Es reicht schon lange nicht mehr aus, Virenscanner zu installieren und darauf zu vertrauen, dass sie das Netzwerk zuverlässig schützen. Und Phishing in all seinen Spielarten ist und bleibt einer der größten Cyberbedrohungen für Unternehmen. Benutzer sollten mit der IT-Abteilung zusammenarbeiten und verstehen, wie Angreifer vorgehen. Im Team ist es sehr wohl möglich, Cyber-Attacken abzuwehren. Allerdings nur, wenn alle Beteiligten verstehen, wie die Angriffe genau ablaufen und richtig reagieren.
Autor: Hakan Ramsing, Senior Partner Manager, Central Europe, Vipre Security Group
Will sich ein Unternehmen vor Cyberbedrohungen schützen, bilden die Mitarbeiter die erste Verteidigungslinie. Doch sie müssen trainiert werden. Im Jahr 2021 ist laut dem Cyber Attack 2021 Mid Year Report die Zahl der Ransomware-Angriffe um satte 93 % gestiegen.
Eine weltweit durchgeführte Umfrage aus dem Jahr 2022 ergab, dass bereits rund 46 % der in Deutschland befragten Unternehmen mindestens einmal Opfer einer Cyber-Attacke geworden waren. Im Durchschnitt gab fast jedes zweite der in unterschiedlichen Ländern befragten Unternehmen an, in den vergangenen zwölf Monaten mindestens eine Cyber-Attacke erlebt zu haben. Deutschland gehört dabei gemeinsam mit den USA zu den am häufigsten angegriffenen Ländern.
Rolle der Anwender beim Kampf gegen Ransomware
Ransomware und Phishing bergen für jedes Unternehmen ein hohes Gefahrenpotenzial. Und beide hängen eng zusammen: Durch menschliche Fehler bekommen Cyberkriminelle die Möglichkeit, sich im Netzwerk über gestohlene Benutzerdaten anzumelden und Daten zu stehlen oder zu manipulieren.
In nahezu allen Fällen von erfolgreichen Angriffen müssen Cyberkriminelle überhaupt nichts hacken – sie melden sich einfach an. Bei Angriffen mit Ransomware klicken Anwender zuvor auf Links in E-Mails oder öffnen Dokumente, die eine Malware enthalten. Das Resultat ist bekannt: Die Ransomware kann sich im Netzwerk nahezu problemlos ausbreiten.
Dank der über Phishing erbeuteten Anmeldedaten können Hacker sich darüber hinaus problemlos im Netzwerk anmelden. Oft auch noch über das Internet oder per VPN, und mit den Rechten des Benutzers im Netzwerk agieren.
Die Angriffe bleiben oft unentdeckt, bis größerer Schaden entsteht oder der Angreifer im internen Netzwerk weitere Identitäten übernimmt. In der Theorie wähnen sich viele Unternehmen auf Angriffe von Hackern und auf Malware- und Ransomware-Attacken vorbereitet. Allerdings fehlen häufig praktische Vorgehensweisen und der Blick auf das Netzwerk aus der Sicht des Angreifers.
Und es fehlt sehr häufig an geeigneten Trainings für die Anwender, damit sie Malware besser erkennen, die Vorgehensweisen der Angreifer durchschauen und sich und ihre Daten besser schützen.
Virenscanner allein schützen nicht genug
Nach einer repräsentativen Studie des Bitkom aus dem Jahr 2022 entstand der deutschen Wirtschaft im Jahr 2021 durch Cyberangriffe ein Schaden von 203 Mrd. Euro, und laut Verizon Data Breach Incident Report sind Anmeldedaten mit über 60 % die begehrteste Datenkategorie bei Sicherheitsverletzungen.
Die Zahlen sprechen eine deutliche Sprache: Es reicht schon lange nicht mehr aus, Virenscanner zu installieren und darauf zu vertrauen, dass sie das Netzwerk zuverlässig schützen.
Benutzer sollten mit der IT-Abteilung zusammenarbeiten und verstehen, wie Angreifer vorgehen. Im Team ist es sehr wohl möglich, Ransomware-Attacken abzuwehren. Allerdings nur, wenn alle Beteiligten verstehen, wie die Angriffe genau ablaufen und richtig reagieren.
Das gilt analog für den Schutz bei der Anmeldung an einem VPN oder bei diversen Clouddiensten. Phishing in all seinen Spielarten ist und bleibt eine der größten Cyberbedrohungen für Unternehmen. Vermeiden lassen sich die Angriffe vor allem durch das regelmäßige praxisnahe Cybersecurity-Training der Benutzer.
Ohne entsprechende Schulung oft wehrlos gegen Angriffe
Im Kampf gegen Cyberbedrohungen bilden die Endbenutzer die erste Verteidigungslinie. Denn ihnen obliegt letztendlich die Entscheidung, ob vertrauliche Daten gesendet oder externe Dateien heruntergeladen werden.
Nur, menschliches Versagen ist mehr als wahrscheinlich: 95 % aller Datenschutz- und Datensicherheitsverletzungen gehen auf einen internen Fehler zurück. Zu diesen kleinen und großen Irrtümern zählen versehentlich an den falschen Adressaten geschickte E-Mails, der Klick auf einen Phishing-Link oder das Herunterladen von bösartigen Anhängen – mit dem bekannten Folgen.
Ohne Schulungen und Trainings, die sich an den Bedürfnissen und dem aktuellen Arbeitsumfeld der Benutzer orientieren, fallen Anwender schnell auf E-Mails herein, in denen beispielsweise das offizielle Logo von bekannten Unternehmen prangt.
Phishing-E-Mails sehen inzwischen täuschend echt aus, enthalten aber Links oder Malware-verseuchte Dateianhänge. Sind die Benutzer darauf geschult, dass E-Mails nicht per se vertrauenswürdig sind, nur weil sie offiziell aussehen, ist das bereits ein erster Schritt, um Angriffe zu verhindern.
Gezielte, gut vorbereitete und besonders heimtückische Angriffe
Cyberkriminelle nutzen Techniken wie Spear-Phishing dazu, Anwender auszuspionieren und Daten über sie zu sammeln. Liegen ausreichende Informationen vor, versendet der Angreifer eine Phishing-Mail, die genau auf diesen Benutzer zugeschnitten ist und ihn leichter verleitet, beispielsweise Benutzerdaten herauszugeben.
Im Gegensatz zu herkömmlichen Phishing-Angriffen, bei denen die Opfer zufällig ausgewählt werden, handelt es sich bei Spear-Phishing-Attacken um gezielte, gut vorbereitete und dank der guten Planung besonders heimtückische Angriffe. Entsprechend erfolgreich sind diese dann in der Regel.
Generell sollte man Anwender sowohl in den Grundlagen der IT-Sicherheit schulen als auch hinsichtlich der Anzeichen, die auf einen Angriff hindeuten können, sowie in Bezug auf übliche Vorgehensweisen von Cyberkriminellen.
Haben Benutzer dieses grundlegende Wissen und sind zusätzlich in Sachen Phishing trainiert, ist eine Schulung zum Thema Ransomware interessant. Denn hier benötigt man bereits einige technische Kenntnisse.
Dazu kommen Trainings zum Thema mobile Sicherheit, also Angriffe über Smartphone, Notebook, VPN und öffentliche Wlans. Konsequent durchgeführte Schulungen halten den Benutzer auf dem aktuellen Wissensstand und, was noch wichtiger ist, sie befähigen ihn, selbst Angriffe zu verhindern.
Simulationen schärfen den Blick
Phishing-Attacken bedienen sich so gut wie aller zur Verfügung stehenden digitalen Kanäle, um an Benutzerinformationen zu kommen. Neben Angriffsvektor Nummer 1, also E-Mails, sind das häufig SMS, Text- und Videonachrichten oder Anrufe.
Dabei geben sich die Absender oder Anrufer als Vertreter von Unternehmen aus, denen die meisten Anwender vertrauen. Und zumeist gelingt es Cyberkriminellen auch, auf diesem Weg Zugangsdaten zu erbeuten.
Für Unternehmen stehen an unterschiedlichen Stellen Lösungen zur Verfügung, mit denen sie selbst Phishing-Simulationen durchführen können:
- Die Benutzer erhalten beispielsweise eine E-Mail, in der sie gebeten werden, geheime Daten oder Benutzerinformationen herauszugeben. Diese E-Mails sind aufgebaut wie echte Phishing- oder Spear-Phishing-Angriffe. Klickt ein Anwender auf einen solchen Link, öffnet sich die Informationsseite der Phishing-Simulation und weist ihn darauf hin, dass er gerade auf einen Angriff hereingefallen ist.
- Dank realistischer Simulationen erkennen die Benutzer, wie schnell man selbst auf einen solchen Angriff hereinfallen kann.
- Gleichzeitig speichert die Simulation, welche Benutzer anfällig für welche Art von Angriffen ist – was wiederum bei der individuellen Schulung hilft.
- Anspruchsvolle Security-Awareness-Trainings generieren zusätzlich umfassende Berichte, die aufzeigen, wo im Unternehmen dringend Handlungs- oder Nachholbedarf besteht.
Fazit: Wenn Unternehmen ihre Mitarbeiter gezielt im Umgang mit Malware/Ransomware und Phishing schulen, lassen sich Angriffe von Cyberkriminellen erheblich leichter abwehren.
Zusätzliche Tools unterstützen die Benutzer dabei, die richtigen Entscheidungen zu treffen. Regelmäßige Schulungen, welche die nötige Aufmerksamkeit schaffen, sind ein zentraler Baustein innerhalb der grundlegenden Cybersicherheits-Strategie jedes Unternehmens. Oder besser noch: Sie sollten es sein. (jk)
