wei - stock.adobe.com
Darauf sollten Unternehmen bei Phishing-Tests achten
Viele gravierende Sicherheitsvorfälle begannen mit einer einfachen E-Mail. IT-Abteilungen können daher mit internen Phishing-Tests die Gesamtsicherheit des Unternehmens verbessern.
Selbst wenn Next Generation Firewalls (NGFW), die neueste Antimalware-Lösung und Web-Content-Filtersysteme zum Einsatz kommen, wird die Sicherheit des Unternehmens gefährdet, wenn Anwender auf Phishing-Mails reagieren.
Phishing ist nachweislich ein sehr gefährlicher Angriffsvektor für Unternehmen. Anwender werden mit seriös erscheinenden E-Mails dazu verleitet, auf Links zu klicken, oder andere Aktionen auszuführen. Adressat solcher Angriffe kann jeder Anwender in jeder Abteilung sein. Entsprechend wichtig ist es, dass Bewusstsein der Nutzer hierfür zu schärfen.
Am einfachsten lässt sich die Aufmerksamkeit der Endanwender wie der Geschäftsführung gewinnen, indem man demonstriert, wie einfach eine erfolgreiche Phishing-Attacke durchzuführen ist. Dazu führt die IT-Abteilung einen Phishing-Test durch, bei dem in regelmäßigen Abständen präparierte Nachrichten erstellt und versendet werden.
Was einen guten Phishing-Test ausmacht?
Geschäftsführung einbeziehen: Die Geschäftsleitung muss nicht nur die Bedeutung eines Phishing-Tests verstehen, sie muss auch bereit sein, sich selbst testen zu lassen.
Alle Nutzer testen: Ein Test, der nur bestimmte Abteilungen oder Anwender berücksichtigt, kann nicht erfolgreich sein. Es müssen ausnahmslos alle Abteilungen berücksichtigt werden, das gilt für die Personalabteilung wie die IT-Abteilung gleichermaßen. Und wie bereits erwähnt, ist da auch die Führungsetage nicht außen vor.
Mehr als einen Klick provozieren: Frühe Phishing-Angriffe haben Nutzer lediglich dazu verleitet, auf einen präparierten Link zu klicken. Heute Phishing-Attacken sind da meist komplexer. So sollten Phishing-Tests Benutzer durchaus dazu bringen, gezielte Anmeldedaten aus dem Unternehmensnetzwerk preiszugeben.
Hinweise für Nutzer einbauen: Bei den Tests sollten die Phishing-Mails zunächst einige erkennbare Indizien aufweisen. So beispielsweise geringfügig anders geschriebe Domain-Namen oder Rechtschreibfehler. Anwender sollen so erkennen können, dass etwas nicht stimmt. Je fortgeschrittener die Tests und das Bewusstsein der Nutzer diesbezüglich ist, desto weniger Hinweise sollten eingebaut werden.
Die Anwender nicht unterschätzen: Es ist erstaunlich, welche Informationen Nutzer bei einer gut gemachten Phishing-Mail preisgeben. Wird beim Test eine E-Mail versendet, die augenscheinlich von der Geschäftsführung stammt, werden viele Anwender die darin gewünschte Aktion ausführen.
Transparent agieren: Es muss sichergestellt sein, dass die Themen und Methoden des Tests bekannt und klar sind. Die Sicherheitsrichtlinien und -verfahren sollten verdeutlicht werden und ebenfalls wie diese durchgesetzt oder ignoriert werden. Es muss sichergestellt sein, dass die Test-Phishing-Mails durch die Spam-Filter gelangen und dies nicht nur ein Test der Sicherheitslösungen ist.
Der Test ist ein fortlaufender Prozess: Nur weil die IT-Abteilung bereits einmal Phishing-Tests durchgeführt hat, ist die Gefahr keineswegs gebannt. Und auch wenn die Anwender in der Vergangenheit relativ gut abgeschnitten haben, heißt dies nicht, dass ein nächster Test nicht andere Ergebnisse abliefert.
Die Ergebnisse der Phishing-Tests richtig nutzen.
Die Resultate der Tests müssen sowohl mit der Geschäftsleitung als auch mit denjenigen, die den Test nicht bestanden haben, besprochen werden. Dabei sollte positiv vorgegangen werden, entsprechend sollten die Fakten und die Lehren aus dem Test diskutiert werden. Phishing-Tests sind natürlich nur ein Element von vielen Schulungsmöglichkeiten in Sachen Sicherheit. Diesbezüglich aufmerksame Mitarbeiter können die Gesamtsicherheit eines Unternehmens jedoch entscheidend verbessern.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!