Autor
Lukas Reiter
Veröffentlicht
29. Mai 2019
Wenn Sie regelmässig unseren Blog lesen wird Ihnen nicht entgangen sein, dass wir immer die nötige Prävention predigen – auch beim Thema Mitarbeitersensibilisierung resp. Security Awareness. Schön und gut, aber was, wenn doch mal etwas passiert ist? Reaktive Massnahmen werden auch in Awareness-Schulungen meist vernachlässigt. Es ist jedoch genauso wichtig zu definieren, was Ihre Mitarbeitenden tun müssen, wenn sie doch einmal in die Falle tappen. Denn das schlimmste Szenario ist leider gar nicht so selten: Phishing-Mails – die «Spuren» – werden gelöscht und der Vorfall verschwiegen. Dadurch gehen wertvolle Daten und Zeit bis zur Detektion, Analyse und Eindämmung des Angriffs verloren. Damit so ein Vorfall nicht auch bei Ihnen passiert, erzähle ich in diesem Beitrag von unseren Erfahrungen bei Kunden und gebe Ihnen Tipps, wie Sie und Ihre Mitarbeitenden sich korrekt verhalten.
Phishing im Auftrag unserer Kunden – und was Sie daraus lernen können
Für mich und meine Kollegen gehören Phishing-Kampagnen schon beinahe zum täglich Brot – natürlich als «gute Hacker». Anhand von Phishing-Kampagnen testen wir bei unseren Kunden die präventiven und reaktiven Schutzmassnahmen – sowohl auf technischer als auch auf sozialer Ebene.
Die meisten unserer durchgeführten Phishing-Kampagnen haben eine Erfolgsquote von weit über 10%, was (leider) für einen Hacker ein sehr guter Wert ist. Ausserdem stellen wir immer wieder fest, dass…
- …nur eine sehr geringe Anzahl der Mitarbeitenden (wenn überhaupt) ihre Sicherheitsabteilung (SOC-Team) über den Phishing-Angriff informieren.
- …erfolgreich angegriffene Mitarbeitende das Phishing-Mail löschen, sobald sie den Angriff erkennen. Auch in diesem Fall wird das SOC-Team oftmals nicht über den Vorfall informiert.
- …das SOC-Team nicht angemessen auf einen Vorfall reagiert, indem zum Beispiel der Zugriff auf die Phishing-Website per Webproxy blockiert wird.
- …nach dem internen Bekanntwerden des Phishing-Angriffs die Empfehlungen des SOC-Teams von den Mitarbeitenden nicht beachtet werden, zum Beispiel Änderung des Passworts, Löschen des Phishing-Mails etc.
Ein Quäntchen Zeit mit massiven Folgen
Durch dieses Fehlverhalten wird die Zeit zwischen der initialen Kompromittierung («Time to Detect») und dem Bekanntwerden des Angriffs unnötig verlängert. Die Folge: Cyberkriminelle haben länger Zeit, sich tief in die IT-Infrastruktur zu graben und sich zu verstecken. Dadurch verlängert sich natürlich auch die Zeitspanne zwischen Eindämmung und der Bereinigung des Angriffs («Time to Mitigate») – oder wird im Extremfall sogar unmöglich gemacht. Den Angreifer freut die geschenkte Zeit auf jeden Fall; ihr SOC-Team und das Management wohl kaum…
4 Sofort-Massnahmen bei erfolgreichen Phishing-Attacken
Jetzt, wo Sie die Thematik und vor allem das Problem verstanden haben, gehen wir Punkt zwei an: Die reaktiven Massnahmen, wenn der Worst Case trotz Präventionsmassnahmen eingetroffen ist.
In Security Awareness-Schulungen müssen auch reaktive Massnahmen gelehrt werden. Denn desto mehr und professionellere Attacken es gibt, desto höher ist die Wahrscheinlichkeit, dass Phishing-Mails nicht als solche erkannt werden – trotz Sensibilisierung. Mitarbeitende müssen wissen, was sie im Falle eines erfolgreichen Phishing-Angriffs zu tun haben und auch, was sie unterlassen sollten. Wir haben für Sie die vier wichtigsten Punkte zusammengefasst:
- Geben Sie Ihren Mitarbeitenden konkrete Handlungsempfehlungen, zum Beispiel in Form einer Checkliste und wie sie das SOC-Team (am besten rund um die Uhr) erreichen können. Erstellen Sie die Checkliste gemeinsam mit Ihrem SOC-Team, da dieses den Fall anschliessend übernehmen wird. Diese wissen am besten, welche Informationen benötigt werden.
- Kommunizieren Sie intern klar, dass die Anweisungen vom SOC-Team, zum Beispiel das Ändern des Passwortes, unverzüglich und ohne Ausnahme befolgt werden müssen.
- Viele Mitarbeitende verhalten sich bei einer erfolgreichen Phishing-Attacke falsch, weil sie Angst vor Sanktionen haben. Daher sollten bei einer Awareness-Schulung auch die psychologischen Aspekte behandelt werden. Machen Sie Ihren Mitarbeitenden zudem klar, dass keinerlei persönliche Konsequenzen zu fürchten sind – im Gegenteil. Mit einer schnellen Reaktion helfen sie aktiv, zur Sicherheit des Unternehmens beizutragen.
- Zum Schluss sollte die Security Awareness und somit auch die Reaktion bei einer erfolgreichen Phishing-Attacke regelmässig überprüft werden. So halten sie einerseits das Sicherheitsbewusstsein der Mitarbeitenden aufrecht und andererseits kann das SOC-Team den Ernstfall proben und die Abläufe dadurch verbessern.
Professionelle Security Awareness lohnt sich
In der Praxis sehen wir immer wieder, dass viele Unternehmen theoretisch wissen, dass Security Awareness wichtig ist. Trotzdem haben die wenigsten entsprechende Massnahmen implementiert oder gar eine Awareness-Schulung durchgeführt. Nicht nur wir glauben, dass Phishing in Zukunft immer wichtiger wird und gezielte Awareness einer der Schlüsselfaktoren für effektive Cyber Security ist. Auch die Statistiken beweisen es (leider) immer wieder. Setzen Sie deshalb auf einen professionellen Partner mit umfassendem Know-how und Erfahrung.
Unsere Spezialisten bei InfoGuard verfügen über langjährige Praxiserfahrung im Bereich Security Awareness. Dank unserem 360°-Ansatz kennen wir nahezu alle Fallen, in die Sie und Ihre Mitarbeitenden tappen können. Wir bieten Ihnen gezielte Sensibilisierung der Mitarbeitenden für einen sicherheits- und risikobewussten Umgang mit Informationen im Geschäftsalltag. Interessiert? Nehmen Sie mit uns Kontakt auf – ich und meine Kollegen freuen uns, Ihr Unternehmen sicherer zu machen!
Übrigens: Damit es gar nicht zu einer erfolgreichen Attacke kommt, ist Sensibilisierung das A und O. Damit Sie und Ihre Mitarbeitende die wichtigsten Regeln in Bezug auf Phishing-Mails kennen, haben wir ein Poster für Sie erstellt. Geben Sie Phishing-Mails keine Chance und entlarven Sie Cyberkriminelle, bevor der Ernstfall eintritt – jetzt kostenlos downloaden!
