Phishing effektiv verhindern

7. September 2021

Neue IT-Sicherheitsstrategie stoppt 70 Prozent der Phishing-Angriffe bei StepStone

Das Jobportal StepStone wurde kürzlich Opfer einer Impersonation-Attacke. Impersonation-Attacken gelten als besonders tückisch, da sich die Kriminellen als Mitarbeitende des Unternehmens ausgeben. Sie verschicken täuschend echt wirkende E-Mails, beispielsweise im Namen des CEOs oder der IT-Abteilung. Diese Mail könnte – unter einem bestimmten Vorwand – die Bitte enthalten, seine persönlichen Daten zu bestätigen. Ziel dieser Attacke ist es, Zugriffe auf Unternehmensdaten und -systeme zu erhalten. Laut des State of the E-Mail-Security Reports von Mimecast gaben 51 Prozent der befragten deutschen Unternehmen an, dass die Anzahl an per E-Mail ausgeübten Impersonation-Angriffen im vergangenen Jahr gestiegen ist.

Eine Human Firewall aufbauen

StepStone erhielt monatlich rund 10 Millionen E-Mails, von denen 70 bis 75 Prozent infiziert waren und trotzdem das bisherige Sicherheitssystem passierten. Der aktuelle Impersonation-Angriff veranlasste StepStone dazu, seine IT-Sicherheit zu erhöhen und sich an Mimecast zu wenden. Der IT-Security-Provider entwickelte eine umfassende Sicherheitsstrategie: Zum einen wurden technologische Lösungen in den Bereichen Web-Security, Archiving und Internal E-Mail Protect (IEP) integriert.

Zum anderen unterstützte Mimecast StepStone bei der Entwicklung einer so genannten Human Firewall. Hier handelt es sich um ein maßgeschneidertes Schulungsprogramm, das darauf abzielt, menschliche Fehler in der Cybersicherheit zu minimieren. Die Sensibilisierung der Mitarbeitenden ist ein wichtiger Baustein: Es braucht kritische Mitarbeitende, die sich der Bedrohungslage bewusst sind und gefährliche E-Mails erkennen und melden, bevor ein größerer Schaden entsteht.

Sicherheitstraining im TV-Unterhaltungsstil: Wann erscheint die nächste Folge?

Mitarbeitende gezielt in Trainings für Gefahren zu sensibilisieren wirkt: Eine Mimecast-Analyse ergab, dass Mitarbeitende, die regelmäßig Sensibilisierungstrainings erhielten, fünfmal seltener auf riskante Links klickten als Mitarbeitende ohne Training. Die angewendete Cyber-Security-Schulung von Mimecast basiert auf einer Reihe von kurzen Schulungsvideos. Die Skripte werden von bekannten Comedy-Autoren aus der Fernseh- und Filmwelt geschrieben. Fachleute aus der Unterhaltungsbranche produzieren die Videos. Jedes Schulungsvideo dreht sich dabei um ein relevantes Sicherheitsthema und dauert zwischen drei und fünf Minuten. Die Videos setzen auf Humor als aktives Mittel zur Einbindung der Mitarbeitenden. Eine bewährte Taktik, wie der englische Neurowissenschaftler Daniel Glaser weiß: „Wenn man lustige Sachen macht, entstehen mehr Assoziationen bei der Bildung neuer Erinnerungen. Humor hat also einen wesentlichen Einfluss auf die Sicherheitsbotschaft. So steigt die die Wahrscheinlichkeit, dass man diese im Bedarfsfall erfolgreich abrufen kann.“

„Die Awareness-Trainingsvideos sind kurz, unterhaltsam und vermitteln klare Botschaften, die hängen bleiben. Die Videos erinnern an eine gute TV-Unterhaltungsshow mit wiedererkennbaren Charakteren. Wir erleben tatsächlich, dass unsere Mitarbeitenden fragen, wann die nächste ‚Folge‘ erscheint“, so IT-Manager Serge Groven bei StepStone. „Heute erleben wir viel weniger E-Mail-Bedrohungen. Bereits einen Monat nach der Implementierung der neuen Sicherheitslösung konnten wir einen enormen Rückgang an Spear-Phishing-E-Mails feststellen, und das merken wir bis heute.“

Der vollständige Bericht steht in Englischer Sprache hier zur Verfügung:  https://www.mimecast.com/resources/case-studies/stepstone/