Wie Sie Ihr Unternehmen vor E-Mail-Phishing-Angriffen schützen können

Cyberkriminalität ist heute eines der vielen Probleme, mit denen Unternehmen täglich konfrontiert sind. Die Technologie ist für viele Unternehmen die tragende Säule ihrer Entwicklung. Da jedoch der digitale Aspekt für den Geschäftsbetrieb und die täglichen Aktivitäten immer wichtiger wird, nimmt auch die Zahl der Angriffe in diesem Umfeld zu.

Eine der häufigsten Möglichkeiten für Hacker, sich Zugang zu den privaten Informationen von Einzelpersonen und Unternehmen zu verschaffen, ist die E-Mail. E-Mail ist einer der meistgenutzten Kanäle, über den Unternehmen und Privatpersonen täglich Informationen austauschen. Es ist unglaublich, wie viele Informationen täglich per E-Mail verschickt werden und wie viele dieser Daten private oder sensible Informationen enthalten. Nehmen wir an, Sie möchten verhindern, dass Ihr Unternehmen aufgrund eines Versehens bei der korrekten Nutzung von E-Mails Opfer eines Phishing-Angriffs wird. In diesem Fall erhalten Sie in diesem Artikel wertvolle Informationen zur Vorbeugung und für mehr Sicherheit in Ihrem Unternehmen. 

Erstens: Was ist Phishing?

Phishing ist eine Form des Social Engineering, bei der der Hacker einen Benutzer dazu verleitet, "das Falsche" zu tun, was in der Regel die Preisgabe von Informationen oder das Anklicken eines bösartigen Links beinhaltet. Phishing kann über soziale Medien, Textnachrichten oder sogar per Telefon durchgeführt werden. Heutzutage sind E-Mails jedoch der häufigste Kanal für diese Art von Angriffen. E-Mails sind ein idealer Übertragungsweg für Phishing-Angriffe, da die meisten Menschen ihre E-Mails in aller Eile überprüfen. Darüber hinaus lassen sich diese bösartigen E-Mails sehr leicht unter legitimen E-Mails tarnen.

Welche Auswirkungen hat Phishing auf Unternehmen?

Eine Organisation jeder Art und Größe kann von einer Phishing-E-Mail betroffen sein. Neben dem Diebstahl von Informationen können Phishing-E-Mails auch Malware, einschließlich Ransomware, installieren, Ihre Systeme sabotieren oder durch Betrug Geld stehlen. Darüber hinaus kann ein Cyberangriff Ihren Ruf und das Vertrauen Ihrer Kunden zerstören. Sie könnten in eine Massenkampagne geraten, bei der der Angreifer Passwörter stiehlt oder leichtes Geld verdient, was in der Regel der erste Schritt zu einem größeren Angriff auf Ihr Unternehmen ist, z. B. dem Diebstahl sensibler Daten. Bei einer gezielten Kampagne können die Angreifer private Informationen über Ihre Mitarbeiter verwenden, um realistischere und überzeugendere Nachrichten zu verfassen, was als Spear-Phishing bezeichnet wird.

Warum sind Phishing-Angriffe erfolgreich?

Hacker haben das Online-Verhalten der Menschen sehr gut studiert. Sie wissen, wie die sozialen Instinkte der Menschen funktionieren, z. B. hilfreich und effizient zu sein. Phishing-Angriffe können besonders wirkungsvoll sein, weil diese sozialen Instinkte uns auch in unserem Job gut machen.

Der wirksamste Schutz vor Phishing-Angriffen besteht in einer Kombination aus Technologie, Verfahren und personengebundenen Ansätzen. Wenn Sie beispielsweise möchten, dass Ihre Mitarbeiter verdächtige E-Mails melden, müssen Sie es ihnen leicht machen, dies zu tun. Das bedeutet, dass Sie technische Mittel für die Meldung der E-Mail bereitstellen und ein Verfahren einrichten müssen, das eine zeitnahe Rückmeldung über die Meldung ermöglicht.

Wie können Sie Ihr Unternehmen vor Phishing-Angriffen schützen?

Im Folgenden finden Sie einige von Experten empfohlene Maßnahmen zum Schutz Ihres Unternehmens vor E-Mail-Phishing-Angriffen:

Erweitern Sie Ihre Verteidigungsmöglichkeiten:

Typische Schutzmaßnahmen gegen Phishing beruhen auf der Fähigkeit der Benutzer, Phishing-E-Mails zu erkennen. Wenn Sie Ihre Schutzmaßnahmen erweitern, können Sie Ihre Widerstandsfähigkeit gegen Phishing verbessern, ohne die Produktivität Ihrer Mitarbeiter zu beeinträchtigen. Außerdem haben Sie mehrere Möglichkeiten, einen Phishing-Angriff zu erkennen und zu reagieren, bevor er Ihrem Unternehmen großen Schaden zufügen kann. Außerdem müssen Sie sich mit der Tatsache abfinden, dass einige Angriffe durchkommen, was Sie als Vorteil nutzen können, um vorauszuplanen und den Schaden zu minimieren.

Bei der Entwicklung Ihres Sicherheitsplans können Sie sich Ihre Verteidigungsmaßnahmen in vier Schichten vorstellen:

• Lassen Sie nicht zu, dass Ihre E-Mail-Adressen zu einer Quelle für Hacker werden.
• Unterstützung der Nutzer bei der Erkennung und Meldung potenziell schädlicher oder betrügerischer E-Mails.
• Schützen Sie Ihr Unternehmen vor Phishing-E-Mails, die unentdeckt bleiben.
• Es ist wichtig, schnell auf Vorfälle zu reagieren, um sie so schnell wie möglich zu lösen.

Im Folgenden werden wir jede dieser Ebenen erläutern und erklären, wie Sie sie auf Ihr Unternehmen anwenden können. 

Schicht 1: Erschweren Sie es Hackern, Ihre Benutzer zu erreichen

Die erste Schicht beschreibt die Schutzmaßnahmen, die es Hackern erschweren, Ihre Endbenutzer zu erreichen.

Lassen Sie nicht zu, dass Hacker Ihre E-Mail-Adressen als Ressource nutzen

Angreifer können Menschen austricksen, indem sie E-Mails versenden, die vorgeben, jemand anderes zu sein, zum Beispiel einer Ihrer Mitarbeiter oder sogar Sie selbst. Diese gefälschten E-Mails können Ihre Kunden oder Personen innerhalb Ihres Unternehmens erreichen.

Wie kann man das verhindern?

Um Ihre E-Mail-Adressen zu schützen und Hackern den Zugang zu verwehren, können Sie Anti-Spoofing-Kontrollen einsetzen: DMARC, SPF und DKIM. Darüber hinaus ist es sehr nützlich, wenn Sie Ihre Kontakte dazu auffordern, dasselbe zu tun.

Verringerung der online verfügbaren Informationen

Die öffentlichen Online-Informationen Ihres Unternehmens werden als "digitaler Fußabdruck" bezeichnet und umfassen alle öffentlichen Informationen, die Sie in sozialen Medien und auf Ihrer Website veröffentlichen. Auch die, die Ihr Mitarbeiter veröffentlicht hat.

Was können Sie dagegen tun?

Geben Sie keine unnötigen Details preis; achten Sie auf die Informationen, die Ihre Partner, Auftragnehmer und Lieferanten in der Online-Kommunikation ihres Unternehmens über Sie preisgeben, und arbeiten Sie mit Ihren Mitarbeitern zusammen, um Sicherheitsrisiken zu minimieren. Klären Sie Ihre Mitarbeiter darüber auf, wie sich die Weitergabe ihrer persönlichen Daten auf sie und das Unternehmen auswirken kann, und entwickeln Sie eine Richtlinie für einen sauberen digitalen Fußabdruck für alle Nutzer.

Eingehende Phishing-E-Mails filtern oder blockieren

Das Filtern oder Blockieren von Phishing-Angriffen, bevor sie Ihre Benutzer erreichen, verringert die Wahrscheinlichkeit eines Schadens. Außerdem verringert sich der Zeitaufwand für die Benutzer, die auf verdächtige E-Mails achten und diese melden müssen.

Wie können Sie das tun?

Erwerben Sie einen Cloud-basierten Filter-/Blockierdienst, um alle eingehenden E-Mails mit Phishing und Malware zu blockieren, bevor sie Ihre Nutzer erreichen. Vergewissern Sie sich, dass der Dienst alle Ihre Nutzer abdeckt. Bei eingehenden E-Mails sollten die Anti-Spoofing-Richtlinien des Absenders beachtet werden. Wenn der Absender eine DMARC-Richtlinie mit einer Ablehnungsrichtlinie hat, sollten Sie der Aufforderung Folge leisten. Darüber hinaus können E-Mails auf verschiedene Weise gefiltert oder blockiert werden, z. B. anhand von IP-Adressen, Domänennamen, weißen/schwarzen Listen von E-Mail-Adressen, öffentlichen Spam- und Open-Relay-Black-Listen, Anhangstypen und Malware-Erkennung.

Ebene 2: Unterstützung des Benutzers bei der Erkennung und Meldung mutmaßlicher Phishing-E-Mails

Hier erfahren Sie, wie Sie Ihren Mitarbeitern am besten helfen können, Phishing-E-Mails zu erkennen, und wie Sie Ihre Meldekultur verbessern können.

Ein gut durchgeführtes Phishing-Schulungsprogramm kann den Unterschied ausmachen

Eine der wichtigsten Methoden zur Phishing-Abwehr ist die Schulung Ihrer Benutzer, denn sie können einen wertvollen Beitrag zur Sicherheit Ihres Unternehmens leisten. Doch auch Menschen können Fehler machen. Deshalb ist es wichtig, einen ganzheitlichen Ansatz mit geeigneten technischen Abhilfemaßnahmen und Änderungen an der allgemeinen Sicherheitskultur des Unternehmens zu verfolgen. 

Wie können Sie das tun?

Ihre Mitarbeiter müssen wissen, dass Phishing-Nachrichten schwer zu erkennen sind, und Sie können nicht erwarten, dass sie sie immer erkennen. Fördern Sie stattdessen eine Mentalität, in der es in Ordnung ist, um Rat oder Unterstützung zu bitten, wenn etwas ungewöhnlich erscheint.

Bestrafen Sie niemals Benutzer, die Schwierigkeiten haben, Phishing-E-Mails zu erkennen. Denken Sie daran, dass Hacker Profis sind und wissen, wie sie Menschen austricksen können. Die Schulungen sollten darauf abzielen, das Vertrauen Ihrer Mitarbeiter zu stärken und ihre Bereitschaft zu erhöhen, künftige Vorfälle zu melden.

Sorgen Sie dafür, dass Ihre Nutzer die Folgen von Phishing verstehen, und bieten Sie Beispiele aus dem wirklichen Leben und konkrete Studien an, ohne die Menschen zu überfordern.

Arbeiten Sie mit den Mitarbeitern zusammen, die besonders gefährdet sind, Phishing-E-Mails zu erhalten. So sind beispielsweise Abteilungen mit Kundenkontakt, der Finanzbereich oder das IT-Personal für Hacker von größerem Interesse. Stellen Sie sicher, dass die Mitarbeiter sich der Risiken bewusst sind und bieten Sie ihnen zusätzliche Unterstützung an.

Erleichtern Sie es Ihren Nutzern, betrügerische Anfragen zu erkennen

Die Angreifer täuschen die Benutzer, um Zugang zu Passwörtern zu erhalten oder unberechtigte Zahlungen zu tätigen. Wenn man sich vor Augen hält, welche Prozesse am ehesten von Angreifern nachgeahmt werden, muss man sie verbessern und überprüfen, damit diese Phishing-Angriffe leichter zu erkennen sind.

Wie können Sie das tun?

Stellen Sie sicher, dass alle Beteiligten mit den Abläufen vertraut und darauf vorbereitet sind, ungewöhnliche Aktivitäten zu erkennen.

Führen Sie eine Zwei-Faktor-Authentifizierung ein, was bedeutet, dass alle wichtigen E-Mail-Anfragen durch eine zweite Art der Kommunikation überprüft werden, z. B. durch SMS, Anrufe oder persönlich. Außerdem können Sie Dateien über ein zugangskontrolliertes Cloud-Konto austauschen; auf diese Weise vermeiden Sie Anhänge in Ihren E-Mails.

Erwägen Sie, Ihren Lieferanten oder Kunden mitzuteilen, worauf sie achten sollten, z. B. "Wir werden Sie niemals nach Ihrem Passwort oder Ihren Bankdaten fragen".

Ermutigung der Nutzer, um Hilfe zu bitten, wenn sie sie brauchen

Der Aufbau einer guten Meldekultur ermöglicht es Ihren Benutzern, um Hilfe zu bitten, und liefert Ihnen wichtige Informationen darüber, welche Arten von Phishing-Angriffen gegen Ihr Unternehmen gerichtet sind. Sie können auch erfahren, welche Arten von E-Mails mit Phishing verwechselt werden und welche Verbesserungen Sie vornehmen können.

Wie können Sie das tun?

Schaffen Sie ein effektives Verfahren, mit dem Benutzer melden können, wenn sie glauben, dass Phishing-Versuche die technischen Schutzmaßnahmen Ihres Unternehmens überwunden haben könnten. Stellen Sie sicher, dass das Verfahren klar, einfach und bequem ist.

Geben Sie schnelles und konkretes Feedback zu den getroffenen Maßnahmen und machen Sie deutlich, dass ihre Beiträge einen Unterschied machen und hilfreich sind.

Überlegen Sie, wie Sie informelle Kommunikationskanäle nutzen können, um ein Umfeld zu schaffen, in dem es für die Mitarbeiter leicht ist, über das Thema zu sprechen und um Unterstützung und Beratung zu bitten.

Vermeiden Sie es, eine auf Bestrafung oder Schuldzuweisung ausgerichtete Kultur rund um Phishing zu schaffen.

Schicht 3: Schützen Sie Ihr Unternehmen vor den Auswirkungen unentdeckter Phishing-E-Mails

Auf dieser Ebene wird erklärt, wie man die Auswirkungen von unentdeckten Phishing-E-Mails minimieren kann.

Schützen Sie Ihre Geräte vor Malware

Malware ist in E-Mails oder gefälschten Websites versteckt, aber Sie können Ihre Geräte so konfigurieren, dass die Installation von Malware verhindert wird, selbst wenn die E-Mail angeklickt wird.

Wie können Sie Malware vermeiden?

Eine Möglichkeit, Angreifer daran zu hindern, Ihre Schwachstellen auszuloten, besteht darin, unterstützte Software und Geräte zu verwenden und sie mit den neuesten Versionen von Softwareentwicklern, Hardwareherstellern und Anbietern auf dem neuesten Stand zu halten.

Beschränken Sie die Nutzung von Administratorkonten auf die Mitarbeiter, die sie benötigen. Personen mit Administratorkonten sollten diese jedoch niemals zum Abrufen von E-Mails oder zum Surfen im Internet verwenden.

Ziehen Sie auch andere Sicherheitsmaßnahmen gegen Malware in Betracht, z. B. die Deaktivierung von Makros, Anti-Malware-Software, Antivirus-Software usw. Sie müssen sich jedoch vergewissern, welche Art der Malware-Abwehr für die verschiedenen Geräte geeignet ist.

Schützen Sie Ihre Nutzer vor bösartigen Websites

Links zu bösartigen Websites sind immer der wichtigste Teil von Phishing-E-Mails. Wenn der Link jedoch nicht in der Lage ist, die Website zu öffnen, kann der Angriff nicht abgeschlossen werden.

Wie können Sie das tun?

Die modernste und aktuellste Software blockiert Websites, die Malware enthalten. Allerdings ist diese Option auf mobilen Geräten nicht immer verfügbar.

Unternehmen sollten einen Proxy-Dienst betreiben, entweder intern oder in der Cloud, um jeden Versuch zu blockieren, auf Websites zuzugreifen, die als Host für Malware oder Phishing-Kampagnen identifiziert wurden.

Schützen Sie Ihre Konten mit einer stärkeren Authentifizierung

Hacker sind immer auf der Jagd nach Passwörtern, insbesondere wenn es sich um Konten mit Zugriffsrechten auf sensible Informationen, finanzielle Vermögenswerte oder IT-Systeme handelt. Sorgen Sie dafür, dass Ihr Anmeldeverfahren gegen Phishing geschützt ist, und begrenzen Sie die Anzahl der Konten mit privilegiertem Zugang zu sensiblen Informationen.

Wie können Sie das tun?

Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) oder die zweistufige Verifizierung. Ein zweiter Faktor bedeutet, dass ein Angreifer nicht mit einem gestohlenen Passwort auf ein Konto zugreifen kann.

Verwenden Sie einen Passwort-Manager. Einige von ihnen erkennen echte Websites und füllen gefälschte Websites nicht automatisch aus; auf diese Weise vermeiden Sie, dass Sie Ihre Anmeldeinformationen an eine gefälschte Website weitergeben. Außerdem können Sie eine Single-Sign-On-Methode verwenden, bei der das Gerät die echte Website automatisch erkennt und sich dort anmeldet. Mit diesen beiden Techniken wird die manuelle Eingabe von Passwörtern vermieden, was bedeutet, dass es ungewöhnlich wäre, wenn eine Website den Benutzer zur Eingabe des Passworts auffordert.

Erwägen Sie den Einsatz alternativer Anmeldemechanismen, die schwieriger zu stehlen sind, wie biometrische Daten oder Smartcards.

Entfernen oder sperren Sie Konten, die nicht mehr genutzt werden.

Ebene 4: Schnelle Reaktion auf Vorfälle

Alle Unternehmen werden irgendwann von einem Cyberangriff betroffen sein. Sich dessen bewusst zu sein und im Voraus einen Plan zu haben, um sofort reagieren zu können, ist das A und O, um die schlimmsten Folgen zu vermeiden.

Vorfälle schnell erkennen

Wenn Sie von einem Vorfall eher früher als später erfahren, können Sie den Schaden begrenzen, den er verursachen kann.

Wie können Sie das tun?

Mit einer Sicherheitsüberwachungsfunktion können Sie Vorfälle aufspüren, die Ihren Benutzern nicht bewusst sind. Da dies jedoch nicht für alle Unternehmen möglich ist, können Sie damit beginnen, Protokolle zu sammeln, z. B. den Verlauf der empfangenen E-Mails, der aufgerufenen Webadressen und der Verbindungen zu externen IP-Adressen. Um diese Informationen zu sammeln, können Sie Überwachungstools verwenden, die in Standarddiensten wie Cloud Security Panels integriert sind, ein internes Team aufbauen oder einen verwalteten Sicherheitsüberwachungsdienst beauftragen. Die Menge der gesammelten Daten und der Speicherort hängen von Ihrem Budget ab. Achten Sie darauf, dass die Daten stets auf dem neuesten Stand sind, damit sie wirksam bleiben.

Einen Plan für die Reaktion auf Zwischenfälle haben

Wenn Sie oder einige Ihrer Mitarbeiter einen Phishing-Angriff entdeckt haben, müssen Sie wissen, was zu tun ist, um Schaden so schnell wie möglich abzuwenden.

Wie können Sie das tun?

Stellen Sie sicher, dass jeder im Unternehmen weiß, was bei den verschiedenen Arten von Zwischenfällen zu tun ist, welche Aufgaben er hat und wie er vorgehen wird. Stellen Sie sicher, dass Ihr Plan den gesetzlichen und behördlichen Verpflichtungen Ihrer Organisation entspricht. Reaktionspläne für Zwischenfälle sollten vorher geübt werden, um sicherzustellen, dass jeder mit dem Verfahren und seinen Aufgaben vertraut ist.

Abschließende Überlegungen

Abschließend sei gesagt, dass Phishing-Angriffe schwerwiegende Folgen für Einzelpersonen und Unternehmen haben können. Es ist wichtig, daran zu denken, dass es sich nicht um ein Problem handelt, das mit einer einzigen Lösung gelöst werden kann, sondern vielmehr durch die Implementierung verschiedener Verteidigungsschichten. Dazu gehören technische Maßnahmen wie die Verwendung von sicheren E-Mail-Gateways und Proxy-Diensten sowie eine starke Authentifizierung und regelmäßige Benutzerschulungen, um die Mitarbeiter in der Erkennung von Phishing-Versuchen zu schulen. Und schließlich ist ein Reaktionsplan für den Fall eines Angriffs von entscheidender Bedeutung, um den Schaden zu minimieren und sich schnell zu erholen.