Suchen

IT-Security Phishing kennt keine Auszeit

Autor: Ann-Marie Struck

Die besinnliche Adventszeit steht vor der Tür. Doch auch in dieser Zeit des Jahres droht die Gefahr von Phishing-Attacken. Eine Studie des Sicherheitsunternehmens Imperva gibt Einblicke in die beliebten Methoden sowie Tipps zum Schutz vor selbigen.

Firmen zum Thema

Unter Phishing wird die Beschaffung persönlicher Daten anderer Personen mittels gefälschten E-Mails oder Websites verstanden.
Unter Phishing wird die Beschaffung persönlicher Daten anderer Personen mittels gefälschten E-Mails oder Websites verstanden.
(Bild: © weerapat1003 - stock.adobe.com)

Weihnachtszeit ist Phishing-Zeit. Die Angriffswellen reißen auch zum Advent nicht ab. Vielmehr bedingt diese Zeit des Jahres Attacken, da vermehrt Menschen ihre Geschenke online suchen und viele Anbieter mit günstigen Angebote im Netz Kunden locken. Gleichzeitig investieren Hacker viel Zeit in die Aufmachung ihrer E-Mails, denn sie verwenden sogar die gleichen Schriftarten, Farben, Logos und Unterschriften wie bei der Originalmail des imitierten Unternehmens. Doch der Aufwand lohnt sich. Denn laut einer Studie des TÜV-Verbands (VdTÜV) war mehr als jedes zehnte Unternehmen in Deutschland in den vergangenen zwölf Monaten Opfer eines Cyberangriffs. Ein Drittel davon waren Phishing-Attacken, um Kontonummern, Passwörter oder andere sensible Daten abzugreifen. Da immer mehr Mitarbeiter ihre Geschäftshandys und -laptops privat nutzen, sind auch Unternehmen von der Phishing-Welle zu Weihnachten betroffen.

Lohnt sich Phishing?

Täglich erscheinen neue Phising-Webseiten, die unter Phishing-Kampagnen über kompromittierte Webserver laufen. Da solche Server in Phishing-as-a-Service-Plattformen (PhaaS) aufgebaut werden, ist es für Hacker leicht unentdeckt zu bleiben. Zudem spart es Kosten. Daher reicht für den Hacker-Erfolg auch eine geringe Anzahl an angeklickten Mails. Laut Imperva benötigt es für einen ausreichenden Schutz eine serverbasierte Abwehr sowie eine Access-Lösung und Trainings für Mitarbeiter.

Sicherheit durch Technik

Zunächst sollten alle bekannten Phishing-Seiten auf eine Blacklist gesetzt werden. Des Weiteren lohnt es sich verdächtige Quellcodes zu blockieren. Denn diese könnte ein Indiz für Angriffe sein. Die Mustererkennung basiert auf Daten aus domänenübergreifenden Quellverweisen, die Bilder, Schriften und andere Ressourcen aus einer externen Quelle nutzen. Zudem empfiehlt sich eine Web Application Firewall (WAF). Die WAF prüft in Echtzeit alle Daten-Pakete, die zwischen Anwendung und Nutzer hin und her geschickt werden und warnt bei auffälligen Mustern.

Sicherheit durch Mitarbeiter

Leider reicht eine serverbasierte Abwehr alleine häufig nicht aus. Der Mensch bildet weiterhin eine Sicherheitslücke. Deshalb lohnt es sich, seine Mitarbeiter ausreichen zu schulen und ihnen die richtigen Lösungen mit an die Hand zu geben.

Ein sicheres Passwort-Management mittels einer Zwei-Faktor-Authentifizierung sind einen Anfang. Denn selbst, wenn ein Nutzer auf eine Phishing-Mail reinfällt, verhindert die Zwei-Faktor-Authentifizierung, dass Hacker die Anmeldedaten verwenden können, um Zutritt zum jeweiligen Account zu bekommen.

Des Weiteren Bedarf es Schulungen. Durch Trainings können Mitarbeiter Phishing-Attacken nicht nur schneller erkennen, sondern lernen auch im Ernstfall richtig zu Handeln. Um das Sicherheitsbewusstsein zu fördern, sollten die Schulungen regelmäßig stattfinden.

(ID:46266324)

Über den Autor

 Ann-Marie Struck

Ann-Marie Struck

Redakteurin