Spear-Phishing

Eine wirksame Spear-Phishing-Abwehr benötigt drei wichtige Bausteine

, Darmstadt, IT-Seal GmbH | Autor: David Kelm

Eine wirksame Spear-Phishing-Abwehr benötigt drei wichtige Bausteine

Nachhaltige Sicherheitskultur mit Dreiklang: Mindset – Skillset – Toolset

Von David Kelm, Mitgründer und Geschäftsführer der IT-Seal GmbH

Wer seine Mitarbeiter wirksam vor Spear-Phishing-Angriffen schützen will, braucht eine nachhaltige Sicherheitskultur. Sie sollte dem Dreiklang Mindset – Skillset – Toolset folgen.

David Kelm, Mitgründer und Geschäftsführer der IT-Seal GmbH

Auch die ausgefeilteste IT-Sicherheitstechnik kann nicht verhindern, dass Unternehmen immer öfter Spear-Phishing-Attacken zum Opfer fallen. Obwohl es den IT-Abteilungen gelingt, täglich Millionen betrügerischer E-Mails abzufangen, schaffen es doch etliche in den Posteingang der Mitarbeiter. In diesen Mails geben sich die Cyberkriminellen als Chef, Kollegen oder Geschäftspartner aus und bringen ihre Opfer mit raffinierten psychologischen Tricks dazu, ihren Aufforderungen zu folgen: von der Preisgabe vertraulicher Informationen über Klicks auf schädliche Links und Dateianhänge bis hin zu Überweisungen auf falsche Konten. Wer eine anhaltende Verhaltensänderung bewirken will, sollte eine IT-Sicherheitsstrategie mit Fokus auf einer Sicherheitskultur etablieren, die drei zentrale Bausteine integriert: Mindset – Skillset – Toolset.

Mindset: Eigenverantwortliches Handeln stärken

Zuallererst müssen die Mitarbeiter lernen: weg vom blinden Vertrauen auf IT-Security-Werkzeuge und hin zur Erkenntnis, dass der Mensch die größte Schwachstelle bei Spear-Phishing-Attacken bleibt. Dazu empfehlen sich gezielte Informationskampagnen, die vom obersten Management initiiert und von den zentralen Führungskräften und IT-Sicherheitsverantwortlichen kontinuierlich begleitet werden.

Was könnte die Mitarbeiter besser für die steigenden Spear-Phishing-Gefahren sensibilisieren als konkrete Zahlen und Fakten über Sicherheitsvorfälle in der eigenen Branche? So kamen dem österreichisch-chinesischen Luftfahrtzulieferer FACC sage und schreibe 50 Millionen Euro abhanden, als ein Mitarbeiter auf eine gefälschte E-Mail des angeblichen Vorstandschefs hereinfiel. Er überwies diese Summe schrittweise an Internetbetrüger, die ihm vorgaukelten, es handele sich um streng vertrauliche Transaktionen für einen Firmenkauf.

Das Beispiel zeigt: Es liegt durchaus in der Hand von Mitarbeitern, der steigenden Spear-Phishing-Kriminalität einen Riegel vorzuschieben. Daher sollten die Unternehmen an die Eigenverantwortung ihrer Beschäftigten appellieren und diese in ihrer Rolle als menschliche Firewall bestärken. Entscheidend ist das Mittel der Selbstwirksamkeit: Den Mitarbeitern sollte in erster Linie nicht Angst gemacht werden – das überfordert viele Kollegen eher und sorgt dafür, dass sie aufgeben: „Ich habe ohnehin keine Chance.“ Stattdessen sollte das Gefühl vermittelt werden: „Du kannst etwas bewegen, dein Einsatz und deine Aufmerksamkeit sind entscheidend, um als Unternehmen weiter gut zu funktionieren.“ Um die Mitarbeiter angemessen auf die Security Awareness Trainings vorzubereiten, sollten die Informationskampagnen unterschiedliche Kanäle bespielen sowie Team-Meetings, Videos und Rundmails umfassen.

Skillset: Intuitive Entscheidungen fördern

Den größten Erfolg verzeichnen Awareness Trainings, wenn sie theoretische und praktische Wissensvermittlung verbinden. Individuell auf die Unternehmensgröße und den Teilnehmerkreis zugeschnitten, vermitteln Präsenzschulungen, E-Learnings und Webinare den Mitarbeitern wichtige allgemeine Informationen über Spear-Phishing-Methoden. Wer die Nutzer jedoch wirksam gegen Angriffe im Arbeitsalltag wappnen möchte, sollte ergänzend praxisnahe Spear-Phishing-Simulationen durchführen. Diese verwenden echte Mitarbeiter- und Unternehmensinformationen, um tatsächliche Attacken nachzustellen. Fällt ein Mitarbeiter auf eine simulierte Fake-Mail herein, landet er direkt auf einer interaktiven Erklärseite. Hier bekommt er in mehreren Schritten gezeigt, wie er die erhaltene E-Mail hätte enttarnen können: an Buchstabendrehern in der Adresszeile, Fake-Subdomains oder zweifelhaften Links.

Spear-Phishing-Simulationen nutzen den „Most teachable Moment“ eines Mitarbeiters, indem sie ihn genau im richtigen Moment über sein potenziell schadhaftes Verhalten aufklären. So werden seine intuitiven Entscheidungen gefördert, die für die schnellen, unüberlegten Klicks auf erhaltene E-Mails verantwortlich sind. Unternehmen können sich sicher sein, dass ihre Mitarbeiter die Mails künftig sorgfältiger auf verdächtige Merkmale überprüfen. Um einen nachhaltigen Lerneffekt zu erzielen, sollten die Spear-Phishing-Simulationen kontinuierlich wiederholt und an die aktuellen Angreifer-Methoden angepasst werden.

Toolset: Aktuelle IT-Sicherheitstechnik installieren

Zur weiteren Stärkung der Phishing-Abwehr empfiehlt es sich, geeignete technische und organisatorische Maßnahmen zu einem passenden Toolset zu verknüpfen. So sollten Password Manager zur zentralen Speicherung und Verwaltung digitaler Identitäten eingesetzt werden. Sie verhindern, dass Mitarbeiter aus Bequemlichkeit immer die gleichen Log-in-Daten für ihre wichtigen Konten verwenden. Bei einem Passwort-Diebstahl stehen den Spear-Phishing-Betrügern dann nicht mehr automatisch alle anderen Nutzerkonten offen.

Auch die Zwei- oder Multi-Faktor-Authentifizierung (2FA/MFA) kann wirksam vor Log-in-Datenklau schützen – wenn sie auf State-of-the-Art-Technologien wie FIDO2 (Fast Identity Online) basiert. Denn die herkömmlichen 2FA/MFA-Verfahren bieten den Hackern zunehmend Angriffsfläche. So sind im Darknet für wenig Geld oder sogar kostenlos immer ausgeklügeltere Phishing Kits zu haben. Sie enthalten Software, mit der selbst technische Laien die Anmeldeseiten von Unternehmen und Online-Diensten imitieren können, um vetrauliche Nutzer-Passwörter abzuschöpfen. Mit FIDO2 lässt sich diese Gefahr bannen, da hier die Anmeldungen bei den Webservices stets verschlüsselt erfolgen.

Employee Security Index (ESI®): Lernfortschritte zuverlässig dokumentieren

Mindset – Skillset – Toolset: Mit diesem Dreiklang können sich Unternehmen nachhaltig vor Spear-Phishing-Kriminalität schützen. Dabei sollten sich die Trainings am individuellen Lernbedarf der Mitarbeiter ausrichten und eine kennzahlenbasierte Dokumentation der Lernfortschritte erlauben. Diese Möglichkeit bietet zum Beispiel der patentierte Employee Security Index (ESI®) von IT-Seal, der eine realitätsnahe und reproduzierbare Methode zur Awareness-Messung zur Verfügung stellt. Mit dem ESI können die Awareness Trainings an jedem gewünschten Sicherheitsniveau ausgerichtet und die Mitarbeiter gezielt auf dieses Ziel trainiert werden. Die Unternehmen erhalten eine verlässliche Kennzahl, um die einzelnen Mitarbeitergruppen miteinander zu vergleichen, ihre Lernfortschritte zu dokumentieren und den Einsatz weiterer Schulungsmaßnahmen abzuleiten.

Über den Autor

David Kelm ist Mitgründer und Geschäftsführer der IT-Seal GmbH, die auf den Schutz von Mitarbeitern gegen Social-Engineering-Angriffe spezialisiert ist. Seit Jahren beschäftigt er sich intensiv mit diesem Thema, unter anderem im Rahmen seiner Forschungstätigkeit an der TU Darmstadt. Kelms Erkenntnisse ließen IT-Seal zum führenden Anbieter von Security-Awareness-Trainings in Deutschland werden. Das Angebot bündelt innovative Methoden und Werkzeuge zur Messung und Schulung des Sicherheitsbewusstseins von Mitarbeitern. Seit Mai 2022 gehört IT-Seal zur Hornetsecurity-Gruppe, weltweit führender Anbieter von E-Mail-Cloud-Security und -Backup Lösungen, der Unternehmen und Organisationen aller Größenordnungen absichert.