zum Inhalt springen
Kontakt

Und es hat Klick gemacht – wie Sie Ihr Unternehmen vor Phishing-Angriffen schützen

Maria Hunger
Security Awareness 1200 x 600 px

 

Ständig hört man in der Presse, dass die IT-Sicherheit von Unternehmen verbessert werden muss – und scheinbar hängt alles nur an der IT-Abteilung und den schlecht gesicherten „Einfallstoren“ im Unternehmensnetzwerk oder der Webseite. Doch das ist so nicht richtig.

95 % aller Cyber-Angriffe lassen sich auf menschliches Versagen zurückführen, so das World Economic Forum. Und es werden immer mehr Phishing-Angriffe, allein 2021 stiegen diese um 200 %. Schlimmer noch: Seit Jahren klicken immer noch 2,9 % der Mitarbeiter auf Spam- oder Phishing-Mails.

Sind die Mitarbeitenden zu dumm?

Anhand der Zahlen könnte man glauben, dass nur dumme Menschen die gefälschten E-Mails nicht erkennen und dann daraufklicken. Doch die Hacker werden jedes Jahr klüger. Heutige Phishing-Angriffe sind lange geplant und bestens vorbereitet. Damit so viele Empfänger wie nur möglich die E-Mails und am besten noch die Anhänge öffnen, wird das Erscheinungsbild eines Paketservices, einer Bank oder eines Online-Shops identisch nachgebaut.

Um die Empfänger zum Öffnen zu verleiten, stehen meist dringliche Informationen drin, die eine sofortige Handlung erfordern, z. B. wird ein Konto gesperrt, ein Paket kann nicht zugestellt werden oder der E-Mail-Account wird demnächst gelöscht.
Nur wenn man sich gut auskennt, kann man die Phishing-Mail als solche erkennen. Meistens führen die angegebenen Links nicht zur Original-Webseite, sondern zu einer, die so ähnlich geschrieben wird.


Intelligente Angriffe auf die Supply Chain


Die meisten der Phishing-Mails richten sich an Privatpersonen. Wer aber glaubt, hinter der firmeneigenen Firewall wäre er oder sie sicher, der irrt. Denn viele Hacker haben sich auf Supply-Chain-Angriffe spezialisiert. Und das bedeutet: Statt das gewünschte Grossunternehmen direkt anzugehen, greift man die kleinen Partner und Zulieferer an, die meist viel schlechter geschützt sind.
Dabei reicht es schon, in die E-Mail-Korrespondenz vorzudringen. Der Angreifer benötigt nur E-Mail-Adressen, Namen und die Titel der empfangenen E-Mails. Mit diesen Informationen kann der Hacker bereits eine täuschend echt aussehende Phishing-Mail an das Hauptunternehmen senden. Statt einer vermeintlichen E-Mail-Antwort eines Geschäftspartners, erhält man eine Phishing-Mail. Und auf solch eine veränderte E-Mail fallen sehr viele rein.

Das ist erst der Anfang


Eine Phishing-Attacke ist meist nur der Anfang. Sie dient dazu, weitere „Tore“ zu öffnen und sich immer mehr dem „Unternehmensschatz“ nähern zu können – das heisst Ihren businesskritischen Daten.
Deshalb dauern Cyber-Angriffe mittlerweile oft Wochen oder Monate, bis letztendlich zugegriffen und die Daten gestohlen und verschlüsselt werden. So lange wird im Verborgenen operiert.

Die Leuchter IT Solutions AG kennt diese Tricks und die Verfahren, wie Hacker bei ihren Angriffen vorgehen. Aus diesem Grund haben wir eine Lösung speziell für Mitarbeitende in Unternehmen entwickelt:

das Leuchter Social Awareness Training.

Anhand unserer Leuchter Cyber Security Awareness Simulation prüfen wir Ihr Unternehmensnetzwerk und vor allem das Verhalten Ihrer Mitarbeitenden. Dabei verändern wir nichts an Ihrem IT-System und achten auf eine möglichst realitätsnahe Simulation. Nach Abschluss der Simulation erarbeiten wir Schulungs- und Lösungsszenarien speziell für Ihr Unternehmen.

Der Ablauf des Cyber Security Awareness Trainings


1. Durchführen einer Phishing-Kampagne
2. Auswertung der Schwachstellen
3. Weiterbildung und Sensibilisierung der Mitarbeitenden
4. Überprüfung des Gelernten mittels einer neuen und nun schwereren Phishing-Kampagne


Zum Leuchter Cyber Security Awareness Training

 

Security Awareness

Für die Durchführung des Security Awareness Trainings wird eine entsprechende Software (inkl. Lizenzkosten und Support) verwendet. Der Kunde erhält Lesezugriff für alle erzeugten Daten der Kampagne. Jeder Mitarbeitende bekommt zudem ein individuelles Login, um das eigene Testergebnis und die Schulungsunterlagen einsehen zu können.

Es werden keine Veränderungen am bestehenden System vorgenommen. Es muss also weder die Firewall noch allfällig eingesetzte Spamfinder umkonfiguriert werden. Nur so kann der Angriff realitätsnah durchgeführt werden.

Da Phishing, Spam und Viren immer häufiger und raffinierter auftreten, werden Angriffe immer gezielter und schwerer zu erkennen. Wir empfehlen Unternehmen deshalb, Angriffssimulationen und Trainings regelmässig durchzuführen.

Ihre Vorteile mit Leuchter Cyber Security Awareness Training:


• Höchste IT-Sicherheit
• Keine Veränderungen am bestehenden IT-System (Firewall, Spamfinder etc.)
• Gezielte Sensibilisierung und Schulung von Mitarbeitenden
• Fortschreitende Verbesserung der IT-Sicherheit durch regelmässige Testzyklen
• Erkennen und analysieren abteilungsspezifischer Risiken

Das Leuchter Security Awareness Training ist eine wichtige und logische Ergänzung Ihrer Security-Strategie. Ohne die Sensibilisierung Ihrer Mitarbeitenden für das Thema Security, ist es leicht für Hacker, Ihre Sicherheitsvorkehrungen zu umgehen.


Mehr dazu:
Leuchter Cyber Security Awareness Training
So brutal erpressen Hacker Schweizer Firmen
IT-Risikofaktor Mensch: Cyberbedrohungen und die Rolle des Nationalen Zentrums für Cybersicherheit
Nationales Zentrum für Cybersicherheit: Halbjahresbericht 2021/2

Sie möchten mehr über dieses Projekt oder das Leuchter SOC erfahren? Gerne beantworten wir Ihre Fragen.Kontakt aufnehmen