Phishing ist heute die häufigste Form der Internetkriminalität. Nach Angaben der
FBI
Die Häufigkeit von Angriffen hat sich von 2019 auf 241.324 Vorfälle im Jahr 2020 fast verdoppelt und verbreitet sich weiterhin wie ein Lauffeuer.
Seit dem
nigerianischen Prinz-Betrug
In den 1980er Jahren haben Phishing-Angriffe einen langen Weg zurückgelegt und sind sehr viel raffinierter geworden. Moderne Phishing-Angriffe sind zielgerichtet und nutzen fortschrittliche Techniken und Vorwände, um die Erfolgswahrscheinlichkeit zu erhöhen. Sie gehen sogar so weit, dass sie sich hinter bekannten Markennamen, ihren Logos und anderen Erkennungsmerkmalen verstecken, um Personen dazu zu verleiten, auf bösartige Links und Anhänge zuzugreifen.
Keine Branche, Organisation oder Einzelperson ist gegen Phishing-Bedrohungen immun, aber sie können Maßnahmen ergreifen, um einen Angriff zu verhindern. Diese Prävention beginnt mit einem wirksamen Phishing-Schutz als Teil Ihres allgemeinen Programms zur Sensibilisierung für Cybersicherheit.
Dieser Leitfaden richtet sich an Sicherheits- und Cybersicherheitsverantwortliche und -experten, die einen datengesteuerten, verhaltensändernden Phishing-Schutz für ihre Mitarbeiter benötigen. In diesem Leitfaden erfahren Sie alles, was Sie über den Schutz vor Phishing wissen müssen, einschließlich:
- Ein kurzer Überblick über Phishing und Phishing-Schutz
- Warum Ihre Mitarbeiter vor Phishing geschützt werden müssen
- Die häufigsten Arten von Phishing-Angriffen, auf die Sie achten sollten
- Phishing-bezogene Begriffe, die Sie beachten sollten
- Warum Phishing-Simulationen scheitern
- Wie man Phishing-Angriffe im Keim erstickt
- Tipps zur Steigerung der Wirksamkeit Ihres Phishing-Schutzprogramms
- Unverzichtbare Phishing-Ressourcen
- Wie Sie Ihren Phishing-Schutzplan in Gang bringen
Lesen Sie weiter und erfahren Sie, wie Sie wie Sie Ihr Unternehmen vor einem Phishing-Angriff schützen können, indem Sie Ihren Mitarbeitern einen wirksamen Phishing-Schutz zur Verfügung stellen.
Was ist Phishing?
Phishing ist ein Cybersecurity-Angriff, bei dem E-Mail-, Telefon- oder Textnachrichten als von einer bekannten Marke wie PayPal oder Netflix stammend getarnt werden. Er nutzt Tricks, um Personen dazu zu verleiten, auf einen Link zu einer gut gemachten gefälschten Website oder Domain zu klicken. Auf der Website hinterlassen die Opfer ihre persönlichen Daten oder Kreditkartennummern, die die Angreifer dann nutzen, um Geräte zu kompromittieren und Informationen zu stehlen.
Diese Nachrichten werden häufig verwendet:
- Aufmerksamkeitserregende Betreffzeilen: Die Betreffzeilen von Phishing-Kampagnen sind einprägsam und enthalten zwingende Handlungsaufforderungen, um ein Gefühl der Angst zu erzeugen, etwas zu verpassen (FOMO).
- Authentisch aussehende Hyperlinks: Hacker verwenden Betriebssystem-Tools, um falsche Links zu verschleiern und sie harmlos aussehen zu lassen.
- Zu-gut-um-wahr-zu-sein-Inhalte: Hacker erstellen Phishing-Kampagnen, die auf kostenlosen Werbegeschenken oder unrealistischen Rabatten basieren, insbesondere vor Feiertagen oder Großveranstaltungen.
Alle Phishing-Betrügereien laufen in der Regel nach dem gleichen Muster ab:
- Ein Hacker sendet eine bösartige Nachricht an einen ahnungslosen Benutzer.
- Das potenzielle Opfer öffnet die Nachricht und klickt auf den Hyperlink.
- Das Opfer wird auf eine Phishing-Website umgeleitet, wo es seine persönlichen oder beruflichen Daten eingibt.
- Der Hacker stiehlt die Daten und verkauft sie dann im Dark Web oder nutzt sie für andere bösartige Zwecke.
Um diese Art von Angriffen zu verhindern, benötigen Unternehmen einen Phishing-Schutz.
Was ist Phishing-Schutz?
Der Schutz vor Phishing ist ist Teil der allgemeinen Cybersicherheitsstrategie eines Unternehmens, um zu verhindern, dass Cyberangreifer Zugang zu Daten und sensiblen Informationen erhalten und diese stehlen. Phishing-Schutz besteht aus den folgenden Komponenten.
Schulung zur Sensibilisierung
In Sensibilisierungsschulungen werden die Mitarbeiter über die verschiedenen Arten von Phishing informiert, darüber, wie sie funktionieren, worauf sie achten müssen und wie sie reagieren sollen, wenn sie einen Angriff vermuten. So lernen die Mitarbeiter beispielsweise, wie sie bösartige URLs erkennen und mit einer E-Mail umgehen, die einen verdächtigen Anhang enthält.
Phishing-Simulationen
Phishing-Simulationen den Mitarbeitern anhand praktischer Übungen beizubringen, wie sie mit Phishing-Angriffen umgehen können. Um effektiv zu sein, müssen die Simulationen regelmäßig und mit größerer Häufigkeit durchgeführt werden und sich auf die Bedrohungen konzentrieren, mit denen die Mitarbeiter aufgrund ihrer Funktion, ihrer Abteilung oder ihres Standorts am ehesten konfrontiert sind.
Anti-Phishing-Software
Anti-Phishing-Software
prüft den Inhalt von E-Mails, Websites und anderen Möglichkeiten, über das Internet auf Daten zuzugreifen, und warnt dann den Benutzer vor einer Bedrohung. Sie verhindert auch, dass Phishing-E-Mails in den Posteingang eines Mitarbeiters gelangen.
Warum Phishing-Schutz wichtig ist
Der Schutz vor Phishing ist aus mehreren Gründen von entscheidender Bedeutung: Häufigkeit der Angriffe, Kosten eines Angriffs und mangelndes Phishing-Bewusstsein der Mitarbeiter.
Die Zahl der Phishing-Angriffe nimmt zu
Als Technologie und Digitalisierung die Automatisierung und die Effizienz von Unternehmensabläufen weltweit erhöht haben, haben sie den Bösewichten neue Möglichkeiten eröffnet, Verbrechen zu begehen. Während der COVID-19-Pandemie arbeiteten die Hacker weiter und entwickelten neue betrügerische Websites, die zu folgenden Ergebnissen führten 7 Millionen Standorte insgesamt zwischen 2019 und 2020.
Die Hacker entdeckten auch neue Ziele und entwickelten neue Angriffsarten. Unternehmerische Nutzer von Microsoft 365 (ehemals Office 365) E-MailVor allem das Internet ist zu einem der Hauptziele von Phishing-Angriffen geworden, die im zweiten Quartal 2021 51 Prozent der Angriffe zum Diebstahl von Zugangsdaten ausmachten. Auch Apple-Benutzer sind schon Opfer von Phishing geworden, insbesondere von Smishing, was zu einer
700 Prozent Anstieg Anfang 2021
im Vergleich zur zweiten Hälfte des Jahres 2020. Die Zahl der Phishing-Angriffe wird weiter zunehmen, da Cyberkriminelle inzwischen automatisierte Tools entwickelt haben, um auf Social-Media-Plattformen, Unternehmenswebsites und Netzwerken nach Daten zu suchen und diese zu stehlen.
Die Folgen von Phishing-Angriffen sind kostspielig
Die Folgen eines Phishing-Angriffs – und zwar jedes Cyberangriffs oder jeder Datenverletzung– können für Ihr Unternehmen von großem Nachteil sein. Phishing-Angriffe führen zu Geschäftsunterbrechungen, Rufschädigung, finanziellen Verlusten, gestohlenem geistigen Eigentum und möglichen Geldstrafen für schwerwiegende Datenschutzverletzungen. Allein die Bußgelder können über eine Million Dollar kosten, aber die anderen finanziellen Auswirkungen sind noch viel höher.
In den letzten sechs Jahren haben sich die finanziellen Auswirkungen von Phishing-Angriffen vervierfacht. Die durchschnittlichen Kosten eines Angriffs
sind auf 14,8 Millionen Dollar angestiegen
pro Jahr für US-Unternehmen im Jahr 2021, was einem Anstieg von 11 Millionen Dollar seit 2015 entspricht. Allein im Jahr 2020 stellte das FBI fest, dass die Business Email Compromise (BEC) die Amerikaner
über 4 Milliarden Dollar
.
Mitarbeiter werden nicht für Cybersicherheit geschult
Eine Studie von IBM nennt menschliches Versagen und Systempannen als
Ursache für die Hälfte der Datenschutzverletzungen
. Phishing-Angriffe beruhen jedoch fast ausschließlich auf menschlichem Versagen, damit sie erfolgreich sind. Die Mitarbeiter können nicht aufhören, auf Links zu klicken, und sie werden es auch nicht tun, es sei denn, sie haben
wirksame Schulungen zum Thema Cybersicherheit
und
Phishing-Schutz
.
Aber nicht alle Phishing-Schutzprogramme sind gleich. Einige generieren lediglich Klickraten als Maß für Erfolg oder Misserfolg, um festzustellen, ob Mitarbeiter oder eine Organisation einen potenziellen Angriff erkennen können. Sie geben keine unmittelbare Rückmeldung und versäumen es, die Mitarbeiter in dem Moment einzubinden, in dem sie die Lektion aus ihren Fehlern lernen und behalten wollen. Ein wirksamer Phishing-Schutz vermittelt den Mitarbeitern das Wissen, die Fähigkeiten und das Vertrauen, das sie brauchen, um Phishing-Bedrohungen zu erkennen und Angriffe zu stoppen, bevor sie Ihrem Unternehmen, Ihrer Marke, Ihren Werten und Ihren Kunden schaden.
Arten von Phishing-Angriffen
Auch wenn sich Phishing-Angriffe weiterentwickeln, sollten Sie auf die folgenden häufigen Arten von Phishing-Angriffen achten:
- Klon-Phishing: Duplizierte legitim aussehende Geschäfts-E-Mails, die die Zielpersonen dazu verleiten, auf einen Link zu klicken, der durch einen bösartigen Link ersetzt wird.
- Deep Fake: Einsatz künstlicher Intelligenz zur Verbreitung falscher Informationen oder Propaganda durch Manipulation der gesprochenen Worte, Verhaltensweisen und Ausdrücke einer Person, die ursprünglich als Audio- oder Videoaufnahme aufgezeichnet wurden.
- E-Mail-Phishing: Eine scheinbar legitime E-Mail-Nachricht, die eine Person dazu verleitet, auf einen Link zu klicken, über den sie unwissentlich persönliche Informationen oder Anmeldedaten preisgibt.
- Pharming: Eine Strategie, um legitim aussehende Links in Phishing-E-Mails zu erzeugen, indem Internetnutzer von einer bestimmten, legitimen Seite auf eine bösartige Seite umgeleitet werden durch Änderung der DNS-Tabelle (Domain Name System) auf dem Host-Webserver.
- SMS-Phishing oder Smishing: Ein Phishing-Betrug über Textkommunikation, bei dem Linkverkürzer verwendet werden, um bösartige Links in einer Textnachricht zu verstecken.
Speer-Phishing
: Ein Phishing-Betrug, bei dem Hacker eine Einzelperson oder eine kleine Gruppe ausfindig machen und diese dann mit einem personalisierten Vorwand angreifen, um einen größeren Erfolg zu erzielen als bei einem allgemeinen Angriff.- Sprach-Phishing oder Vishing: Ein Phishing-Betrug über das Telefon, bei dem sich ein „Visher“ als Vertreter eines Kundendienstes oder einer Behörde ausgibt, um die Zielperson dazu zu bringen, vertrauliche Informationen preiszugeben oder Geld an den Angreifer zu schicken.
- Whaling: Eine Art von Phishing-Angriff, bei dem Mitarbeiter der Führungsebene auf einen „gefälschten“ Notfall hereinfallen, bei dem sie auf einen Link oder Anhang klicken, der Malware installiert oder vertrauliche Informationen stiehlt.
Phishing-Terminologie, die Sie kennen müssen
Wenn Sie Programme zum Schutz vor Phishing als Teil Ihrer
Strategie zur Sensibilisierung für Cybersicherheit
für Ihr Unternehmen erkunden, sollten Sie die folgenden Schlüsselbegriffe im Hinterkopf behalten:
- Automatisierte Klicks: Die Anzahl der im Hintergrund aufgezeichneten Klicks aus Phishing-Simulationen.
- Verstoß gegen: Unbefugtes Eindringen, um Zugang zu Computerdaten, Anwendungen, Netzwerken oder Geräten zu erhalten. Auch bezeichnet als
Sicherheitsverletzung
oder
Datenverletzung
. - Klickraten: Der Prozentsatz der Mitarbeiter, die auf einen Link in einer Phishing-Simulation klicken.
- Einhaltung der Vorschriften: Die Anwendung wirksamer technischer und praktischer Sicherheitsmaßnahmen, um die gesetzlichen oder vertraglichen Anforderungen eines Dritten zu erfüllen. Beispiele sind SOC 2, HIPAA und GDPR.
- Cyberangriff: Unbefugter Zugriff und Beschädigung eines Computers, Systems oder Netzwerks mit dem Ziel, technische Systeme zu zerstören oder zu kontrollieren und die darin enthaltenen Daten zu ändern, zu löschen, zu sperren oder zu stehlen.
- Cyberkriminalität: Böswillige Nutzung von Technologie oder technischen Geräten, um Informationen zu stehlen oder Schaden anzurichten. Beispiele sind Phishing, Identitätsdiebstahl, Hacking und andere Social-Engineering-Angriffe.
- Cyber-Sicherheit: Schutz vor unbefugtem Zugriff auf das Ökosystem von technischen Geräten, Netzwerken, Hardware, Software, Systemen und den darin enthaltenen Informationen.
- Phishing-Bewusstsein: Teil der Sicherheitsrichtlinien eines Unternehmens, der sich darauf bezieht, dass die Mitarbeiter in Schulungen und Simulationen lernen, wie sie sich vor Phishing-Angriffen schützen können.
- Denial of Service (DoS) Angriff: Ein Angriff, der darauf abzielt, einen Rechner oder ein Netzwerk für seine autorisierten Benutzer unzugänglich zu machen.
- Hacker: Eine technisch versierte Person, die sich unbefugt Zugang zu Systemen, Netzwerken oder Daten verschafft, um Straftaten zu begehen.
- Bösartiger Akteur: Eine Entität, die das Potenzial hat, die IT-Sicherheit eines Unternehmens zu durchbrechen. Auch bezeichnet als
Bedrohungsakteur
. - Malware: Bösartiger Code – z. B. Viren, Würmer und Trojaner -, mit dem sich Hacker Zugang zu vertraulichen Informationen verschaffen und Schaden anrichten.
- Man-in-the-middle-Angriff: Eine Möglichkeit für einen Angreifer, den Datenverkehr zwischen zwei Parteien heimlich zu belauschen oder zu verändern, um Anmeldeinformationen oder persönliche Informationen zu stehlen oder Daten zu zerstören oder zu beschädigen.
- Ransomware: Malware, die den Zugriff auf das Computersystem oder die Daten eines Unternehmens blockiert und Dateien verschlüsselt, so dass die Angreifer Daten stehlen oder ein Lösegeld für die Entsperrung verlangen können.
- Risiko: Die Wahrscheinlichkeit einer Gefährdung oder eines Verlusts, der durch einen Cyberangriff oder eine Datenverletzung entstehen kann.
- Sicherheit: Die Menschen, Richtlinien und Werkzeuge, die die Vermögenswerte und das Eigentum einer Organisation schützen.
- Sicherheitsposition: Die Cybersicherheitsbereitschaft der Mitarbeiter und der Technologie einer Organisation, um ihre IT-Infrastruktur, ihr Netzwerk, ihre Informationen und ihre Ausrüstung vor Angriffen zu schützen.
- Segmentierung: Ein datengestützter Ansatz, bei dem die Mitarbeiter je nach Bedrohungsrisiko für das Unternehmen in Gruppen eingeteilt werden.
- Simulationstraining: Ein Ansatz zum Schutz vor Phishing, der reale Angriffe nachahmt, wie sie im Arbeitsablauf eines Mitarbeiters auftreten.
- Bedrohung: Die Möglichkeit eines internen oder externen Angriffs, um unbefugten Zugang zu Informationen, geistigem Eigentum oder Daten zu erhalten, diese zu beschädigen oder zu stehlen. Auch bezeichnet als
Cyber-Bedrohung
. - Trojanisches Pferd: Malware oder Virus, der so getarnt ist, dass er legitim aussieht, aber die Kontrolle über einen Computer übernimmt, um Daten oder Informationen in einem Netzwerk zu beschädigen, zu schädigen oder zu stehlen.
- Virus: Malware, die sich auf Geräten ausbreitet, um sie zu beschädigen oder die Daten auf ihnen zu stehlen.
- Schwachstelle: Eine Schwachstelle im Softwarecode, eine Fehlkonfiguration des Systems oder Sicherheitspraktiken, die Hacker ausnutzen, um unbefugten Zugriff auf ein System, ein Netzwerk oder Daten zu erhalten.
- Wurm: Ein selbstreplizierendes Programm, das sich über ein Netzwerk verbreitet und nach Sicherheitslücken sucht, um vertrauliche Informationen zu stehlen, Dateien zu beschädigen oder Fernzugriff auf das System zu erhalten.
- Null Vertrauen: Das Konzept, dass alle internen und externen Benutzer eine Sicherheitsauthentifizierung, -autorisierung und -validierung benötigen, bevor sie Zugriff auf Anwendungen oder Daten erhalten.
Warum Phishing-Simulationen scheitern
Wenn Unternehmen Phishing-Kampagnen durchführen, aber selbst Opfer eines Angriffs werden, liegt das oft an mehreren häufigen Fehlern. Lesen Sie weiter und erfahren Sie mehr über die
Fünf Gründe, warum Phishing-Simulationen scheitern
.
Sie sind zu schwierig
Sicherheitsverantwortliche gehen fälschlicherweise davon aus, dass alle Mitarbeiter das gleiche oder ein ähnliches Wissen über Phishing haben. Das Wissen und die Vertrautheit, die ein Mitarbeiter mit Phishing hat, sind jedoch von seinen individuellen Erfahrungen abhängig. Einige haben vielleicht
einige Kenntnisse
über Phishing, andere haben vielleicht
wenig bis gar kein Wissen
darüber, und einige wenige haben vielleicht
solide Kenntnisse
davon.
Abgesehen vom grundlegenden Verständnis haben die Sicherheitsteams das Bedürfnis, ein spezifisches, überforderndes Risiko zu schaffen. Diese Simulationen scheitern, weil die Mitarbeiter schnell darauf hereinfallen und sich fragen, ob der eigentliche Zweck der Simulation darin bestand, sie zum Klicken zu verleiten. Stattdessen müssen die Sicherheitsteams die Mitarbeiter an Phishing-Simulationen heranführen, damit sie im Laufe der Zeit ihre Fortschritte beim Verständnis des Inhalts nachweisen können.
Sie richten sich nur an bestimmte Gruppen oder Abteilungen
Einige Phishing-Simulationen sind so angelegt, dass sie nur auf Teile eines Unternehmens abzielen. Die anderen Mitarbeiter des Unternehmens sind bei diesem Ansatz nicht ausreichend gegen einen möglichen Angriff geschützt. Phisher werfen ein weites Netz aus, um zu sehen, wo sie ein ahnungsloses Opfer ausnutzen können. Ein einziger menschlicher Fehler genügt, um sich Zugang zu verschaffen.
Bei der Durchführung von Phishing-Simulationen können es sich Sicherheitsteams nicht leisten, Gruppen auszuwählen, von denen sie glauben, dass sie ein höheres Risiko darstellen. Dies erhöht das Bedrohungsrisiko für den Rest des Unternehmens und fördert das Misstrauen der Mitarbeiter, die sich als Risikogruppe fühlen könnten. Stattdessen müssen Phishing-Simulationen auf jeden Mitarbeiter im Unternehmen abzielen, und zwar über alle Bereiche, Abteilungen, Führungsebenen und Standorte hinweg.
Sie binden die Mitarbeiter nicht ein
Umfassende und lange Vorträge, Videos oder Lesematerialien bringen den Mitarbeitern nicht die wichtigen Lektionen über Phishing bei. Wenn Phishing-Inhalte zu tiefgründig oder zu allgemein gehalten sind, fällt es den Mitarbeitern schwer, die Informationen aufzunehmen, zu lernen und zu behalten. Diese Einheitslösung für den Phishing-Schutz mag zwar schnell und einfach zu realisieren sein, ist aber ineffektiv.
Der Schutz vor Phishing erfordert dynamische Inhalte, die auf dem Fachwissen über organisatorisches Lernen und Entwicklung basieren. Es erfordert Ressourcen, um maßgeschneiderte Versionen zu erstellen, die sich eng an die Abteilung und die Position jedes Mitarbeiters im Unternehmen anlehnen und es ihm ermöglichen, aus seinen Fehlern zu lernen.
Sie sind schlecht getimt
Einmalige Phishing-Ansätze mögen wie ein effizienter Weg erscheinen, um Mitarbeiter zu schulen, aber das Konzept ist trügerisch. Wenn Sicherheitsteams Phishing-Simulationen an alle Mitarbeiter am gleichen Tag und zur gleichen Zeit versenden, geht der Prozess nach hinten los. Mitarbeiter, die die Simulations-E-Mails erkennen oder auf die darin enthaltenen Links klicken, alarmieren häufig andere Mitarbeiter, die sie dann an den Helpdesk melden. Die Mitarbeiter verpassen den wertvollen Trainingsaspekt des Planspiels und erzeugen ungenaue Klickraten.
Eine effektive Phishing-Simulation erfordert:
- Anpassen von E-Mails nach Aufgabenbereich, Abteilung oder Standort
- Sorgfältige Koordinierung des Zeitpunkts der Versendung
- Überwachung des Prozesses und der Ergebnisse
- Sicherstellen, dass der Helpdesk mit dem Zeitplan einverstanden ist, damit er nicht mit Anrufen überlastet wird
Wenn Sie diesen Ansatz verfolgen, wird Ihr Unternehmen genauere und effektivere Ergebnisse erzielen, die auf präzisen Kennzahlen beruhen, die sowohl Fortschritte als auch Probleme anzeigen, die zusätzliche Schulungen erfordern.
Sie betonen das Scheitern gegenüber den Ergebnissen
Klickraten scheinen ein gutes Maß für Phishing-Simulationen zu sein, aber sie sind irreführend. Sie weisen nur nach, wo Mitarbeiter eine Simulation nicht bestanden haben. Und wenn die Mitarbeiter im Voraus über eine Simulation Bescheid wissen, sind sie eher bereit, darauf zu achten und nicht darauf zu klicken. In diesem Sinne werden die Klickraten auf der niedrigen Seite verfälscht.
Die Messung des Erfolgs einer Phishing-Simulation muss über die Klickraten hinausgehen. Sie muss untersucht werden:
- Die Anzahl der Klicks eines Mitarbeiters auf einen Link nach mehreren Aufforderungen
- Engagement der Mitarbeiter beim Lernen der Sicherheitsschulung
- Der allgemeine Fortschritt, den die Organisation bei der Einführung einer Sicherheitskultur macht
Anstatt auf Misserfolge zu schauen, müssen die Phishing-Simulationskennzahlen die Fortschritte jedes einzelnen Mitarbeiters im Laufe der Zeit messen, da sie zu einer allgemeinen Verhaltensänderung im Unternehmen beitragen.
Wie man Cyberangriffe mit Phishing-Schutz stoppt
Um Ihr gesamtes Unternehmen vor Phishing-Angriffen zu schützen, ist eine engagierte und effektive
Phishing-Bewusstseinsschulung
etwas, das herkömmliche Phishing-Schutzprogramme nicht bieten können. Folgen Sie diesen Schritten, um Bereiten Sie Ihre Mitarbeiter als erste Verteidigungslinie vor, um Phishing-Bedrohungen zu stoppen.
1. Identifizieren Sie Ihren ‚Phish‘
So starten Sie Ihren Phishing-Schutzplan auf dem richtigen Weg, müssen Sie wissen, auf welche Art von Phishing-Angriffen Sie abzielen. Sie könnten zum Beispiel mit einer ausführlichen Schulung über E-Mail-Phishing beginnen. Wenn die Mitarbeiter zeigen, dass sie den Inhalt verstehen, können Sie zur nächsten Angriffsart übergehen, z. B. zum Vishing.
2. Konzentrieren Sie sich auf die individuellen Bedürfnisse Ihrer Mitarbeiter
Passen Sie die Schulungsinhalte an die Rolle, die kulturelle Erfahrung oder die Sprache der einzelnen Mitarbeiter an. Die Mitarbeiter lernen und behalten den Stoff besser, so dass sie ihn bei einem echten Phishing-Angriff anwenden können. So können Sie Ihr Unternehmen und Ihre Mitarbeiter erfolgreicher vor Angriffen schützen als mit einer allgemeinen Phishing-Schutzlösung.
3. Mitarbeiter in Simulationen einbinden
Taten sprechen lauter als Worte. Das Gleiche gilt für Phishing-Schutzprogramme, die Mitarbeiter in reale Phishing-Simulationen einbinden – ein wichtiges Kriterium, das einmalige, lange Schulungen nicht erfüllen können. Machen Sie wiederkehrende Phishing-Simulationen zu einem Teil des Arbeitsablaufs Ihrer Mitarbeiter, um sie leichter dazu zu bringen, zu hinterfragen, ob eine E-Mail echt oder ein Betrug ist.
4. Inhalte in kleinen Häppchen vermitteln
Um die Inhalte des Phishing-Schutzes besser zu behalten, sollten Sie den Mitarbeitern kurze, prägnante Lektionen in kleinen Häppchen geben. Die Lektionen sollten nicht länger als eine Minute dauern, damit die Mitarbeiter die Informationen schnell überfliegen und sich mit ihnen beschäftigen können. Wenn die Mitarbeiter kleine Häppchen von Inhalten direkt in ihrem Arbeitsablauf erhalten, können sie diese besser behalten, so dass sie die Lektion lernen und sie anwenden können, wenn sie mit einer echten Phishing-Bedrohung konfrontiert werden.
5. Ständige Fortbildung
Schulen Sie Ihre Mitarbeiter kontinuierlich mit Phishing-Simulationen und prägnanten Inhalten, um das Bewusstsein für potenzielle Bedrohungen zu schärfen. Auch wenn Sie die Ausbildung für eine Angriffsart abgeschlossen haben, können Sie die Ausbildung für eine andere Angriffsart fortsetzen. Indem sie die Schulung in ihren Arbeitsablauf integrieren, wird sie Teil ihrer täglichen Routine.
6. Wirksamkeit mit Daten messen
Um die Wirksamkeit Ihres Phishing-Schutzprogramms zu ermitteln, sollten Sie nicht nur die Klickraten betrachten. Wenn Sie Ihre Mitarbeiter kontinuierlich schulen, sehen Sie, wie sie sich im Laufe der Zeit entwickeln, und erhalten so Einblicke in Verhaltensänderungen in Ihrem Unternehmen. Diese Daten helfen Ihnen auch dabei, Ihre Risikomitarbeiter zu identifizieren und zu verwalten und Ihre Investitionsrendite gegenüber der oberen Führungsebene nachzuweisen.
Tipps für einen wirksamen Phishing-Schutz
Nachdem Sie nun die grundlegenden Schritte zur Durchführung eines Programms zur Sensibilisierung für Phishing verstanden haben, folgen Sie diesen
Tipps, um einen organisationsweiten, effektiven Phishing-Schutz zu schaffen
. Wenn Sie diese Tipps mit den Schritten zur Abwehr eines Phishing-Angriffs kombinieren, kann Ihr Unternehmen
transformiert sein Verhalten
um einen Cyberangriff besser zu verstehen und wirksam darauf zu reagieren.
Schulung aller Ihrer Mitarbeiter
Wenn nur einige Mitarbeiter, Teams oder Abteilungen geschult werden, ist der Rest Ihrer Mitarbeiter dem Risiko eines Phishing-Angriffs ausgesetzt. Ein einziger gefährdeter Mitarbeiter reicht aus, um in Ihrem Unternehmen Fuß zu fassen. Als erste Verteidigungslinie sollten Sie alle Mitarbeiter schulen, damit sie wissen, wie sie eine potenzielle Phishing-Bedrohung erkennen und darauf reagieren können.
Just-in-Time-Lernen in den Arbeitsablauf integrieren
Eine Schulung zum Schutz vor Phishing, die die Mitarbeiter aus ihrem täglichen Arbeitsablauf herausreißt, hat kaum Auswirkungen auf das Erlernen und Behalten der Informationen. Sorgen Sie dafür, dass die Lerninhalte direkt in den Arbeitsablauf Ihrer Mitarbeiter integriert werden, so dass sie sie im entscheidenden Moment sehen und sich mit ihnen beschäftigen können, wenn sie ihre E-Mails durchsehen, wo die meisten Phishing-Köder beginnen. Die Bereitstellung zeitnaher, ansprechender und effektiver Inhalte hinterlässt einen bleibenden Eindruck.
Durchführung regelmäßiger, praktischer Schulungen
Geplante Schulungen zur Sensibilisierung für Phishing sind vorhersehbar und ineffektiv, führen die Mitarbeiter von dem Ort weg, an dem die Angriffe stattfinden, und haben keine nachhaltige Wirkung. So wie Phishing-Angriffe unvorhersehbar sind, sollten auch Ihre Schulungen zum Phishing-Schutz unvorhersehbar sein, allerdings in regelmäßigen Abständen. Führen Sie regelmäßig praktische Schulungen durch, in denen die Mitarbeiter lernen, wie sie eine potenzielle Bedrohung erkennen und darauf reagieren können.
Passen Sie Ihr Training an
Wenn allen Mitarbeitern die gleichen Inhalte vermittelt werden, entstehen Wissenslücken zwischen denen, die die Informationen verstehen und mit ihnen umgehen können, und denen, die sie nicht verstehen. Passen Sie die Schulungen an die Rolle, die Abteilung oder den Standort der einzelnen Mitarbeiter an. Die individuelle Anpassung ermöglicht es Ihnen auch, auf die Lernbedürfnisse von Mitarbeitern mit hohem Risiko einzugehen, die dazu neigen, „Serienklicker“ zu sein. Wenn die Mitarbeiter eine Lernstufe beherrschen, können Sie ihre Ausbildung auf die nächste Stufe bringen.
Kampagnenfrequenzen anpassen
Einige Mitarbeiter fallen immer wieder auf Phishing-Betrügereien herein. Für diese Serienklicker, häufigere Trainingsintervalle einzuplanen, damit sie die Wiederholungen erhalten, die sie brauchen, um Verhaltensänderungen zu bewirken. Bei Mitarbeitern, die schnell aus ihren Fehlern lernen, sollte die Häufigkeit der Schulungen jedoch reduziert werden. Eine Überschulung von schnell Lernenden führt nur zu deren Verärgerung und verringert die Produktivität, ohne dass ein Mehrwert entsteht.
Unmittelbares Feedback geben
Jährliche, einmalige Schulungsveranstaltungen ermöglichen kein Echtzeit-Feedback für die Mitarbeiter, damit sie aus ihren Fehlern lernen können. Stellen Sie sicher, dass Ihr Phishing-Simulationsprogramm ein Echtzeit-Feedback liefert, unmittelbar nachdem sie auf eine Phishing-E-Mail hereingefallen sind. Dieses zusätzliche Lernen gibt ihnen das nötige Rüstzeug, um in Zukunft nicht mehr auf Angriffe hereinzufallen.
Sehen Sie sich die Daten an
Phishing-Schutzlösungen, die nur die Klickraten angeben, geben keinen vollständigen Überblick darüber, ob und welche Mitarbeiter die Informationen erhalten. Durch die Erkenntnisse aus einer datengesteuerten Phishing-Schutzlösung können Sie feststellen, welche Mitarbeiter, Teams oder Abteilungen gezielter geschult werden müssen, wobei die Privatsphäre der Mitarbeiter gewahrt bleibt. Sie erhalten auch einen besseren Überblick darüber, wo innerhalb der Organisation auf dem Weg zur Schaffung einer Sicherheitskultur Verhaltensänderungen stattfinden.
Ressourcen zum Schutz vor Phishing
Bei der Planung des Phishing-Schutzes sollten Sie die folgenden Ressourcen berücksichtigen. Jede von ihnen weist auf einzigartige Herausforderungen hin, die Sie durch die Auswahl eines effektiven Phishing-Schutzprogramms, wie in diesem Leitfaden beschrieben, bewältigen können.
Top 13 der besten Lösungen zum Schutz vor Phishing
Phisher verlassen sich stark auf die Kunst der Tarnung und verstecken sich oft hinter vertrauenswürdigen Marken wie Facebook, Microsoft, Amazon und PayPal. Hinter der Maske locken sie Menschen mit scheinbar authentischen, aber böswillig gemeinten Links und Anhängen an. Ihr Erfolg ist oft auf fehlenden oder unwirksamen Phishing-Schutz und Schulungsprogramme für Mitarbeiter zum Thema Cybersicherheit zurückzuführen. Das liegt auch an den vielen Möglichkeiten, mit denen Angreifer Phishing-Angriffe durchführen.
Um Ihr Unternehmen vor Phishing-Angriffen zu schützen, müssen Cybersicherheitsstrategien Sensibilisierungsschulungen, Phishing-Simulationen und Anti-Phishing-Software umfassen. Außerdem müssen die Mitarbeiter verstehen, was Phishing ist und warum sie einen Phishing-Schutz benötigen. Lernen Sie diese Konzepte kennen und erkunden Sie die
13 beste Lösungen zum Schutz vor Phishing
die Ihrem Unternehmen helfen, einen Angriff zu verhindern, bevor es zu spät ist.
So schützen Sie Microsoft 365-Nutzer vor Phishing-Angriffen
Da die Zahl der Phishing-Angriffe in den letzten Jahren zugenommen hat, ist niemand mehr sicher, nicht einmal die Nutzer von Microsoft 365 (früher Office 365). Allein im August 2021 gab Microsoft nicht nur eine, sondern gleich zwei Warnungen über neu entdeckte Arten von Phishing-Angriffen heraus. Da Phisher immer neue Arten von Angriffen entwickeln, werden die Risiken für die Mitarbeiter noch größer.
Stoppen Sie Phishing-Angriffe in Microsoft 365 indem Sie diese wichtigen Schritte befolgen:
- Verwenden Sie den integrierten Phishing-Schutz von Microsoft.
- Wenden Sie einen erweiterten Phishing-Schutz für Dritte an.
- Erstellen Sie Phishing-Simulationen.
- Fortlaufende Schulungen und Tests zur Sensibilisierung der Mitarbeiter für Phishing.
Erkunden Sie jeden dieser Schritte, um zu erfahren
wie Sie Ihre Microsoft 354-Benutzer vor Phishing-Angriffen schützen können
.
Schulen Sie Ihre Mitarbeiter darin, Voice-Phishing zu erkennen
Voice-Phishing ist eine schnell wachsende Form des Angriffs, mit
83 Prozent der Unternehmen melden dies als Bedrohung
. Doch fast 75 Prozent der Menschen kennen oder verstehen die Bedeutung des Begriffs gar nicht. Obwohl das Risiko solcher Angriffe im Vergleich zu Phishing-Angriffen gering ist, kann ein einziger Angriff Ihr gesamtes Unternehmen aus dem Konzept bringen.
Die Schulung von Mitarbeitern in Bezug auf Vishing-Angriffe ist nicht so einfach, wie es vielleicht scheint. Diese Angriffe kommen nicht so häufig vor wie Phishing-Angriffe. Außerdem sind Vishing-Simulationen weder automatisiert noch skalierbar und erfordern daher eine spezielle Schulung. Erfahren Sie, wie Sie eine positive Sicherheitskultur durchsetzen können, die Ihre Mitarbeiter dazu ermutigt, sich vor E-Mail- und Telefonbetrug zu hüten.
Schulen Sie Ihre Mitarbeiter darin, Voice Phishing zu erkennen
.
Verstehen Sie die Auswirkungen automatisierter Klicks
Viele Phishing-Simulationslösungen messen den Erfolg anhand von automatischen Klicks oder Klickraten. Sicherheitsverantwortliche nutzen die Daten, um zu beweisen, dass ihre Technologie oder ihr Sensibilisierungsprogramm gut funktioniert. In Wirklichkeit ist es genau das Gegenteil.
Ein Problem ist, dass sie keinen Einblick in tatsächliche Echtzeit-Risiken geben, sondern nur eine punktuelle Betrachtung. Ein weiteres Problem ist sie bieten kein unmittelbares, zeitnahes Feedback. Die Verbesserung der Integrität von Phishing-Simulationstrainings erfordert die richtige Mischung aus Menschen, Prozessen und Technologie:
- Förderung einer „No Blame“-Kultur im Zusammenhang mit Schulungen zum Sicherheitsbewusstsein.
- Messen Sie bei einem Phishing-Simulationstest nur das, was Sie bewältigen können.
- Vertrauen Sie auf Ihre internen Daten, um einen simulierten Phishing-Angriff zu isolieren.
Erfahren Sie, warum automatische Klicks nicht funktionieren und wie Sie Phishing-Simulationstrainings durchführen können, die dies tun
Die Auswirkungen automatischer Klicks auf Phishing-Simulationstrainings verstehen
.
Messen Sie echte Fortschritte bei der Phishing-Simulation
Wie können Sie feststellen, ob Ihr Phishing-Simulationstraining erfolgreich ist? Sicherheitsverantwortliche, die sich bei der Erfolgsmessung auf die Klickraten verlassen, stellen sich diese Frage häufig. Hohe Klickraten bedeuten, dass die Mitarbeiter nur klicken und nicht wirklich etwas über den Angriff erfahren. Niedrige Klickraten können jedoch bedeuten, dass die Simulationen so einfach oder repetitiv sind, dass sich die Mitarbeiter nicht die Mühe machen, sie anzuklicken.
Der tatsächliche Erfolg hängt vom Kontext der Phishing-Simulation ab. Sie basiert auch auf den Fortschritten der Mitarbeiter, die im Laufe der Zeit gemessen werden. Erfahren Sie, was Klickratenmessung ist, wie Sie Ihrem Phishing-Simulationsprogramm Kontext hinzufügen und wie Sie den Erfolg messen können. Lesen Sie Gehen Sie über die Klickrate hinaus: Messen Sie echte Fortschritte bei der Schulung des Sicherheitsbewusstseins. Dann,
Sehen Sie das Video
darüber, wie Klickraten von Lernkurven abgekoppelt werden.
Die Wahrheit über Spear-Phishing-Mitarbeiter wissen
Ein häufiger Fehler bei Phishing-Simulationen besteht darin, dass Sicherheitsteams komplexe und anspruchsvolle Phishing-Simulationen erstellen. Sie versuchen, Spear-Phishing-Angriffe zu imitieren oder andere kompromittierende Bedrohungen gegen Mitarbeiter der Geschäftsführung oder der Unternehmensleitung nachzuahmen. Selbst Hacker betreiben nicht so viel Aufwand für einen Angriff.
Das Problem bei diesem Ansatz ist, dass nur ein Teil der Mitarbeiter eine Phishing-Schulung erhält. Wenn Hacker ihr Netz auswerfen, haben sie bessere Chancen auf einen erfolgreichen Angriff, wenn sie die Mitarbeiter erreichen, die keine Schulung erhalten haben. Das Wichtigste ist, dass Sie Ihr gesamtes Unternehmen vor einem Phishing-Angriff schützen.
Ein idealer Ansatz ist eine auf maschinellem Lernen basierende Lösung einführen, die Mitarbeiter dazu anleitet und schult, die Arten von Betrug zu erkennen, auf die sie am ehesten hereinfallen. Diese Lösungen bieten Phishing-Simulationen, die sich bei bestimmten Mitarbeitergruppen als effektiv erwiesen haben, sei es nach Standort, Team, Abteilung oder anderen Unterscheidungsmerkmalen.
Gewinnen Sie Einblicke in die Herausforderungen des komplizierten Spear-Phishings in dem Beitrag
Ist Spear Phishing für Mitarbeiter eine wirksame Schulungstechnik?
. Dann,
Sehen Sie das Video
darüber, wie simulierte Angriffe erfolgreich sein können, auch wenn sie einfach aussehen.
Starten Sie Ihren Phishing-Schutzplan
In diesem Leitfaden haben Sie erfahren, wie wichtig der Schutz vor Phishing ist und wie Sie sich am besten davor schützen können. Bei der Suche nach einem
wirksamen Phishing-Schutzplan
sollten Sie die folgenden Punkte beachten:
- Fortlaufende Schulung der Mitarbeiter zum Thema Phishing: Schulen Sie Ihre Mitarbeiter regelmäßig über die Auswirkungen von Phishing und die Risiken und wie sie auf einen möglichen Angriff reagieren können.
- Verfolgen Sie einen praxisnahen Lernansatz: Führen Sie in regelmäßigen Abständen Phishing-Simulationen durch, um sicherzustellen, dass die Mitarbeiter das Wissen aus der Sensibilisierungsschulung richtig anwenden.
- Konzentration auf bestimmte Personengruppen nach Risiko: Entwickeln und implementieren Sie sehr gezielte Maßnahmen, die darauf abzielen, das Verhalten von Mitarbeitern je nach Funktion, Abteilung oder Standort zu ändern.
- Verwenden Sie prädiktive Analytik: Identifizieren und überwachen Sie aktiv Mitarbeiter mit hohem Risiko, indem Sie eine auf maschinellem Lernen basierende Lösung zur Erstellung von Vorhersageanalysen verwenden.
- Geben Sie Echtzeit-Feedback: Geben Sie sofortiges Feedback, um den Mitarbeitern Sicherheitslücken aufzuzeigen und ihnen zu zeigen, dass sie weitere Phishing-Schulungen benötigen.
- Schaffen Sie einen kulturellen Wandel: Schulung alle Mitarbeiter auf einer tieferen Ebene, indem sie auf eine bestimmte Bedrohung aufmerksam gemacht werden, um einen kulturellen Wandel herbeizuführen, der die Einstellungen und Überzeugungen der Mitarbeiter direkt anspricht.
- Führen Sie eine wissenschaftliche Schulungsmethode ein: Kombinieren Sie Lernkompetenz, Datenwissenschaft und Automatisierung, um die Lernerfahrung jedes Mitarbeiters zu optimieren.
Diese Überlegungen sind von entscheidender Bedeutung, um sicherzustellen, dass Ihre Mitarbeiter und Ihr Unternehmen über die notwendigen Mittel verfügen, um für Phishing sensibilisiert zu werden und Phishing-Angriffe zu reduzieren.
Erste Schritte mit BLAST
Wählen Sie eine funktionierende Lösung zum Schutz vor Phishing. Wählen Sie BLAST von CybeReady. Dieses automatische Phishing-Schutzprogramm bietet folgende Funktionen:
- Eine preisgekrönte Machine-Learning-Engine die auf intelligente Weise benutzerdefinierte Simulationen nach Mitarbeitersegmenten zuweist.
- Leistungsstarke erweiterte Analysen um Einblicke in die Schulungserfolge der Mitarbeiter zu gewinnen und Risikogruppen zu identifizieren.
- Standortbezogenes Training für globale Mitarbeiter dank einer Lokalisierungs-Engine die Simulationen in 35 Sprachen ausführen kann.
Erfahren Sie, wie BLAST Ihr Unternehmen, Ihre Vermögenswerte und Ihre Mitarbeiter vor potenziellen Phishing-Angriffen schützen kann. Fordern Sie eine Demo an.