Was Ist Phishing? Die Größte Digitale Bedrohung

Mikael Korsholm Poulsen
By: Mikael Korsholm Poulsen IT-Sicherheit | 7 Dezember

Phishing gilt zurzeit als die größte IT-Sicherheitsbedrohung für Unternehmen. In diesem Blogbeitrag erfahren Sie, was Phishing ist und wie Sie Ihre Mitarbeiter*innen schulen können, damit diese nicht in die Falle tappen.

Phishing, Smishing, Spear Phishing - was ist der Unterschied?

Beim Phishing werden gefälschte E-Mails verschickt, die Sie dazu verleiten sollen, persönliche Informationen preiszugeben. Das kann auch per SMS geschehen, was als "Smishing" bezeichnet wird. Es gibt auch den Begriff "Spear Phishing". Hierbei handelt es sich um eine gezieltere Form des Phishings, die es auf bestimmte Personen oder Organisationen abgesehen hat.

Gefälschte E-Mails und Textnachrichten gibt es in vielen. verschiedenen Formen und haben sich im Laufe der Jahre erheblich weiterentwickelt.

Phishing-E-Mails sind immer schwerer zu erkennen

Im Laufe der letzten 10 Jahre hat sich Phishing von einer Falle, in die nur wenige Unaufmerksame tappten, zu einer Herausforderung entwickelt, die jedes Unternehmen ernst nehmen muss. Phishing begann als Massenproduktion von E-Mails voller Rechtschreibfehler. Die meisten von uns erinnern sich daran, E-Mails von „nigerianischen Prinzen“ erhalten zu haben, die uns große Geldsummen anboten, wenn wir ihnen helfen würden, ihr Gold zu transportieren. Sie waren leicht zu erkennen.

Heutzutage sind Phishing-Emails darauf zugeschnitten, Ihre Mitarbeiter*innen zu täuschen. Einige dieser maßgeschneiderten E-Mails tauchten beispielsweise, während der COVID-19-Pandemie auf, bei der sich Kriminelle als Regierung und Polizei ausgaben.

Es genügt ein kleiner Fehler eines einzigen Mitarbeiters

Um Ihr Unternehmen zu schützen, ist es unerlässlich, die technischen Aspekte der IT-Sicherheit zu beherrschen; denn diese helfen, den größten Teil der betrügerischen E-Mails zu identifizieren und zu blockieren. Genauso wichtig ist es, dass Ihre Mitarbeiter*innen für den Umgang mit den wenigen Phishing-E-Mails geschult sind, die es durch den Filter in ihren Posteingang schaffen.

Ein Fehler eines*r einzelnen Mitarbeiters*in kann Folgen haben, die sich auf das gesamte Unternehmen auswirken. Ihre Mitarbeiter*innen können daher das größte Risiko für Sicherheitsverletzungen darstellen. Umgekehrt können aufmerksame Mitarbeiter*innen zu einem der stärksten Elemente Ihrer IT-Sicherheitsabwehr werden.

Achten Sie besonders auf Phishing von persönlichen Daten

Die neue Datenschutz-Grundverordnung legt einen starken Fokus auf IT-Sicherheitsverletzungen und insbesondere dort, wo bei einem Verstoß persönliche Daten verloren gehen.

Ein Phishing-Angriff ist somit nicht nur ein IT-Sicherheitsproblem, sondern auch ein Problem im Zusammenhang mit der DSGVO. In diesem Fall führt ein Angriff zu einem Datenverlust von beispielsweise Kunden*innen oder Mitarbeitern*innen.

Smart CTA_e-book DE

Kontinuierliches Training kann durch Lehr- oder Phishingkampagnen erfolgen

Um Mitarbeiter*innen zu einem starken Team für IT-Sicherheitsverteidigung zu machen, ist es wichtig, sie zu schulen. Da sich die Bedrohungen ständig weiterentwickeln, ist eine kontinuierliche Schulung erforderlich.

Die Schulung der Mitarbeiter*innen kann auf verschiedene Weisen erfolgen. Sie können ein Awareness-Training durchführen, bei dem Sie Ihre Mitarbeiter*innen darauf sensibilisieren, wie sie Phishing-E-Mail erkennen und behandeln können. Entweder durch digitales E-Learning, durch physischen Unterricht oder eine Mischung aus beiden Formen.

Eine weitere Option sind Phishing-Simulationen, bei denen Sie absichtlich falsche E-Mails an Ihre Mitarbeiter*innen senden. Mitarbeiter*innen können so ihre Fähigkeiten beim Erkennen falscher E-Mails üben. Auf diese Weise können Sie auch Strategien entwickeln, wie Ihr Unternehmen reagieren sollte, wenn ein Phishing-Angriff entdeckt wird. An wen kann man sich wenden und wie kann man andere Mitarbeiter warnen? Es ist wichtig, dass der*die Mitarbeiter*in die E-Mail nicht einfach löscht, ohne seine*ihre Kollegen*innen zu warnen. Eine Verteidigung wird durch die Entwicklung von Strategien aufgebaut. Sie können Phishing-Simulationen als kleine Brandschutzübungen betrachten.

Awareness-Training und Simulationen können natürlich kombiniert werden, was in vielerlei Hinsicht ideal ist. Es ist eine Gelegenheit, Theorie mit Praxis zu verbinden - wie bei der Führerscheinprüfung. Es nützt nichts, zu wissen, wie eine Phishing-E-Mail aussieht, wenn man sie im Alltag nicht wahrnehmen kann.

3 Faustregeln für Ihre Mitarbeiter*innen

Natürlich muss jeder irgendwo anfangen und es ist schwierig, in einem Sekundenbruchteil eine starke menschliche Verteidigung aufzubauen. Ein einfacher Einstieg ist es, die drei folgenden Faustregeln unter Ihren Mitarbeitern*innen zu verbreiten. Wenn sie diese beim Empfang einer E-Mail stets im Hinterkopf behalten, erhöhen Sie die Wahrscheinlichkeit, dass nicht jemand auf schädliche Links in Phishing-E-Mails klickt.

  • Seien Sie vorsichtig beim Öffnen von Anhängen.
  • Klicken Sie nicht auf Links in E-Mails, bevor Sie sich nicht sicher sind, von wem sie stammen und warum Sie sie erhalten haben.
  • Versenden Sie niemals sensible Informationen per E-Mail.

Faustregeln sind sicherlich nützlich, aber eine so große Bedrohung wie Phishing erfordert kontinuierliche Schulungen entweder in Form von Kursen, Simulationen oder etwas anderem. Die Kenntnisse und das Bewusstsein der Mitarbeiter*innen sind für Ihre IT-Sicherheit von entscheidender Bedeutung.

Wie bereits erwähnt, kann dies durch Training erreicht werden, bei denen Ihre Mitarbeiter*innen in bestimmten Themenbereichen unterrichtet werden. Dies kann auch durch praktische Schulungen geschehen, bei denen Mitarbeiter*innen durch simulierte Phishing-Angriffe getestet werden.