-Attacken nahezubringen. Sie sollten allerdings um praxisnahe Spear-Phishing-Simulationen ergänzt werden, um die Nutzer auch im Alltag gegen die immer raffinierteren psychologischen Angreifertricks zu wappnen. Ob Autoritätshörigkeit, Angst, Neugier oder Hilfsbereitschaft: Betrügerische E-Mails zielen so geschickt auf die Gefühle der E-Mail-Empfänger, dass diese oft tun, was von ihnen verlangt wird, ohne darüber nachzudenken.
Simulierte Phishing-Angriffe sind sehr vorteilhaft, um die schnellen, intuitiven Entscheidungen der Mitarbeiter zu fördern. Sie nutzen echte Unternehmens- und Mitarbeiterinformationen, um reale Angriffe nachzustellen. Fällt ein Mitarbeiter auf eine gefälschte E-Mail herein, landet er direkt auf einer interaktiven Erklärseite. Dort erhält er detaillierte Informationen, auf welche verdächtigen Merkmale er hätte achten sollen: von Buchstabendrehern in der Adresszeile der E-Mail über Fake-Subdomains bis hin zu zweifelhaften Links.
Phishing-Simulationen nutzen auf diese Weise den „Most teachable Moment“ eines Mitarbeiters, was sie pädagogisch und didaktisch besonders wertvoll macht. Denn der E-Mail-Empfänger wird genau im richtigen Moment über sein potenziell schadhaftes Verhalten aufgeklärt, so dass er künftig viel vorsichtiger mit eingehenden E-Mails umgehen wird. Damit dieser Lerneffekt anhält, sollten die Phishing-Simulationen kontinuierlich wiederholt und an die immer neuen Methoden der Angreifer angepasst werden.
Toolset: Noch bessere Abwehr im Visier
Um die Spear-Phishing-Abwehr weiter zu stärken, sollten die Unternehmen geeignete technische und organisatorische Maßnahmen zu einem passenden Toolset verknüpfen. Ein gutes Beispiel bieten Password Manager, die eine zentrale Speicherung und Verwaltung digitaler Identitäten erlauben. Dadurch lässt sich die Gewohnheit vieler Mitarbeiter durchbrechen, aus Bequemlichkeit immer die gleichen Log-in-Daten für alle wichtigen Konten zu verwenden. Gelingt es Spear-Phishing-Angreifern, ein bestimmtes Passwort zu stehlen, stehen ihnen damit nicht mehr automatisch alle anderen Konten offen. Auch die Zwei- oder Multi-Faktor-Authentifizierung (2FA/MFA) kann einen wirksamen Schutz gegen Log-in-Datenklau bieten, wenn sie nach dem neuesten Stand der Technik erfolgt und zum Beispiel die FIDO2-Technologie (Fast Identity Online) nutzt.
Der Reporter Button von IT-Seal wiederum hilft Mitarbeitern bei der Identifizierung zweifelhafter E-Mails. Dieser Button wird direkt in Outlook integriert und bietet auf Knopfdruck nützliche Hinweise, ob eine eingehende E-Mail gefälscht sein könnte. Wer sich dann immer noch nicht sicher ist, kann diese Mail mit einem zweiten Klick automatisiert analysieren lassen und qualifiziertes Feedback vom internen IT-Support einholen. Ist es trotzdem passiert und hat ein Mitarbeiter einen schädlichen Link oder Anhang angeklickt, sollte eine Notfallnummer zur Verfügung stehen, über die er den Vorfall sofort beim IT-Support melden kann.
Awareness Academy: Ganzheitliche Sicherheitsstrategie
Mit der Awareness Academy bietet IT-Seal eine Sicherheitsstrategie gegen Spear-Phishing-Angriffe, die den gesamten Dreiklang Mindset – Skillset – Toolset abdeckt. So werden die Unternehmen mit Best Practices bei Planung und Durchführung der begleitenden Kommunikation sowie sämtlicher Trainings unterstützt. Für die Schulungen kombiniert IT-Seal klassische Online- und Präsenzangebote mit Spear-Phishing-Simulationen, bei denen die patentierte Spear-Phishing-Engine zum Einsatz kommt. Diese durchforstet zunächst die sozialen Netzwerke und andere öffentlich zugängliche Internet-Quellen nach Mitarbeiter- und Unternehmensinformationen. Daraus werden dann realitätsgetreue Spear-Phishing-Mails generiert, die die Mitarbeiter auf tatsächliche Angriffe vorbereiten.
Gradmesser für Erfolg: Employee Security Index (ESI)
Herzstück der Awareness Academy ist der ebenfalls patentierte Employee Security Index (ESI) von IT-Seal, der eine reproduzierbare Methode zur Awareness-Messung darstellt. Mit dem ESI können die Awareness-Kampagnen an jedem gewünschten Sicherheitsniveau ausgerichtet und die Mitarbeiter individuell auf dieses Ziel trainiert werden. Den Unternehmen bietet der ESI eine verlässliche Kennzahl, um die einzelnen Mitarbeitergruppen miteinander zu vergleichen, ihre Lernfortschritte zu dokumentieren und den Einsatz weiterer Schulungsmaßnahmen abzuleiten. Praktisch umgesetzt werden die Spear-Phishing-Simulationen mit der Awareness Engine, einem Autopiloten von IT-Seal. Die Awareness Engine stellt sicher, dass jede Gruppe und individuell auch jeder Benutzer nur so viel Traning wie nötig erhält, indem sie beispielsweise das Training für einzelne Teilnehmer oder -Gruppen automatisch pausiert, wenn sie den Ziel-ESI frühzeitig erreicht haben.
*David Kelm ist Mitgründer und Geschäftsführer der IT-Seal GmbH, die auf den Schutz von Mitarbeitern gegen Social-Engineering-Angriffe spezialisiert ist. Seit Jahren beschäftigt er sich intensiv mit diesem Thema, unter anderem im Rahmen seiner Forschungstätigkeit an der TU Darmstadt. Kelms Erkenntnisse ließen IT-Seal zum führenden Anbieter von Security-Awareness-Trainings in Deutschland werden. Das Angebot bündelt innovative Methoden und Werkzeuge zur Messung und Schulung des Sicherheitsbewusstseins von Mitarbeitern.
Seit Mai 2022 gehört IT-Seal zur Hornetsecurity-Gruppe, Anbieter von E-Mail-Cloud-Security und -Backup Lösungen, der Unternehmen und Organisationen aller Größenordnungen absichert.