Viele Filme und andere Medien haben eine womöglich etwas verzerrte Vorstellung davon, was Hacker genau machen. Aber eine Serie zeigt es richtig: Mr. Robot. Hier wird klargestellt, dass die schwächste Stelle eines Unternehmens in der Regel seine Mitarbeiter sind. Der sogenannte „menschliche Faktor“.
Viele Datenschutzverletzungen und andere Sicherheitsprobleme hätten vermutlich vermieden werden können, würden Menschen keine Fehler machen. Nur leider gibt es keine echte Möglichkeit, den „menschlichen Faktor“ zu eliminieren, da Menschen psychologische Schwächen haben. Irren ist menschlich und niemand ist perfekt. Und das wissen Kriminelle, weshalb sie die Schwächen der Menschen immer wieder ausnutzen und Cyberattacken immer komplexere Formen annehmen.
Auch wenn es nicht immer vermeidbar ist, so gibt es dennoch Möglichkeiten, Mitarbeiter so auszurüsten, dass sie besser vor Cyberangriffen geschützt sind. Insbesondere gegen Phishing-Angriffe, die bei weitem häufigste Angriffsmethode von Hackern.
Wie Sie Ihre Mitarbeiter schulen können, um Phishing-Angriffe zu vermeiden?
1. Sorgen Sie für angemessene Aufklärung über Phishing und Cybersicherheit
Viele Menschen wissen nicht genau, was Phishing ist, wie es funktioniert oder wie Phishing-E-Mails bzw. -Nachrichten überhaupt aussehen. Der erste Schritt zum Schutz sollte immer Aufklärung sein. Es ist wichtig, dass Mitarbeiter über die verschiedenen Arten von Phishing-Angriffen unterrichtet werden und dass sie wissen, worauf sie achten müssen.
Unternehmen geben Tausende, manchmal sogar Millionen Euros für die Sicherheitsinfrastruktur aus. Wenn überhaupt, wird davon nur ein geringer Teil für die Schulung der Mitarbeiter in Sicherheitsfragen ausgegeben! Kein Wunder also, dass die Mitarbeiter immer noch als das schwächste Glied gelten.
Bringen Sie Ihren Mitarbeitern bei, wie sie Phishing-Versuche erkennen können:
- Phishing-Versuche enthalten fast immer einen Link, einen herunterladbaren Anhang oder eine Anweisung, welche die Leute auffordert, etwas so schnell wie möglich zu tun.
- Oft (aber nicht immer) sind viele Rechtschreibfehler enthalten.
- Die E-Mail oder Nachricht kann ein Gefühl der Dringlichkeit vermitteln, um Menschen dazu zu bringen, schnell zu handeln ohne nachzudenken.
- Es kann sich um eine Drohung oder sogar Erpressung handeln, wie es beispielsweise bei Sextortion-Phishing-Betrug der Fall ist.
- Die E-Mail-Signatur sieht in der Regel seltsam oder anders als normal aus.
- Trotz aller üblichen verräterischen Anzeichen können Phishing-E-Mails legitim wirken und aussehen. Hacker können Spear-Phishing-Angriffe durchführen, die den Eindruck erwecken, ein bekanntes Unternehmen, eine Bank oder ein Auftragnehmer hätte die E-Mail gesendet. Mitarbeiter sollten jedoch mit gesundem Menschenverstand darüber nachdenken, ob diese E-Mail gerechtfertigt war: Enthält die E-Mail womöglich einen Link und fordert Sie ohne nachvollziehbaren Grund auf, sich bei einem Konto anzumelden? Die meisten Banken zum Beispiel werden keine E-Mail versenden, in der Sie dazu aufgefordert werden, sich in ihr Konto einzuloggen oder einen bestimmten Link zu klicken.
- Phishing-E-Mails oder -Nachrichten kommen nicht immer von Fremden. Manchmal werden sie von den kompromittierten Konten von Freunden, Arbeitskollegen oder anderen Kontakten gesendet.
2. Frischen Sie einmal im Jahr das Gedächtnis auf
Um die Systeme des Unternehmens zu schützen, muss man die Mitarbeiter nicht nur schulen, sondern ihnen auch helfen, sichere Gewohnheiten zu entwickeln. Eine der wirksamsten Möglichkeiten, bei Menschen gute Gewohnheiten zu entwickeln, ist die Wiederholung. In diesem Fall bedeutet das, wichtige Informationen über Phishing zu wiederholen, damit sie in den Köpfen der Mitarbeiter frisch bleiben.
3. Führen Sie mehr Cybersecurity-Tools ein
In diesem Fall erfüllen Cybersecurity-Tools eine doppelte Funktion. Zunächst erhöhen sie natürlich den Schutz der Unternehmenssysteme und des geistigen Eigentums. Aber sie haben auch den zusätzlichen Vorteil, dass sie die Menschen an das Thema Sicherheit erinnern. Wenn sich jemand jeden Tag in ein VPN einloggen muss, wird er daran erinnert, dass er seine Daten sicher aufbewahren muss.
Viele VPNs bieten Business-Pakete mit großartigen Angeboten an, so dass dies auch keinen großen Schlag für das Firmenbudget darstellt. Aber sind diese Anbieter und ihre Systeme sicher? Nicht alle VPNs sind vertrauenswürdig, insbesondere die kostenlosen. Stellen Sie daher sicher, dass Sie ausreichend recherchieren und die zuverlässigsten Cybersicherheits-Tools auswählen.
Das Gleiche gilt im Übrigen für Firmen-Firewalls, Antivirenprogramme, andere Formen der Datenverschlüsselung und Online-Konten.
4. Richten Sie Protokolle für Ihre Mitarbeiter ein
Mitarbeiter über Phishing-Angriffe aufzuklären ist nur die halbe Miete. Es sollte auch eine Reihe von Protokollen für den Fall geben, dass sie eine Nachricht oder E-Mail identifiziert haben, die ein Phishing-Angriff sein könnte. Normalerweise sollte dies mit der IT-Abteilung oder dem CISO (Chief Information Security Officer) koordiniert werden, um sie über alles Verdächtige zu informieren.
Die Person, die für die Cybersicherheit verantwortlich ist (und da sollte es immer jemanden geben, selbst bei kleineren Unternehmen), muss jede Meldung ernst nehmen. Sie muss dann mit dem Mitarbeiter zusammenarbeiten, um den Phishing-Versuch zu verifizieren und festzustellen, ob weitere Schritte unternommen werden müssen.
Das Unternehmen kann auch Protokolle einrichten, die vorschreiben, wie Mitarbeiter persönliche Geräte bei der Arbeit oder für die Arbeit nutzen. Wenn jemand sein Smartphone nutzt, um Firmen-E-Mails zu lesen, dann muss er auf diesem Gerät das gleiche Sicherheitsniveau anwenden.
FAZIT
Es ist schwierig, ein Unternehmen zu jeder Zeit und überall abzusichern. Aber wenn die Mitarbeiter nicht in diese Bemühungen einbezogen werden, setzen sie das Unternehmen aktiv einem großen Risiko aus.
Mit Hilfe einiger Schulungen und geeigneter Sicherheitsprotokolle ist es bereits möglich, das Risiko des menschlichen Faktors mit relativ geringen Aufwänden erheblich zu verringern.
Quelle: übersetzt aus dem Englischen (https://www.hackread.com/employees-to-distinguish-phishing-attacks/)