Aktueller Channel Fokus:

Managed Services

Mitarbeiter an der Angel

Phishing Facts aus deutschen Unternehmen

| Autor / Redakteur: Dr. Niklas Hellemann / Dr. Andreas Bergler

Mit Phishing-Mails erlangen Cyberkriminelle Zugriff auf unternehmenskritische Daten.
Mit Phishing-Mails erlangen Cyberkriminelle Zugriff auf unternehmenskritische Daten. (Bild: Jürgen Fälchle_stock.adobe.com)

Gebetsmühlenartig warnen Verbände, Sicherheitsbeauftragte und die Fachpresse vor den Folgen erfolgreicher Cyberattacken, und doch stellt Phishing mit steigender Tendenz eines der schwerwiegendsten Probleme deutscher Unternehmen dar.

Der Tag könnte wohl kaum schlechter starten: Eine Mail des Vorgesetzten liegt im Posteingang der Buchhaltung, in der dazu aufgefordert wird, eine längst fällige Forderung eines im Ausland ansässigen Lieferanten zu begleichen. Schnell überweisen, bevor es noch Ärger gibt - und schon ist es passiert. Soeben wurde Geld des Unternehmens unter der Vorgabe falscher Tatsachen und der Ausübung von Druck auf einen Mitarbeiter an ein fremdes Konto überwiesen.

Ein fiktives Beispiel, das sich in dieser oder ähnlicher Form täglich in deutschen Firmen abspielt. Mit Phishing-Mails täuschen Cyberkriminelle in präparierten E-Mails einen Vorwand vor, um Zugangsdaten, Pin-Codes und Firmeninterna zu erbeuten, Überweisungen zu provozieren oder schlichtweg Ransomware im System der Opfer zu platzieren. Zahlen und Fakten sprechen eine deutliche Sprache.

Schäden in Milliardenhöhe

Laut einer Studie des Digitalverbands Bitkom und des Bundesamts für Verfassungsschutz waren im Jahr 2017 mehr als 50 Prozent aller deutschen Unternehmen Opfer von Phishing-Attacken - Tendenz steigend. Die Studie kommt zudem zum Ergebnis, dass der aus Cyberangriffen resultierende Gesamtschaden für die deutsche Wirtschaft sich jährlich auf über 55 Milliarden Euro beläuft – wobei hier von einer weitaus höheren Dunkelziffer auszugehen ist, da eine Vielzahl von Attacken unentdeckt bleibt. Über 92 Prozent aller erfolgreichen Cyberattacken starten mit einer Phishing-Mail. Diese Zahl verdeutlicht: Das größte IT-Sicherheitsrisiko ist der Mensch.

Im Schnitt landen jährlich drei schadhafte Mails im Posteingang eines jeden Mitarbeiters deutscher Unternehmen. Das Problem: 80 Prozent dieser Mitarbeiter können differenzierte Phishing-Mails nicht von echten Mails unterscheiden und verursachen hierdurch im Worst-Case-Szenario Schäden in Millionenhöhe.

Immer wichtiger: Mitarbeiter-Awareness

Trotz der offenkundigen Schwachstellen herkömmlicher Spamfilter und der bekannten Gefahr von Phishing-Attacken wurden Investitionen im Bereich der Mitarbeiter-Awareness in Vergangenheit geradezu fahrlässig vernachlässigt. So wurden im Jahr 2014 weltweit gerade einmal eine Milliarde US-Dollar für Awareness-Maßnahmen ausgegeben – ein verschwindend geringer Betrag, wenn man sich die durch Cybercrime verursachten Kosten vor Augen hält.

Hier ist jedoch ein klarer Trendwechsel zu erkennen: Laut einer Prognose der IT-Beratung Gartner werden die Ausgaben im Bereich Mitarbeiter-Awareness bis zum Jahr 2027 auf zehn Milliarden US-Dollar jährlich steigen.

Um der Gefährdung durch Phishing-Attacken entgegenzutreten, gibt es einige unkomplizierte und grundlegende Maßnahmen, die direkt umsetzbar sind und das Bewusstsein der Mitarbeiter für Cyber-Threats stärken:

  • Kommunikation: Zur Vermittlung der Basics zum Thema Phishing können Info-Mails an die Belegschaft sowie das Anbringen von Postern und Infografiken in den Räumlichkeiten des Unternehmens wichtige erste Schritte im Awareness-Building darstellen. Auch eine klare Ansprache der Unternehmensführung kann das Thema auf den Tisch bringen. Diese Maßnahmen dienen jedoch nur als erste Basis, da sie nur kurzfristig die Aufmerksamkeit der Mitarbeiter schärfen, im Arbeitsalltag aber schnell ihre Wirkung verlieren.
  • Schulungen und Trainings: Regelmäßige Präsenzveranstaltungen können dabei helfen, ein Grundwissen über Cyber-Attacken und Abwehrmaßnahmen zu erwerben und zu vertiefen. Sie erfordern allerdings, dass sich Ihre Mitarbeiter Zeit nehmen, um das Training zu absolvieren. Zudem müssen Räumlichkeiten und Schulungspersonal abgestellt werden. Ein effizienterer Ansatz sind hier eLearnings: Sie sind zeitsparender und unabhängig von den zur Verfügung stehenden Räumlichkeiten für alle Mitarbeiter nutzbar.
  • Phishing-Simulationen: Simulationskampagen sind ein neuartiges Tool, um Mitarbeiter dauerhaft zu schulen und ihre Aufmerksamkeit aufrechtzuerhalten. Hierbei werden realistische Phishing-Mails an die Belegschaft versandt. Klicken diese dann zum Beispiel auf einen Link in einer der Mails, erhalten sie über eine nachgeschaltete Lernseite differenzierte Hinweise zur Erkennung von Phishing-Taktiken. Der Vorteil hierbei ist das „Lernen am Objekt” und die effiziente Anwendbarkeit. Denn Simulationen lassen sich direkt in den Arbeitsalltag integrieren und erfordern keinen zusätzlichen Zeitaufwand der Mitarbeiter. Darüber hinaus sind die hierdurch erzielten Erfolge anhand der Entwicklung von Klickraten messbar.

Dr. Niklas Hellemann, Mitgründer von SoSafe Cyber Security Awareness.
Dr. Niklas Hellemann, Mitgründer von SoSafe Cyber Security Awareness. (Bild: SoSafe)

* Dr. Niklas Hellemann ist Diplom-Psychologe, langjähriger Unternehmensberater und Mitgründer der Firma SoSafe Cyber Security Awareness (www.sosafe.de). Als Experte für Social Engineering beschäftigt er sich mit innovativen Methoden der Mitarbeitersensibilisierung.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45618118 / Security)