IT-Sicherheit

So warnen Sie Beschäftigte vor Phishing-Angriffen

03. März 2021
Laptop_60327008-e1465203595218
Quelle: © littlestocker / Foto Dollar Club

Phishing ist das meistgenutzte Werkzeug von Cyberkriminellen. Sie nutzen es, um an vertrauliche Informationen zu gelangen. Um Beschäftigte zu sensibilisieren, starten immer mehr Arbeitgeber eigene Phishing-Kampagnen mit Scheinangriffen – mit zweifelhaftem Erfolg.

Wer anderen eine Grube gräbt, fällt selbst hinein«, weiß der Volksmund. Ganz ähnlich kann es Arbeitgebern ergehen, die Phishing-Kampagnen starten. Unter Phishing-Kampagnen sind Aktivitäten in einer Institution zu verstehen, bei der Phishing-Nachrichten simuliert und an die Angestellten verschickt werden. Ziel ist es, die Beschäftigten hinsichtlich solcher Cyberangriffe zu sensibilisieren.

Was ist Phishing?

In Corona-Krisenzeiten leidet die Wirtschaft nicht nur unter den Schutzmaßnahmen, sondern ist auch anfälliger für Cyberangriffe: Untersuchungen der Unternehmensberatung Deloitte zufolge ist das Homeoffice ein besonderes Sicherheitsrisiko. Angreifer nutzen Schwachstellen aus, die sich aus der Tätigkeit im Homeoffice und möglicherweise aus nicht vollständig umgesetzten Maßnahmen zur IT-Sicherheit ergeben. Beim sogenannten Corona-Phishing zielen Angreifer auf die Unsicherheit der Bevölkerung ab und fingieren beispielsweise E-Mails der IT-Abteilung, die angebliche Informationen zum Arbeiten im Homeoffice auf einem neuen Portal liefern. Auch angebliche behördlichen Informationen zu Covid-19 dienen derzeit gehäuft als Einfallstor ins Firmennetzwerk.

Es gibt ganz unterschiedliche Arten, auf geschützte Systeme Zugriff zu erhalten. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ist Phishing »eine prominente Form des Identitätsdiebstahls« (IT-Sicherheit 2020).

Dabei ist natürlich auch ein Schlagwort zu nennen: Künstliche Intelligenz (KI). In dem Maße, in dem Sicherheitssysteme besser werden, verbessern Cyberkriminelle ihre Angriffsmethoden. Jörn Müller-Quade, Leiter der Arbeitsgruppe IT-Sicherheit, Privacy, Recht und Ethik der Plattform Lernende Systeme und Inhaber des Lehrstuhls für Kryptographie und Sicherheit am Karlsruher Institut für Technologie (KIT) spricht von einem »Wettlauf zwischen Angreifern und Verteidigern«. Besonders das sogenannte Social Engineering, also Angriffe, bei denen Menschen so getäuscht werden, dass sie dem Angreifer freiwillig helfen, sieht Müller-Quade als Angriffsfeld KI-unterstützter Phishing-Attacken. Denn bei solchen Phishing-Manövern werde der Skaleneffekt künftiger KI-Systeme zum Tragen kommen, prognostiziert Müller-Quade: »Benötigt man bislang Menschenkenntnis und Hintergrundwissen, um beispielsweise eine Phishing-Mail an den Stil des Absenders anzupassen und so zu tarnen, werden diese Angriffe in Zukunft automatisiert und dennoch gleichzeitig maßgeschneidert sein. KI-Systeme können eingesetzt werden, um gezielt online verfügbare Informationen zu extrahieren, die dazu genutzt werden, Websites, Links oder E-Mails auf die Zielpersonen einer Attacke zuzuschneiden.«

Die Angriffsstelle Mensch

Klar ist: Der Mensch ist das schwächste Glied in der Kette der IT-Sicherheitsmaßnahmen: Aus Reports des Software-Konzerns Kaspersky geht hervor, dass 52% der Unternehmen ihre Mitarbeiter als Sicherheitsrisiko betrachten – nicht ganz zu Unrecht, denn immerhin speichern 60% der Befragten vertrauliche Daten auf ihrem Unternehmens-PC und 30% geben zu, ihre Passwörter mit Kolleg*innen zu teilen (siehe Kasten). Die Daten lassen vermuten, dass es professionelle Cyberkriminelle nicht allzu schwer haben, an sensible Daten zu gelangen. Das funktioniert zumeist durch unbewusste Mithilfe der Beschäftigten.

Sensibilisierung ist wichtig

Melanie Volkamer, Professorin am Karlsruher Institut für Technologie und Mitautorin eines Forschungsberichts zu Phishing-Kampagnen, betont, wie wichtig die Sensibilisierung der möglichen Opfer ist, damit diese nicht in die Falle tappen. Erster Ansatz sollten technische Maßnahmen sein, auch in Kombination mit Sicherheitsrichtlinien, die ganz klar regeln, was erlaubt ist und was nicht. E-Mails, die von außerhalb der Organisation kommen, sollten beispielsweise klar als solche gekennzeichnet sein. Die Sicherheitsrichtlinien sollten regeln, dass Mitarbeiter*innen nur ihre beruflichen und zugelassenen E-Mail-Konten der Organisation nutzen, nicht aber auf private Konten oder E-Mail-Anbieter zugreifen. Spam-Filter müssen immer auf dem aktuellen Stand sein und regelmäßig mit organisationsspezifischen (Phishing-)E-Mails trainiert werden. »Ist klar, wie die IT auf E-Mails reagiert, die es trotzdem in die Posteingänge schaffen, die dann aber zu einem späteren Zeitpunkt als Phishing-E-Mails entlarvt werden, sodass diese keinen Schaden mehr anrichten können? Werden Anhänge mit gefährlichen Dateitypen entfernt?«, diese Fragen müssen, so Volkamer, als Leitfaden dienen, um sich wirksam gegen Phishing aufzustellen. (...)

Den vollständigen Beitrag von Mirko Stepan lesen Sie in »Computer und Arbeit« 2/2021.

Jetzt 2 Ausgaben gratis testen!

© bund-verlag.de

(ct)

Newsletter Allgemein viertel - Anzeige -
Josef Haverkamp
Grundlagen und Arbeitshilfen für Betriebs- und Personalräte
lieferbar 24,90 €
Mehr Infos

Das könnte Sie auch interessieren