Zwar gibt es zahlreiche Technologien, um Phishing-E-Mails zu erkennen und zu limitieren. Dennoch stellt letztendlich der Mensch die letzte Verteidigungslinie gegen Angriffe des Social-Engineerings dar. Denn längst haben Cyberkriminelle ihre Techniken und Methoden den neuen Begebenheiten angepasst.
Irgendwann wird jedes Unternehmen oder jede Organisation einmal von einem Phishing Angriff betroffen. Alles zu sperren oder die geschäftliche Kommunikation zu behindern, wäre hier nicht der richtige Lösungsansatz. Stattdessen müssen die Mitarbeiter - und zwar von der Führungsebene bis hin zu den Auszubildenden - in die Lage versetzt werden, Phishing-E-Mails zu erkennen.
Best-Practice bei Phishing-Attacken
Um Schäden durch Social Engineering Phishing-Attacken vorzubeugen und zu begrenzen, müssen sämtliche Teams seitens der Managementebene über das Thema aufgeklärt werden. Nur mit dem Wissen über Phishing-Angriffe können diese effektiv verhindert werden. Dazu gehört beispielsweise, zu wissen, wo die eigenen Informationen online veröffentlicht sind und wie diese möglicherweise von Kriminellen missbraucht werden können.
Bedeutung des digitalen Fußabdrucks
Mittlerweile nehmen sich Cyberkriminelle die Zeit, möglichst viele Daten über ihre Opfer zu recherchieren. Hierzu verwenden sie den Namen und mit diesem verknüpfte soziale Medien und durchsuchen diese. Auch die Google-Suche bietet eine einfache Möglichkeit, alle verfügbaren Daten über eine Person zu ermitteln.
Auf diese Weise kann ein Profil über die Zielpersonen erstellt werden: Mitgliedschaft im Fitnessstudio, Freundeskreis, häufig besuchte Orte, Universität oder die Arbeitsstelle. Auch Details wie Geburtsdatum, Familienstand oder Wohnanschrift sind häufig einfach im Internet veröffentlicht.
Mitarbeiter müssen sich jedoch darüber bewusst sein, dass sie mit jeder Bekanntgabe privater Informationen ein Einfallstor schaffen. Beispielsweise, wenn sie über soziale Medien regelmäßig private Informationen teilen. Angreifer können diese Informationen gezielt nutzen, um überzeugende Phishing-E-Mails zu verfassen. Beispiele hierfür wären ein unechter Gutscheincode, der vermeintlich von einer beliebten Location stammt, wo sich der Betroffene gerne aufhält. Je besser der E-Mail-Inhalt zu den Lebensumständen des Opfers passt, umso größer ist die Gefahr, dass die Zielperson auf die Betrügerei hereinfällt.
Sozialer Druck
Das menschliche Verhalten ist in der Regel schwer zu ändern. Sozialer Druck und Stresssituationen wirken auf die Art und Weise, wie Menschen reagieren. Cyberkriminelle nutzen dies aus, um ihre Opfer zu verunsichern und zu beeinflussen. Wenn z.B. ein:e neue:r Mitarbeiter:in innerhalb seiner ersten Arbeitswoche einen dringenden Auftrag von einer vermeintlichen Führungskraft per E-Mail erhält, ist es sehr wahrscheinlich, dass die Person der Bitte nachkommt, um sich motiviert und engagiert zu zeigen.
Doch auch Emotionen spielen beim Verfassen von Phishing-E-Mails eine Rolle. Hier wäre z.B. das Hilfegesuch eines vermeintlichen Freundes oder Kollegen, der schnell Informationen und Unterstützung benötigt. Phishing-Angreifer können solche E-Mails relativ schnell erstellen und das schon mit grundlegenden Daten. Damit wird der Druck auf das Opfer erhöht und die Wahrscheinlichkeit für unbedachte Klicks auf einen unseriösen Link steigt.
Phishing-Attacken erkennen
Wenn die grundlegenden Elemente von Social Engineering Phishing-Attacken allgemein bekannt sind, dann ist es wichtig, solche E-Mails zuverlässig zu erkennen und richtig zu handeln. Zur Erkennung und Reaktion auf Phishing-E-Mails sollte im Team eine offene Kommunikation und absolute Transparenz herrschen. Potentielle Angriffe sollten umgehend gemeldet werden. Und das auch dann, wenn ein Opfer eine E-Mail bereits geöffnet oder einen E-Mail-Anhang gedownloadet hat. Dies kann aber nur dann geschehen, wenn für solche Situationen im Team ein positives Umfeld geschaffen wird und Teammitglieder für Meldungen nicht schikaniert werden.
Damit Cyberattacken rechtzeitig erkannt werden, braucht es eine Unternehmenskultur, die IT-Sicherheit als Fokusthema behandelt. Dies muss in allen Hierarchieebenen täglich gelebt werden.