Auf unserem Blog finden Sie weitere Artikel zum Thema Phishing:
So schützen Sie sich vor Phishing & Ransomeware-Angriffen
Phishing – was tun? Dos and Don’ts in Exchange 365
Ransomware-Angriffe: Vorsorge, Reaktion und Nachsorge
Obwohl heute mehr Nutzer Acht auf Ransomware-Angriffe geben, bleibt Phishing eine heikle Angelegenheit.
Die derzeit verfügbaren Anti-Phishing-Technologien können zwar Angriffe abwehren oder ihre Zahl zumindest verringern, aber dennoch gelangen immer wieder Phishing-Versuche durch die Sicherheitseinrichtungen.
Warum sind Phishing-Angriffe so hartnäckig?
Das Problem beim Phishing ist, dass Sie absichtlich hinters Licht geführt werden, indem die Angreifer Ihre alltäglichen Aktivitäten ausnutzen, um einen Angriff zu starten. Ein Beispiel: Eine Vertriebsmitarbeiterin erhält eine E-Mail von einem vermeintlichen Geschäftspartner mit dem Anhang „Unterzeichnetes Angebot“.
Da sie solche E-Mails regelmäßig erhält, öffnet sie den Anhang höchstwahrscheinlich, ohne zu zögern. Durch solche verständlichen Gewohnheiten bieten Anwender eine große Angriffsfläche für Phishing-Versuche – zumal die Angreifer auf immer kreativere und ausgebufftere Methoden setzen.
Daher ist es wichtig, dass Ihr gesamtes Unternehmen den Leitsatz „Sicherheit zuerst!“ verinnerlicht. Doch wie führt man effektive Anti-Phishing-Kampagnen durch?
Wir blicken zurück auf die Lektionen für eine effektive Umsetzung, die wir aus unseren früheren ShiftHappens-Vorträgen gelernt und in unsere Anti-Phishing-Kampagnen integriert haben.
1. Mehr als nur Theorie: Der Wert unterschiedlicher Schulungsressourcen
Jennifer Peabody von HAVI meint:
„Einer der wichtigsten Punkte war der Zugriff auf viele verschiedene Kanäle für Lern- und Schulungsressourcen. Jede und jeder lernt anders und in einem anderen Tempo und nutzt Ressourcen für neue Themen unterschiedlich, deshalb wollten wir sicherstellen, dass wir eine Vielzahl verschiedener Lernkanäle zur Verfügung stellen.“
Der Lernprozess ist von Nutzer zu Nutzer unterschiedlich. Stellen Sie sicher, dass Sie verschiedene Arten von Ressourcen für Ihre Anti-Phishing-Kampagnen nutzen.
Microsoft verfügt über Anti-Phishing-Programme, bei denen Sie falsche Phishing-E-Mails an Ihre Nutzer senden können, um ein Simulationstraining durchzuführen. Sie können auch monatliche Microsoft Teams-Webinare durchführen, um Anwender über die neuesten Entwicklungen in Sachen Phishing auf dem Laufenden zu halten.
Sie können sogar interaktive Spiele erstellen, mit denen Nutzern die Unterscheidung einer authentischen E-Mail von einem Phishing-Versuch bzw. einer seriösen Internetadresse von einer falschen praktisch nahegebracht wird. Oder Sie entwickeln eine App, die Ihre Nutzer daran erinnert, vor dem Klicken nachzudenken.
Mit etwas Spaß an der Sache bleiben die Nutzer nicht nur motiviert dabei, sondern können so Informationen auch schneller und effektiver behalten.
2. Zugänglicher und verständlicher: Keep it simple
Wir als IT- und Sicherheitsteams vergessen häufig, das unsere Nutzer nicht so technik- und sicherheitsaffin sind wie wir.
Jennifer Peabody dazu:
„Mein Kommunikationsstil ist sehr locker. Ich verwende Fachbegriffe nicht so gern, […] denn wenn ich es nicht verstehe, stehen die Chancen gut, dass viele andere es auch nicht verstehen werden.“
Achten Sie bei der Zusammenstellung Ihrer Lernressourcen darauf, dass sie verständlich und nachvollziehbar sind.
Eine allzu technische Phishing-Infografik versteht Ihr durchschnittlicher Nutzer eventuell nicht. Eine Phishing-Schulung, in der die Orientierung schwerfällt, sorgt vielleicht dafür, dass der Nutzer die Schulung nicht abschließt. Eine App, die nicht zugänglich gestaltet ist, wird nicht genutzt.
Neben gut zugänglichen Ressourcen ist eine weitere Strategie, ein Team von Champions aufzubauen, das den Anwendern das Thema näher bringt, weil sie sich besser mit ihnen identifizieren können.
Ein Vertriebsmanager könnte seine Teams dazu bringen, bei E-Mails vorsichtiger zu sein. Eine Marketingleiterin könnte Infografiken zum einfachen Vergleich von authentischen E-Mails und möglichen Phishing-Versuchen erstellen. Ihr Sicherheitsteam könnte monatliche „Lunch and Learns“ durchführen, die auf die einzelnen Abteilungen ausgerichtet sind.
Durch den Fokus auf die richtige Kommunikation und die richtigen Lernressourcen werden die Nutzer merken, dass auch ihre Aufmerksamkeit eine tragende Rolle für die gesamte Sicherheitsstrategie spielt.
3. Mit gutem Beispiel vorangehen: Richtlinien und Überzeugungsarbeit
Vickie Robinson von Microsoft Airband vertritt die Ansicht, dass sich Veränderung mit der Einsicht erreichen lässt, dass das IT-Team oder die Nutzer allein dieses Problem nicht lösen können:
„Das grundlegende Thema ist hier wirklich ein Fokus auf Richtlinien und Überzeugungsarbeit. Es handelt sich um ein systemisches Problem, das eine systemische Lösung erfordert. Wenn Sie nicht über Richtlinien verfügen, werden Sie die Handlungsmöglichkeiten beschränken […].“
Eine Umgebung, in der die Nutzer sehen, dass Lerninhalte von der gesamten Organisation umgesetzt werden, ist unerlässlich, um den Wert solcher Kampagnen aufzuzeigen.
Setzen Sie Richtlinien und Bestimmungen in Kraft, die Nutzer dazu ermutigen, auch nach ihrer Schulung und sogar nach den Kampagnen sicherheitsorientierte Arbeitsabläufe zu übernehmen.
Beispielsweise könnte der letzte Abschnitt des Phishing-Auffrischungskurses die Anwender dazu auffordern, ihre E-Mails der letzten Zeit durchzugehen und verdächtige Adressen zu löschen oder nach ungewöhnlichen E-Mail-Anhängen zu suchen und diese an das Sicherheitsteam weiterzuleiten.
Ein Vorfallmanagement-Prozess ist bei tatsächlichen Phishing-Angriffen entscheidend. Sie können Ihre Nutzer dabei unterstützen, sich mit dem Prozess vertraut zu machen, indem Sie auch dazu eine Schulung abhalten. Geben Sie Anweisungen vor möglichen Angriffen und betonen Sie, an wen sich die Nutzer im Ernstfall wenden sollen.
Darüber hinaus müssen die Nutzerdaten gesichert werden. Eine Backup-Lösung, die Endnutzern die Wiederherstellung ihrer eigenen Daten ermöglicht, wenn sie authentische E-Mails und Anhänge gelöscht haben, ist während der gesamten Kampagne von Vorteil.
Sie werden den wahren Wert Ihrer Anti-Phishing-Kampagnen erkennen, wenn die Anwender nicht nur etwas lernen, sondern das Gelernte auch in die Praxis umsetzen.
EduTech: Dynamische und sichere Lernlösung
Der Lernprozess ist etwas sehr Individuelles. Gäbe es also eine effektivere Lernlösung als eine Plattform, die flexibel genug ist, um nach dem Baukastenprinzip Lernmodule zum Thema Phishing anzubieten – ganz nach Ihren Wünschen –
und dennoch die Sicherheit nicht vernachlässigt? Mit AvePoint EduTech – einer modernen Lernlösung für Bildungseinrichtungen sowie Unternehmen – können Sie eine dynamische Lernumgebung innerhalb einer einzelnen Plattform schaffen und sowohl effektives Lernen als auch robuste Sicherheit fördern.
Fortschritte werden zwar nicht über Nacht gemacht, doch die einzelnen Schritte in Richtung Ziel bringen Sie dem sicherheitsorientierten Unternehmen näher, auf das Sie hinarbeiten – und EduTech kann Sie dabei unterstützen.
Abonnieren Sie unseren Blog, um weitere Informationen über Phishing und Datensicherheit
