Die menschliche Firewall: Geschäftsführer Dariush Ansari im Interview zum Thema Phishing und Security Awareness
Die menschliche Firewall
Dariush Ansari, Geschäftsführer von IT-Sicherheitsspezialist Anqa IT-Security GmbH (ehemals Network Box Deutschland GmbH) aus Köln, über eines der größten Sicherheitsrisiken Phishing, warum Phishing-Mails so gefährlich sind und welche Erfolge mit Security Awareness Trainings zur Sensibilisierung der Mitarbeitern erzielt werden können.
Herr Ansari, was macht Phishing-E-Mails so gefährlich?
Ansari: Vor einigen Jahren erkannte man Phishing-Mails schon aus einer Meile Entfernung. Rechtschreibfehler in der Betreffzeile, ein Fließtext mit fehlerhafter Syntax und eine unglaubwürdige Aufforderung für eine Überweisung in ein fernes Land. Heute erreichen betrügerische E-Mails eine immens hohe Qualität und sind selbst für IT-Fachleute immer schwerer zu erkennen. Aussehen und Gestalt von Phishing-Angriffen werden zusehends ausgefallener und besser. Dazu zählen massenhaft versendete E-Mails, die sich fälschlicherweise als Banken, Shops oder Service-Anbieter ausgeben. Aber auch sogenannte Spear-Phishing-Attacken, die gezielt an einen einzelnen Empfänger versendet werden.
Können Sie ein Beispiel für Phishing-E-Mails nennen?
Ansari: Bei den Spear-Phishing-Attacken recherchiert der Hacker im Vorhinein meist Informationen über Kollegen und den Betrieb. Mit Hilfe dieser vertrauten Informationen bewegt er den Empfänger zum Klick auf einen schädlichen Link oder zur Installation von Malware. Sobald die Schadsoftware auf dem Firmen-Computer installiert ist, kann er Daten kopieren, stehlen oder vernichten, um dann den Versuch einer Erpressung zu starten. Ein anderes Beispiel ist das Phishing über eine Bewerbungs-E-Mail, wie beim Trojaner Emotet. Die E-Mail des vermeintlichen Bewerbers erscheint harmlos, da Anrede und offene Position korrekt sind. Hinter dem angehängten Lebenslauf oder dem in der E-Mail verlinkten Dokument verbergen sich jedoch Viren oder Trojaner, die sich auf dem Computer installieren.
Wie kann ich mich als Unternehmen schützen?
Ansari: Die wichtigste Abwehr beim Phishing ist ein aufgeklärter Mitarbeiter. Hierzu gibt es Phishing Awareness Trainings, die automatisch und fortlaufend Mitarbeiter für den richtigen Umgang mit E-Mails sensibilisieren. Anhand von realitätsgetreu imitierten Phishing-E-Mails lernen die Mitarbeiter, Phishing-Attacken selbstständig zu erkennen und das Unternehmen nachhaltig vor Phishing-Attacken zu schützen.
Wie läuft so ein Phishing-Training ab?
Ansari: In unserem Fall ist es so, dass wir in unregelmäßigen Abständen täuschend echte, aber simulierte Phishing-E-Mails an die Mitarbeiter im Unternehmen versenden. Auf Wunsch an einen E-Mail-Verteiler, einzelne Mitarbeiter oder im Namen der Geschäftsführung. Die betrügerischen E-Mails werden von unseren Experten aktuell kursierenden Phishing-Attacken nachempfunden. Auf diese Weise werden die Mitarbeiter für realistische Gefahren sensibilisiert. Dieser Service geschieht absolut automatisch. Sobald unsere simulierten Phishing-Mails in den Postfächern der Mitarbeiter liegen, zeigt sich, ob die Kollegen die Warnsignale erkennen oder aus Unwissenheit auf einen potenziell gefährlichen Link klicken oder einen vermeintlich kritischen Anhang herunterladen.
Was passiert, wenn ein Mitarbeiter auf den Link klickt?
Ansari: Er landet auf einer von uns realitätsgetreu gefälschten Website. Nach dem Versand der Phishing-Emails erstellen wir Auswertungen, gefolgt von einer gezielten Online-Schulungen auf unserer eigens entwickelten eLearning-Plattform. Jeder Mitarbeiter ist dazu angehalten, die Videos anschauen und am Ende eine Multiple-Choice-Prüfung ablegen. Nach einer gewissen Zeit versenden wir erneut eine Phishing-E-Mail, um zu prüfen, an welchen Stellen noch Schulungsbedarf ist. Lernen durch Wiederholung.
Welche Erfolge konnten Sie mit dem Awareness Training erzielen?
Ansari: Die Reports zeigen deutlich, wie sich der IT-Sicherheitsstatus der Mitarbeiter im Laufe des Trainings verbessert. Unsere Systemhauspartner profitieren dabei von attraktiven Reseller-Konditionen. Der Service steht auch Nicht-Networkbox-Kunden zur Verfügung. Erkennen die Mitarbeiter die Warnsignale für betrügerische E-Mails korrekt, macht sich das aber nicht nur in ihren Phishing-Training-Statistiken bemerkbar. Jeder Mitarbeiter, der erfolgreich auf Phishing-Mails sensibilisiert wurde, ist ein wichtiger Baustein in der Hacker-Abwehr des Betriebes. Wie eine Art menschliche Firewall. Denn am Ende kann ganzheitliche IT-Sicherheit nur funktionieren, wenn alle Faktoren mit einbezogen werden. Und dazu trägt der Faktor Mensch einen großen Teil bei.
Ihr Partner für ganzheitliche IT-Sicherheit. Wir übernehmen für unsere Systemhauspartner und Unternehmen vollumfänglich den Bereich IT-Sicherheit. Von der UTM-Firewall über Cyber Security Awareness Trainings bis hin zur IT-Sicherheitsberatung.