Aktuelles, Experten, Studien - geschrieben von dp am Freitag, Juni 12, 2020 22:52 - noch keine Kommentare
Phishing: Abwehr-Kampagnen ganzheitlich denken
Zeit und Geld in erster Linie in die Verbesserung der technischen Sicherheit investieren und erst dann Angestellte schulen
[datensicherheit.de, 12.06.2020] Bekanntermaßen sind gefälschte E-Mails noch immer das Medium der Wahl für Cyber-Kriminelle, um sich vertrauliche Daten zu erschleichen oder Schadprogramme einzuschleusen. Einige Unternehmen versuchen daher, die Resistenz ihrer Mitarbeiter gegen solche Angriffe mit Hilfe von Phishing-Kampagnen zu prüfen und vermeintlich zu verbessern – hierzu werden den Angestellten bewusst simulierte Phishing-Mails geschickt. Ein aktueller Bericht von Wissenschaftlerinnen des Karlsruher Instituts für Technologie (KIT) und der Ruhr Universität Bochum beleuchtet Phishing-Kampagnen unter den Aspekten „Security, Recht und Faktor Mensch“.
Öffnen oder nicht? Absender von Phishing-Mails geben sich oft als bekannte Dienstleister oder Kollegen aus!
Phishing: E-Mails haben Anschein hoher Glaubwürdigkeit
Solche gefälschten E-Mails haben den Anschein hoher Glaubwürdigkeit, denn deren Absender geben sich als bekannte Dienstleister, Kollegen oder Vorgesetzte aus. Das Ziel der cyber-kriminellen Absender ist klar: Arglose Empfänger sollen dazu verleitet werden, auf einen Link zu klicken, um in der Folge Kontodaten und Passwörter abzufischen oder Schadprogramme aufzuspielen.
Das KIT warnt: Es genüge, dass ein einzelner Angestellter einem Phishing-Angriff Glauben schenkt, um großen Schaden zu verursachen. Um zu testen, wie ihre Mitarbeiter auf Phishing-Mails reagieren, nutzten manche Firmen und Institutionen Phishing-Kampagnen externer Dienstleister. Mit Wissen der Unternehmensleitung würden fingierte Phishing-Mails an die Angestellten geschickt.
Phishing: Abwehr-Kampagnen müssen rechtlich, sicherheitstechnisch und ethisch vertretbar sein
„Die Kampagnen haben das Ziel, Mitarbeiterinnen und Mitarbeiter bewusst zu täuschen, um sie vor realen Gefahren zu schützen und ein Problembewusstsein zu schaffen, aber es herrschen oft Unsicherheiten darüber, was rechtlich, sicherheitstechnisch und ethisch vertretbar ist“, so die Professorinnen Melanie Volkamer, Leiterin der Forschungsgruppe „SECUSO – Security, Usability and Society“ am KIT, und Franziska Boehm vom Zentrum für Angewandte Rechtswissenschaft des KIT gemeinsam mit der Bochumer Professorin für „Human-Centred Security“ am Horst-Görtz-Institut für IT Sicherheit, M. Angela Sasse.
Ihr online frei zugänglicher Forschungsbericht beschreibt demnach verschiedene Gestaltungsformen und -ziele von Phishing-Kampagnen und damit verbundene Fragen im Kontext von IT- und Informationssicherheit, Fragen zum Arbeitnehmer- und Datenschutz sowie Fragen der Vertrauenskultur und der Selbstwirksamkeit von Angestellten. Er nehme die Aussagekraft und Fallstricke der Kampagnen in den Blick und biete Information unter anderem für IT- und Informationssicherheitsbeauftragte.
Phishing-Kampagnen bringen auch Sicherheitsprobleme mit sich
„Phishing-Kampagnen bringen eine Reihe von Sicherheitsproblemen mit sich, und sie beeinflussen die Vertrauens- und Fehlerkultur in einem Unternehmen stark; auch rechtlich ist einiges zu berücksichtigen“, erläutert Professorin Boehm, die neben ihrer Professur am KIT auch Bereichsleiterin für Immaterialgüterrechte in verteilten Informationsinfrastrukturen (IGR) am FIZ Karlsruhe – Leibniz-Institut für Informationsinfrastruktur ist.
„Eine Kampagne zu starten ohne die Angestellten vorher darüber aufzuklären, ist schlicht unfair und trägt nicht zum Vertrauen in die Leitung bei“, betont Professorin Sasse, die am Exzellenzcluster „Cyber-Sicherheit im Zeitalter großskaliger Angreifer“, kurz CASA, forscht und Abschlüsse in Arbeitspsychologie und Informatik hat. Zu erfahren, dass man auf Phishing-Nachrichten hereingefallen ist, wirke sich schlecht auf die Selbstwirksamkeit aus: „Die Angestellten merken, dass sie keine Kontrolle über die Situation haben und reagieren mit Resignation, sie bemühen sich nicht einmal mehr, Phishing-Nachrichten zu erkennen“, warnen die Autorinnen.
Phishing: Meldepflicht für IT-Sicherheitsvorfälle vor Abwehr-Kampagne etablieren
„Wenn die Mitarbeiter aber wissen, dass die Kampagne läuft, sind sie vielleicht neugierig und klicken eine Mail an, in der Annahme, da kann nichts passieren, die Mail ist ja fingiert. Da aber weiterhin echte Phishing-Mails im Umlauf sind, wird das Schutzniveau herabgesetzt“, weiß Professorin Volkamer zu berichten, die am Kompetenzzentrum für angewandte Sicherheitstechnologie (KASTEL) Karlsruhe forscht, einem von deutschlandweit drei Kompetenzzentren für Cyber-Sicherheit.
Verstärkt werde das Problem, wenn ein Mitarbeiter merkt, dass er doch einen gefährlichen Link angeklickt hat und sich nicht traut, dies zu melden. Im Unternehmen sollte deshalb vor Start einer Phishing-Kampagne bereits eine Meldepflicht für IT-Sicherheitsvorfälle etabliert sein, betont die Informatikerin.
Phishing: Abwehr-Kampagnen könnten IT-Sicherheit negativ konnotieren
Bei einer angekündigten Kampagne sei zu erwarten, dass die Mitarbeiter weitaus mehr Nachrichten kritisch hinterfragen und übervorsichtig sein würden, dadurch könne sich der Zeit- und Leistungsdruck erhöhen, was sich ebenfalls negativ auf das Vertrauen in die Geschäftsleitung auswirke. „Security wird meist ohnehin als lästig und störend empfunden, aus unserer Sicht ist es ein großes Problem von Phishing-Kampagnen, dass sie das Thema noch negativer belegen, denn letztlich greift dabei die Leitung ihre Angestellten an“, führt Professorin Sasse aus.
Die Autorinnen raten Unternehmen, die ihre IT-Sicherheit stärken wollen, Zeit und Geld in erster Linie in eine Verbesserung der technischen Sicherheitsmaßnahmen zu investieren und erst dann die Angestellten zu schulen, welche Phishing-Nachrichten sie trotz der aktuellen Sicherheitssoftware und des neuesten Betriebssystems dann noch erreichen können – und wie sie diese erkennen.
Weitere Informationen zum Thema:
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren