Die Folgen von Phishing-Attacken für Unternehmen
Phishing-Attacken auf Unternehmen nehmen zu. Man sollte daher meinen, dass dieser Begriff allen geläufig ist. Tatsächlich hat ein aktueller Report von Proofpoint gezeigt, dass sich viele Mitarbeiter nicht darüber bewusst sind, was Phishing eigentlich ist. Und sie daher auch nicht abschätzen können, wie sie davon betroffen sein könnten. Und in letzter Konsequenz: Wie sie sich vor solchen Angriffen schützen können.
Daher möchten wir zunächst den Begriff definieren, bevor wir darauf eingehen, welche Folgen dies für Unternehmen hat – und welche einfachen Tools bei der Prävention helfen.
Wo begegnet uns Phishing?
Phishing beschreibt den Vorgang, bei dem Betrüger mittels gefälschter E-Mails, Instant-Messages oder Websites versuchen, persönliche Daten abzugreifen. Eine Sonderform ist das sog. Vishing, bei dem dieser Betrugsvorgang über das Telefon durchgeführt wird.
Bei Privatpersonen geht es meist darum, direkt an Zahlungs- und Identitätsdaten oder Passwörter zu gelangen. Eine Variation ist der (hintergründige) Download von Malware – sei es in Form von Ransomware zur Erpressung von Lösegeld nach Datenverschlüsselung oder zur Bildung eines sog. Botnetzes. Dieses sorgt dafür, dass der PC ferngesteuert werden kann, wodurch er z. B. zum Ausgangspunkt einer weiteren Infektionswelle werden kann.
Im geschäftlichen Umfeld zielen Phishing-Attacken nicht unbedingt primär auf die betroffene Einzelperson. Häufig steht das Gesamtunternehmen im Zentrum solcher Angriffe. Auch wenn Unternehmen noch immer Schwächen in der technischen Absicherung haben, so zeigt sich am Phänomen Phishing, dass der Mensch das zerbrechlichste Glied in der Sicherheitskette ist. Denn dieser wird mittels Mailings oder Telefonkampagnen gezielt angesprochen, um ihm relevante Informationen zu entlocken. Mitarbeiter Awareness-Trainings zeigen dabei immer wieder, wie leichtfertig Mitarbeiter bei guten Social Engineering-Kampagnen Informationen weitergeben oder (dubiosen) Links folgen.
Für eine großangelegte Social Engineering-Kampagne gegen ein bestimmtes Unternehmen kann das Abgreifen von Nutzer- und Zugangsdaten durchaus ein erster Schritt sein. Oft gehen der eigentlichen Attacke jedoch Spionageversuche voraus: Täter ermitteln so mittels fingierter Mails und/oder Anrufe gezielt Verantwortliche für etwa die Finanz- oder IT-Abteilungen. Um somit den eigentlichen Angriff auf das Unternehmen am richtigen Punkt starten zu können. Diese gezielten Angriffe auf die obere Führungsebene ist oft erfolgreicher als eine ungezielte Attacke auf einzelne Mitarbeiter, da hier eine breite Informationsbasis vorhanden ist – aufgebaut über externe wie internen Quellen.
Mögliche Kampagnen auf Unternehmen
Unternehmen geraten schon aufgrund der lockenden Gewinne in den Fokus von Phishing-Angriffen. Besonders kleine und mittelständische Unternehmen sowie große Hidden Champions sind besonders oft im Visier von Betrügern. Denn aufgrund der geringeren Bekanntheit wiegen sie sich oft in falscher Sicherheit und vernachlässigen den Schutz ihrer Netzwerke und Systeme. Ein fataler Fehler – denn schwache Sicherheitssysteme und Zugangsbeschränkungen sowie fehlende Investition in Mitarbeiteraufklärung und -schulungen können sehr teuer werden.
Eine mittlerweile vermehrt anzutreffende Form an Social Engineering-Kampagnen ist der sog. CEO-Fraud oder auch Business Email Compromise genannt. Hierbei werden im Namen von Vorgesetzten bis hin zur obersten Führungsebene E-Mails an Mitarbeiter versendet, um so deren Daten abzugreifen. Gleichzeitig geraten aber auch insbesondere die Führungskräfte ins Ziel von Cyberkriminellen.
Neben derart zielgerichteten Kampagnen setzen Angreifer aber auch weiterhin auf klassische Methoden, wie gefälschte Links oder Anhänge zum vermeintlichen Download von business-relevanten Dokumenten. Besonders im Business-Umfeld, in dem ein Zwang zum Öffnen von Dateien oder Weiterverfolgen von Informationen herrscht, haben Angreifer ein leichtes Spiel, wenn sie auf relevante Themen setzen.
Die Folgen für Unternehmen
Ein erfolgreicher Phishing-Angriff kann für Unternehmen verschiedene große Problem mit sich führen. Wir haben Ihnen in der Grafik die häufigsten Folgen und Ursachen zusammengefasst.
Gut geschützt dank MFA und IAM
Im Umgang mit Phishing ist es unerlässlich, den Faktor Mensch besonders abzusichern. Denn die beste Firewall nützt ihnen nichts, wenn ein Mitarbeiter – am Telefon oder in einem gefälschten E-Mail-Link – Firmenintern oder Zugangsdaten preis gibt. Zumindest gegen letzteres können Sie sich und Ihr Unternehmen mittels sinnvollem Identity und Access Management sowie MFA (Multifaktor-Authentifizierung) absichern.
Ein Beispiel für eine solche Software ist etwa DoubleClue, die beides miteinander verbindet. Informieren Sie sich hier über alle Vorteile, den Sie durch den Einsatz von DoubleClue haben.