Cyber-Angriffe von Hackern nehmen immer mehr zu. Sie schaden nicht nur Privatpersonen. Auch Organisationen – unabhängig von der Größe – müssen sich immer mehr mit dem Thema der IT-Sicherheit beschäftigen. Dies belegt insbesondere der Forschungsbericht „Cyberangriffe gegen Unternehmen in Deutschland“ des Kriminologischen Forschungsinstituts Niedersachen e. V..
Das Bundesamt für Sicherheit und Informationstechnik (BSI) nimmt das Thema Cyber-Angriffe sehr ernst und stuft diese als hochgefährlich ein. 28 Prozent der IT-Angriffe sind erfolgreich, wie eine Studie von Endpoint-Security-Herstellern zeigt. 41 Prozent der Organisationen ab zehn Mitarbeiter*innen wurden laut der Studienumfrage des Kriminologischen Forschungsinstituts Niedersachen e.V. durch Cyber-Angriffe innerhalb des letzten Jahres attackiert. Wachsame Mitarbeiter*innen tragen entscheidend zur Sicherheit einer Organisation bei, indem sie diese erkennen und rechtzeitig melden. Ein Hacker-Angriff selbst kann auf verschiedene Art und Weise erfolgen. Was genau Organisationen dagegen tun können, wie sich die eigenen Infrastrukturen besser schützen lassen und welche Möglichkeiten es gegen Phishing-Maßnahmen gibt – das zeigt der folgende Beitrag.
Phishing ist eine beliebte Angriffs-Methode
Phishing ist eine sehr beliebte Methode der Angreifer, um an sensible Daten zu gelangen. Laut der Studie des Kriminologischen Forschungsinstituts Niedersachen e. V. wurden im letzten Jahr 22 Prozent der Organisationen über Phishing-Methoden angegriffen. Bei einem Cyber-Angriff über Phishing wird die betroffene Person durch eine harmlos aussehende Webseite oder E-Mail getäuscht. Entsprechende Links bzw. Eingabemasken auf der jeweiligen Website fragen dann die entsprechenden persönlichen Daten ab. Die Hacker zielen damit zum Beispiel auf Kontaktinformationen, Passwörter, Login-Daten oder Transaktionsnummern ab. Sobald diese persönlichen Informationen, wie zum Beispiel E-Mail-Adressen, von einem Hacker abgefangen wurden, landen diese häufig in Foren. So können Hacker diese Daten untereinander austauschen und für weitere Angriffe missbrauchen.
Eine andere Variante ist das Herunterladen von Schad-Software durch den Klick auf einen Link von einem unwissenden Betroffenen. Bei dem sogenannten Spear-Phishing ist der Angreifer bereits an die persönlichen Daten seines Opfers gelangt und kann den Betroffenen mit Namen ansprechen. Auch das Wissen über Vereinsmitgliedschaften, Positionen innerhalb einer Organisation oder die Handynummer kann in die Hände der Angreifer gelangen. Der Angriff wird dann so persönlich gestaltet, sodass der Betrug für den Betroffenen kaum zu erkennen ist.
Um herauszufinden wie gut Mitarbeiter bereits Hacker-Angriffe erkennen, gibt es die Möglichkeit, sogenannte Phishing-Tests durchzuführen. Dabei wird z. B. eine täuschend echte E-Mail in Form eines bekannten Corporate Designs oder Dienstleisters mit der Aufforderung Anhänge, Webseiten oder Links zu öffnen versendet. Öffnet der Mitarbeiter diese, wird er auf eine Informationsseite weitergeleitet. Auf dieser wird der Mitarbeiter aufgeklärt, wie er diese Mail als betrügerische Mail hätte erkennen können.
E-Learning-Kampagnen schulen Mitarbeiter personenbezogen oder anonymisiert darin, Hacker-Angriffe zu erkennen. Dabei können Organisationen nach einem Phishing-Maßnahmen-Katalog vorgehen und Informationen aus dem Active Directory, öffentlichen Datenbanken und Social-Media-Netzwerken wie Xing, LinkedIn und Facebook beziehen. Die E-Learning-Kampagnen sind vorlagenbasierte oder selbstproduzierte Vorlagen, die an das Corporate Design anpassbar sind und aus Trainings, Quizzen, Spielen, Videos, und Podcasts bestehen.
Schwächen im eigenen IT-Management erkennen
Über Schwachstellen im IT-Management haben Angreifer leichtes Spiel. Umso besser ist es, diese vorher zu erkennen und zu beheben. Schwachstellen befinden sich in vielen Schnittstellen zum eigenen Computer, z. B. in Web-Browsern, Drucker-Software, Betriebssystemen und E-Mail-Programmen. Durch Schadprogramme können die Angreifer auch auf Schwachstellen innerhalb oft genutzter Anwendungen zugreifen. Ein Schwachstellen-Scan erkennt und behebt Schwachstellen, führt eine 24/7-Überwachung durch und stellt wichtige Zertifizierungen aus. Auch Standardpasswörter, Cookies, WLAN- und Netzwerksicherheit spielen eine große Rolle in Punkto Sicherheit.
Das Pentesting – gezielt die Rolle des Hackers einnehmen
Auf den Ernstfall vorbereitet. Pentesting ist eine bewehrte Ergänzung zum Schwachstellenmanagement. Der ausgeführte Sicherheitstest zeigt die Schwachstellen auf. Beim Pentesting wird ein echter Hacker-Angriff simuliert, um Technik, Organisation und Reaktion von Mitarbeiter*innen im Vorfeld zu testen. Diese Tests können durch getarnte Telefonanrufe oder unbekannte Besucher des Gebäudes erweitert werden. Damit erkenne Sie Schwachstellen vor Angriffen und können sie beheben. Auch mit einem Pentesting ist eine Zertifizierung möglich.
Sie finden dieses Thema spannend und möchten mehr erfahren?
Melden Sie sich jetzt an und sichern Sie sich einer der begehrten Plätze für unsere Live-Events mit unseren Experten Eugenio Carlon und Dominik Foert in der zweiten Staffel „IT Live aus der Kantine“.
Unsere Themen:
Folge 1: Security Awareness und Phishing
Wann: 07.10.2020 um 17:00 Uhr
Folge 2: Schwachstellenmanagement
Wann: 21.10.2020 um 17:00 Uhr
Folge 3: Pentesting
Wann: 04.11.2020 um 17:00 Uhr
Nutzen Sie unsere Eventseite, um sich für die jeweiligen Veranstaltungen anzumelden.
