2023 Autor: Susan Creighton | [email protected]. Zuletzt bearbeitet: 2023-05-24 11:14
Mehrere Schichten hochtechnologischer, hochentwickelter Cybersicherheitslösungen können Cyberangreifer davon abhalten, in das Netzwerk Ihres Unternehmens einzudringen und vertrauliche Daten zu stehlen. Die besten Sicherheitsprogramme helfen jedoch nicht, wenn sie durch die Eingangstür eingelassen werden.
Einer Studie von Verizon aus dem Jahr 2017 zufolge verwendeten 43 Prozent der Datenschutzverletzungen irgendeine Form von Phishing. Es ist kein Geheimnis, dass Datenverletzungen Unternehmen aufgrund von Netzwerkausfällen, Schadensreparaturen und potenziellen Rechtsstreitigkeiten Millionen von Dollar kosten.
Phishing und Spear-Phishing sind die bewährte Methode für Hacker, um auf das Netzwerk und die Anwendungen eines Unternehmens zuzugreifen. Dabei werden einfache Hacking-Techniken verwendet, um Anmeldeinformationen abzurufen oder Mitarbeiter zum Herunterladen eines schädlichen Anhangs oder Klicken auf einen verdächtigen Link zu verleiten. Laut SecurityIQ können 30 von 100 Mitarbeitern keine Phishing-E-Mail identifizieren.
Einige Phishing-Versuche können einfach anhand der E-Mail-Adresse des Absenders erkannt werden. Einige sind offensichtlich betrügerische E-Mails, die durch Hinweise wie schlechte Grammatik und Rechtschreibung, das Fehlen eines Unternehmenslogos oder von Grafiken oder durch seltsam platzierte Grafiken aufgedeckt werden. Bei einigen Versuchen werden der Benutzername, das Kennwort und andere Anmeldeinformationen des Mitarbeiters abgefragt, nach denen ein Unternehmen nicht fragen würde. In anderen Fällen verwenden Hacker ausgefeiltere Techniken, wie das Fälschen von E-Mail-Adressen, die mit der URL des Unternehmens, den Unternehmensgrafiken und den persönlichen Informationen (Namen, Titel usw.) der Mitarbeiter übereinstimmen, die sie möglicherweise online gefunden haben, um ihre Glaubwürdigkeit zu überprüfen. Sorgfältige Aufmerksamkeit für Details kann ausreichen, um Mitarbeiter zum Verteilen vertraulicher Informationen oder zum Herunterladen von Malware zu verleiten. [Interessiert an Netzwerksicherheitsdiensten ? Schauen Sie sich unsere besten Tipps auf unserer Schwestersite Business.com an.]
Die Schulung der Mitarbeiter zum Erkennen und Melden von Phishing-E-Mails ist unbedingt erforderlich, um katastrophale Verstöße zu vermeiden. Manchmal ist es jedoch notwendig, dieses Training auf die Probe zu stellen.
Ähnlich wie bei regelmäßigen Feuerwehrübungen, um Mitarbeiter auf einen Notfall vorzubereiten, ist es ratsam, Phishing-Versuche zu simulieren, um Mitarbeiter auf dem Laufenden zu halten, Schwachstellen im Netzwerk zu identifizieren und sie über diese Art von Angriffen zu informieren.
Eine Phishing-Simulation ausführen
Ausgetrickst zu werden fühlt sich nie gut an, und es kann sein, dass sich einige Mitarbeiter schämen, auf Ihren Phishing-Versuch hereinzufallen. Schämen oder bestrafen Sie daher niemals öffentlich Mitarbeiter, die auf Phishing-E-Mail-Links oder -Anhänge klicken oder vertrauliche Informationen herausgeben. Diese Übungen sollten ein Lerninstrument für das gesamte Unternehmen sein. Ihre Absicht muss klar zum Ausdruck gebracht und denen mitgeteilt werden, die Sie testen.
Ähnlich wie bei einer Feuerwehrübung, einer Erdbebenübung oder einer anderen Sicherheitsübung ist es keine schlechte Idee, den Mitarbeitern mitzuteilen, dass Sie einen Cybersicherheitstest durchführen, damit sie ein besseres Bewusstsein dafür haben. Sie müssen ihnen nicht mitteilen, wann oder wie der Test durchgeführt wird - nur, dass er innerhalb eines bestimmten Zeitraums durchgeführt wird. Informieren Sie die Mitarbeiter nach der Simulation darüber, was der Test war und wie sie die Ergebnisse verbessern können. Manchmal ist es eine große Hilfe, Ihren Mitarbeitern zu zeigen, was eine Phishing-E-Mail ist und wie irreführend sie sein können.
Nachdem Sie die Ergebnisse gesammelt und festgestellt haben, wie viele Mitarbeiter negative Ergebnisse erzielt haben, können Sie feststellen, welche und wie viele Cybersicherheitsschulungen für Ihr Büro erforderlich sind. Führen Sie den Test nach einem erneuten Training und nach einiger Zeit erneut durch. Wenn die Mitarbeiter wachsamer sind, ist möglicherweise eine offizielle Belohnung angebracht.
Phishing-Simulationswerkzeuge
Wenn Sie Ihre Mitarbeiter auf die Probe stellen möchten, gibt es verschiedene Möglichkeiten. Eine der einfachsten Möglichkeiten besteht darin, ein externes Unternehmen damit zu beauftragen. Viele Netzwerksicherheitsdienste, wie z. B. Core Security, bieten umfassende Schwachstellentests für Unternehmen. Diese Bewertungen umfassen nicht nur Phishing-Simulationen, sondern testen alle Aspekte Ihrer Netzwerksicherheit. Sie geben Ihnen einen Überblick über Ihr aktuelles Sicherheitsmodell und dessen Funktionsweise sowie eine Liste mit Empfehlungen, wie Sie sich verbessern können, einschließlich der Frage, ob in Ihrem Büro ein besseres Phishing-Training erforderlich ist.
Diese Schwachstellentests können teuer sein. Wenn Sie also nach einer kostengünstigen Möglichkeit zum Phishing von Mitarbeitern suchen, stehen Ihnen online verschiedene kostenlose und kostengünstige Tools zur Verfügung, mit denen Sie dies erreichen können. Gophish ist ein kostenloses Open-Source-Phishing-Tool zum Einrichten von Phishing-Kampagnen. Sie können verschiedene Vorlagen hochladen, um die Anfälligkeit von Mitarbeitern für verschiedene Arten von Phishing-Versuchen zu testen, z. B. das Abrufen von Anmeldeinformationen oder das Klicken auf schädliche Links. Für Gophish und die meisten anderen Open-Source-Tools sind jedoch HTML-Kenntnisse erforderlich, um eine überzeugende Phishing-Kampagne zu erstellen.
