Studien belegen, dass die größte Gefahr immer noch Phinshing-Attacken sind. Sie verlassen sich und setzen auf die Gutgläubigkeit der Mitarbeiter.
Die größte Gefahr für Datenschutz und IT-Sicherheit im Unternehmen ist der Mensch. Der leichtfertige Umgang von Führungskräften und Mitarbeitern mit sensiblen Daten oder Sicherheitsstandard gefährden Unternehmen. 75 % der im Rahmen des Deloitte Cyber-Security Report 2017 befragten Unternehmen messen diesem leichtfertigen Umgang eine große bis sehr große Gefahr bei. Von Angreifern genutzt werden, neben gefälschter E-Mails, vor allem so genannte Spear-Pishing-Attacken.
Was ist eine Spear-Phishing-Attacke?
Unter dem Begriff Phishing (Neologismus von fishing, engl. für ‚Angeln‘) versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internetbenutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Bei Spear-Phishing handelt es sich um eine Betrugsmasche per elektronischer Kommunikation, die auf bestimmte Personen, Organisationen oder Unternehmen abzielt *. Der Angreifer nutzt öffentlich zugängliche und verfügbare Daten, um sich Informationen über die Zielperson zu beschaffen(„Social Engineering“). Der Angreifer nutzt diese Daten, um Vertrauen zur Zielperson aufzubauen. Anliegen, Hinweise und Aufforderungen scheinen plausibel und das Phiphing-Opfer wird dazu verleitet auf den z.B. in die E-Mail eingebetteten Link zum Öffnen einer manipulierten Webseite zu klicken zu klicken. Der Sender „weiß einfach zu viel“ als dass es nicht seine Richtigkeit hätte“. Wenn beim Empfänger kein (Funken) Misstrauen besteht, hat er Sender schon gewonnen.
Schutzmaßnahmen
Herkömmliche Sicherheitsmaßnahmen sind oft nicht in der Lage, derartige Angriffe abzuwehren, weil die Angriffe so geschickt auf die Zielpersonen zugeschnitten wurden. Deshalb sind sie auch sehr schwer zu erkennen.
Um Spear-Phishing-Versuche abzuwehren, müssen Mitarbeiter die Bedrohungen, z. B. gefälschte E-Mails, kennen und erkennen können.
Kleine Maßnahme – große Wirkung
Sensibilisierung der Mitarbeiter! Vor allem durch Schulungen wird Achtsamkeit und ein „gesundes Misstrauen“ geschaffen, aber auch regelmäßige Hinweise, Informations- und Merkblätter sensibilisieren für die Gefahren.
Merkmale einer Phishing-E-Mail: https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/merkmale-einer-phishingmail-6073
* Definition Spear-Phishing https://www.kaspersky.de/resource-center/definitions/spear-phishing
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
Wenn Sie Fragen haben, kontaktieren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177.
17. September 2018