Social Engineering Phishing-Prävention: Wie Mitarbeiter zur Verteidigung gegen Angriffe werden

Anbieter zum Thema

KnowBe4

InfoGuard AG

d.velop AG

xSuite Group GmbH

Esker Software Entwicklungs-und Vertrieb

Das Ziel bei Phishing-Angriffen ist immer der Mensch. Dabei kann schon ein Klick einer zu viel sein. Dieser kann einen Schaden in Millionenhöhe verursachen. Cybersicherheit und Phishing-Prävention funktioniert am effektivsten mit Einbezug der Mitarbeiter.

Phishing-Mails greifen häufig Alltagsthemen auf und nutzen diese in Betreffzeilen und Textinhalten. Im Unternehmensumfeld sind es vor allem Ereignisse, die persönliche Aspekte betreffen, die bei Cyberkriminellen beliebt sind. Die am häufigsten angeklickten Phishing-Mails beziehen sich auf Personalangelegenheiten oder wichtige Nachrichten.

Diese Inhalte wecken die Neugierde der Mitarbeiter, da sie das Berufs- und Privatleben betreffen können. Beispiele dafür sind Ankündigungen zu Bonuszahlungen oder Nicht-Freigabe von geplanten Urlauben. Solche Nachrichten sind so wirksam, weil sie oft zu einer Reaktion veranlassen, bevor überhaupt über die Legitimität der E-Mail nachgedacht wird.

Der menschliche Faktor in der Cybersicherheit

Mitarbeiter müssen sich über Cyber­gefahren im Klaren sein, damit Unternehmen nachhaltig vor diesen geschützt werden. Deshalb hat sich Phishing-Prävention mittlerweile zu einem strategischen Kernelement entwickelt, mit welchem den Herausforderungen des Social Enginnering begegnet wird.

Die reine Förderung des Bewusstseins alleine reicht aber nicht aus, um nachhaltige Verhaltensänderungen herbeizuführen. Dazu braucht es gezielte e-Learnings mit regelmäßiger Auffrischung des Wissens und die Erprobung in der Praxis. Fast ein Drittel aller Mitarbeiter in der DACH-Region hat laut dem „2023 Phishing by Industry Benchmarking Report“ von KnowBe4 bereits mindestens einmal auf einen verdächtigen Link geklickt oder eine betrügerische Anfrage beantwortet.

Phishing-Prävention: Verschiedene Wege, ein Ziel

Unternehmen können Plattformen nutzen, die Trainingsmodule, Phishingsimulationen und gamifizierte Ansätze anbieten. So ist es sinnvoll, verschiedene Formate und Medien zu nutzen – von auditiven bis visuellen Inhalten und ernsthaften sowie spielerischen Ansätzen.

Dabei können die Anforderungen an ein Phishing-Prävention-Programm schnell die Kapazitäten der IT-Sicherheitsverantwortlichen in KMU überschreiten. In diesen Fällen kommen Serviceanbieter ins Spiel. Als Managed Service Provider kombinieren sie Module aus dem Sicherheitsbereich mit Beratungsangeboten. Kunden profitieren von einer belastbaren Infrastruktur mit reichhaltiger Erfahrung aus der Beratung. Experten aus der IT-Sicherheit, dem Marketing und den Kommunikationswissenschaften arbeiten gewinnbringend in mehreren Projekten zusammen. Ein hohes Maß an Qualität und Verfügbarkeit ist garantiert.

Phishing-Prävention: Fazit

Zahlreiche Unternehmen, die eine Kombination aus Schulungen und simulierten Phishing-Tests einsetzen, können eine positive Veränderung feststellen. Innerhalb von 90 Tagen nach der Durchführung von monatlichen oder häufigeren Security Awareness-Schulungen sinkt laut Untersuchungen die durchschnittliche Gefahr, dass Mitarbeiter auf Phishing-Mails klicken, auf unter 20 Prozent. Neue Verhaltensweisen können zur Normalität werden – besonders dann, wenn mehrere Abteilungen von Beginn an involviert sind und die Programme sorgfältig geplant sowie organisiert werden. Die sich die Bedrohungslage ständig ändert, muss das Programm stets flexibel und agil bleiben, um sicherzustellen, dass Mitarbeiter auf die neueste Gefahrenlage reagieren können.