Phis­hing – macht doch keiner mehr

Studien belegen, dass die größte Gefahr immer noch Phinshing-At­­ta­­cken sind. Sie ver­las­sen sich und setzen auf die Gut­gläu­big­keit der Mitarbeiter.
Die größte Gefahr für Daten­schutz und IT-Si­cher­heit im Un­ter­neh­men ist der Mensch. Der leicht­fer­ti­ge Umgang von Füh­rungs­kräf­ten und Mit­ar­bei­tern mit sen­si­blen Daten oder Si­cher­heits­stan­dard ge­fähr­den Un­ter­neh­men. 75 % der im Rahmen des De­loit­te Cyber-Se­­cu­ri­­ty Report 2017 be­frag­ten Un­ter­neh­men messen diesem leicht­fer­ti­gen Umgang eine große bis sehr große Gefahr bei. Von An­grei­fern genutzt werden, neben ge­fälsch­ter E-Mails, vor allem so ge­nann­te Spear-Pishing-Attacken.

Was ist eine Spear-Phishing-Attacke?
Unter dem Begriff Phis­hing (Neo­lo­gis­mus von fishing, engl. für ‚Angeln‘) ver­steht man Ver­su­che, über ge­fälsch­te Web­sei­ten, E-Mails oder Kurz­nach­rich­ten an per­sön­li­che Daten eines In­ter­net­be­nut­zers zu ge­lan­gen und damit Iden­ti­täts­dieb­stahl zu begehen. Bei Spear-Phis­hing handelt es sich um eine Be­trugs­ma­sche per elek­tro­ni­scher Kom­mu­ni­ka­ti­on, die auf be­stimm­te Per­so­nen, Or­ga­ni­sa­tio­nen oder Un­ter­neh­men abzielt *. Der An­grei­fer nutzt öf­fent­lich zu­gäng­li­che und ver­füg­ba­re Daten, um sich In­for­ma­tio­nen über die Ziel­per­son zu be­schaf­fen(„Social En­gi­nee­ring“). Der An­grei­fer nutzt diese Daten, um Ver­trau­en zur Ziel­per­son auf­zu­bau­en. An­lie­gen, Hin­wei­se und Auf­for­de­run­gen schei­nen plau­si­bel und das Phip­­hing-Opfer wird dazu ver­lei­tet auf den z.B. in die E-Mail ein­ge­bet­te­ten Link zum Öffnen einer ma­ni­pu­lier­ten Web­sei­te zu klicken zu klicken. Der Sender „weiß einfach zu viel“ als dass es nicht seine Rich­tig­keit hätte“. Wenn beim Emp­fän­ger kein (Funken) Miss­trau­en besteht, hat er Sender schon gewonnen.

Schutz­maß­nah­men
Her­kömm­li­che Si­cher­heits­maß­nah­men sind oft nicht in der Lage, der­ar­ti­ge An­grif­fe ab­zu­weh­ren, weil die An­grif­fe so ge­schickt auf die Ziel­per­so­nen zu­ge­schnit­ten wurden. Deshalb sind sie auch sehr schwer zu erkennen.
Um Spear-Phis­hing-Ver­­­su­che ab­zu­weh­ren, müssen Mit­ar­bei­ter die Be­dro­hun­gen, z. B. ge­fälsch­te E-Mails, kennen und er­ken­nen können.

Kleine Maß­nah­me – große Wirkung
Sen­si­bi­li­sie­rung der Mit­ar­bei­ter! Vor allem durch Schu­lun­gen wird Acht­sam­keit und ein „ge­sun­des Miss­trau­en“ ge­schaf­fen, aber auch re­gel­mä­ßi­ge Hin­wei­se, In­­­for­­ma­­ti­ons- und Merk­blät­ter sen­si­bi­li­sie­ren für die Gefahren.

Merk­ma­le einer Phis­hing-E-Mail: https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/merkmale-einer-phishingmail-6073
* De­fi­ni­ti­on Spear-Phis­hing https://www.kaspersky.de/resource-center/definitions/spear-phishing

Daten­schutz ist kein Produkt. Daten­schutz ist ein Prozess.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177.

17. Sep­tem­ber 2018