Phishing: Ein Thema, mit dem nicht nur Unternehmen ständig konfrontiert sind. Erinnern Sie sich noch an einen unserer Blogbeiträge, in dem unsere Penetration Tester vom Kongress 36C3 berichteten? Einer der darin genannten Top-Talks sorgt in den Fachkreisen noch immer für Gesprächsstoff, weshalb wir Ihnen den Inhalt nicht vorenthalten möchten. Weshalb der Mensch die am häufigsten ausgenutzte Schwachstelle ist, wieso Psychologie in der Cyber Security zu wenig Beachtung findet und Spannendes über die menschlichen Faktoren der IT Security, erfahren Sie in diesem Blogartikel
Im 36C3-Talk «Hirne Hacken» wurden die Themen Security Awareness und Social Engineering aus einer ungewohnten Perspektive beleuchtet. Der Referent, Linus Neumann, bemängelte den fehlenden Praxisbezug der aktuellen IT Security-Forschung. Oftmals seien die Themen hochkomplex wie etwa Quantenkryptographie – und gehen somit völlig daran vorbei, was tagtäglich in Unternehmen passiert. Seiner Meinung nach ist es wichtig, die psychologischen Faktoren näher zu erforschen, um dadurch das wohlbekannte Problem «Mensch als grösster Sicherheitsfaktor» in Angriff zu nehmen. Weshalb selbst die aufwändigsten technischen Sicherheitsmassnahmen nichts bringen, wenn das schwächste Glied der Sicherheitskette vergessen wird, können Sie in einem unserer früheren Beiträge nachlesen.
Die menschlichen Faktoren der IT Security sind nach Linus Neumann nur wenig erforscht – zu wenig, womit er sicherlich durchaus recht hat. Doch weshalb sind Phishing-Attacken immer noch so erfolgreich, selbst bei geschulten Mitarbeitenden? Und wie schafft man es, die gewünschte, korrekte Reaktion im Unterbewusstsein zu verankern?
Die Organisations- und Verhaltenspsychologie von Daniel Kahnemann, einem namhaften amerikanischen Psychologen, gibt mögliche Antworten. Demnach wird das menschliche Verhalten durch zwei Systeme gesteuert:
Linus Neumann verwies im Vortrag auf eine Statistik, wonach bis zu 50 Prozent aller simulierten Phishing-Kampagnen erfolgreich sind. Unsere Erfahrung aus Phishing-Audits zeigt, dass dieser Wert tendenziell leider eher höher liegt. Der Erfolg der Kampagnen (und im Umkehrschluss auch der Cyberattacken) lässt sich anhand der beiden Systeme einfach erklären: Sobald der oder die Mitarbeitende beispielsweise den Link im Phishing-Mail – oder den Mailanhang – öffnet, passiert etwas Unerwartetes. Möglicherweise wird der Screen schwarz oder eine Warnmeldung poppt auf. Die Person erschrickt; «System I» ist aktiviert. Und dann?
Wenn es sich nur um eine Phishing-Kampagne handelte, bleibt nicht mehr als ein Schrecken zurück. Meist erhält das vermeintliche «Opfer» anschliessend einen Hinweis, dass es sich lediglich um eine interne Security Awareness-Kampagne handelte. Puh, nochmal Glück gehabt!
Durch eine simulierte Phishing-Attacke wird demnach das System I – schnell, intuitiv, automatisch, aktiv bei Angst und Langweile – angesprochen. Die Interaktivität maximiert dabei den Lerneffekt deutlich und vor allem nachhaltig. Deswegen sind simulierte Phishing-Attacken auch bei uns eine oft genutzte Massnahme, um die Security Awareness der Mitarbeitenden zu verifizieren. Durch die eigene Erfahrung an einem (scheinbar) realen Szenario wird den Mitarbeitenden bewusst, wie schnell ein falscher, unüberlegter Klick passieren kann. Trotzdem empfehlen wir (und auch Linus Neumann), vorgängig eine Security Awareness-Schulung zu machen. Schliesslich möchte man die Mitarbeitenden nicht ins kalte Wasser werfen und auch jene schulen, die nicht auf den Angriff hereingefallen sind. Getreu dem Motto: Steter Tropfen höhlt den Stein.
Und was ist nun mit «System II»? Ziel ist es, dass bei verdächtigen E-Mails das Handeln von System II dominiert. Mittels entsprechenden Security Awareness-Massnahmen können Mitarbeitende so ganz gezielt geschult werden, damit System II anstatt System I aktiviert wird, sobald eine «heikle» Situation eintritt. Mögliche Massnahmen sind beispielsweise Erklärvideos, Live-Hacking-Veranstaltungen oder spezifische E-Learning-Module. Aber wie bei vielem anderem auch, reicht eine einmalige Aktion selten aus. Wichtig sind daher wiederkehrende (zum Beispiel jährliche) unterschiedliche Phishing-Kampagnen.
Nichtsdestotrotz sind auch die technischen Massnahmen wichtig, um die Mitarbeitenden möglichst erst gar nicht in so eine Situation zu bringen. Gutes Web-, Mail- und Firewall-Management sind hier das A und O.
Für die Mitarbeitersensibilisierung gibt es nebst simulierten Phishing-Attacken natürlich noch weitere Massnahmen, die ergänzend unbedingt eingesetzt werden sollten. Dazu gehört auch die Awareness-Kommunikation in Form von Plakaten, Broschüren, Newslettern usw. Wie so etwas aussehen kann? Wir zeigen es Ihnen!
Downloaden Sie jetzt unser kostenloses Phishing-Poster und erhalten Sie kompakt praktische Tipps unserer Cyber Security-Experten, um Phishing-Mails zu erkennen – eine effektive Sofortmassnahme, um Ihre Mitarbeitenden zu sensibilisieren.
Sie sehen: Cyber Security besteht nicht nur aus technischen Komponenten. Der Faktor Mensch ist mindestens ebenso wichtig, wird jedoch oft noch zu sehr vernachlässigt. Setzen Sie daher auf effektive Massnahmen im Rahmen einer Security Awareness-Kampagne! Mehr zu den Massnahmen und wie unsere Cyber Security-Experten Sie unterstützen können, erfahren Sie hier: