So umgehen Mitarbeiter Phishing-Fallen von Cyberkriminellen

Bei Phishing-Angriffen kann schon ein falscher Mausklick einen Millionenschaden verursachen. [...]

Quelle: Rudy+PeterSkitterians/Pixabay

Damit Mitarbeitende im Fall der Fälle die richtige Entscheidung treffen, gibt Ontinue vier Tipps, wie Unternehmen das Bewusstsein ihrer Belegschaft schärfen und die Sicherheitsarchitektur verbessern können.​

Mit immer intelligenteren Anwendungen versuchen Cyberkriminelle die Sicherheitssysteme von Unternehmen auszuhebeln und die interne IT zu infiltrieren. Während Phishing-Versuche vor wenigen Jahren noch vergleichsweise leicht erkennbar waren, simuliert Social Engineering heute täuschend echt anmutende Anfragen von Kollegen oder Kunden – oft mittels geklauter oder gefakter Identitäten, die die Erkennung immer schwieriger machen.

Mit an Bord sind KI-gestützte Tools, die die Effizienz der Cyberkriminellen steigern und die Anzahl der Attacken in die Höhe treiben. Phishing-Prävention ist daher so aktuell wie nie. Ontinue gibt vier Tipps, mit denen Unternehmen sich wappnen können. 

  1. Regelmäßige Trainings:
    • Bei den meisten Menschen lösen regelmäßige Security-Warnmeldungen vor allem eins aus – Gewöhnung. Diese so genannte Alert Fatigue führt also genau zum Gegenteil des gewünschten Effekts: Mitarbeitende werden desensibilisiert und nehmen Risiken auf die leichte Schulter. Regelmäßige Trainings, die das Bewusstsein für Phishing-Versuche schärfen, leisten deshalb einen wichtigen Beitrag zur Cybersicherheit. IT-Sicherheitsteams können Mitarbeitende beispielsweise durch unangekündigte Phishing-Tests in verschiedenen Kanälen und Prozessen sensibilisieren oder sie durch regelmäßige Schulungen zu neuen Entwicklungen informieren. 
  2. Interne IT-Richtlinien:
    • Von der privaten Nutzung beruflicher IT bis zu Remote Work in öffentlichen Netzen – die Trennung zwischen Beruf und Alltag verschwimmt bei vielen Mitarbeitenden immer stärker. Dadurch entstehen neue Risiken für die Cybersicherheit, die neben einer höheren Awareness auch klare interne Vorgaben erfordern. Unternehmen müssen beispielsweise definieren, über welche Admin- und Installationsrechte Mitarbeitende verfügen oder zu welchen Zwecken die IT genutzt werden darf. Auch das Monitoring der eingesetzten Devices mit Endpoint-Detection-and-Response-Lösungen (EDR) ermöglicht die frühzeitige Erkennung von Incidents, wenn Mitarbeitende Schadsoftware installieren oder unsichere Netzwerke nutzen. 
  3. Intelligente Prozesse:
    • Unbedacht geöffnet oder schnell die Freigabe erteilt – selbst erfahrene Experten sind vor Phishing-Versuchen nicht gefeit, wenn der Triggerpunkt sie anspricht oder sie routinierten Abläufen folgen. Mit einer sinnvoll platzierten Multi-Faktor-Authentifizierung oder einer erweiterten Schleife bei der Datenfreigabe können IT-Verantwortliche deshalb zusätzliche Sicherheitsnetze in die Arbeitsabläufen integrieren. Das sorgt dafür, dass unterbewusst ablaufende Arbeitsprozesse von Mitarbeitenden unterbrochen werden. Die Wahrscheinlichkeit, Phishing-Versuche rechtzeitig zu erkennen, steigt damit an. 
  4. Unbürokratische Meldung:
    • Wenn die Schadsoftware ihren Weg in die Unternehmens-IT gefunden hat, gibt es nur eine zielführende Gegenmaßnahme: ein aktives und schnelles Handeln des Security Operations Center (SOC). Je weniger Zeit vergeht, bis das Sicherheitsteam über den Incident informiert ist, umso schneller können Systeme isoliert und damit der Schaden begrenzt werden. Ein unbürokratisches Meldesystem und eine moderne Fehlerkultur sind deshalb unabdingbar dafür, dass Mitarbeitende verdächtige Aktivitäten sofort melden und nicht versuchen, aus Angst vor Konsequenzen etwas zu vertuschen. Das bedeutet auch, kontinuierlich aus Risiken und Fehlern zu lernen. 
Portraitfoto von Jochen Koehler, der sich hier zur Ausbildung von Mitarbeitern gegen Phishing äußert.

„In Zeiten hoher Cyberkriminalität sind Unternehmen mehr denn je auf aufmerksame und trainierte Mitarbeiter angewiesen, die sich nicht von ausgefuchsten Phishing-Versuchen ködern lassen“, erklärt Jochen Koehler, VP EMEA Sales bei Ontinue.

(Quelle: privat)

„IT-Verantwortliche können sie dabei zielführend begleiten, indem sie ein strukturiertes Anwendungsportfolio bereitstellen, Mitarbeitende regelmäßig trainieren und ein SOC betreiben. Da vor allem letztere Maßnahme mit hohem personellen und finanziellen Aufwand verbunden ist, lohnt sich gerade für Mittelständler die Überlegung, mit MXDR-Service-Partnern zusammenzuarbeiten.“


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*