Mit den Cyberrisiken ist es wie mit vielen Risiken: Man hofft letztlich, dass es einen nicht trifft. Zwar gab es in den letzten Jahren einige spektakuläre Angriffe, bei denen große Unternehmen, Behörden und Krankenhäuser „lahmgelegt“ wurden. Aus einer Mittelstandsperspektive stellt man aber die Frage: Ist das Risiko angegriffen zu werden, für mich als eher unbekannten Mittelständler nicht deutlich geringer? Und bin ich mit Firewall und Virenscanner nicht gut geschützt? Und kann man das Phishing-Risiko durch Awareness und Training senken?
Die Antwort lautet lautet: Leider nein (bzw. ja). Denn man weiß, dass die allermeisten Angriffe zumindest teilautomatisiert laufen, d.h. dort, wo Scans Lücken entdecken wird zugeschlagen – unabhängig von der Unternehmensgröße oder -Bekanntheit. Firewall und Virenscanner sind zwar elementare Bausteine der IT Security, reichen aber heutzutage bei weitem nicht aus. Und Phishing umgeht Firewall und Virenscanner.
Phishing ziehlt auf den Mitarbeiter ab
Gerade weil Phishing Firewall und Virenscanner umgeht, ist es die Angriffsmethode der Wahl. Die Angreifer senden dabei den Mitarbeitern täuschend echte Mails von z.B. Microsoft, Apple, Teams oder DHL zu. Darin werden sie aufgefordert, einen Anhang zu öffnen oder auf einen Link zu klicken. Der Link führt zu einer ebenfalls manipulierten Seite, die den Mitarbeiter auffordert, seine Login-Daten einzugeben. Im ersten Fall installiert sich wahrscheinlich Schadsoftware und im zweiten Fall erbeutet der Angreifer Login-Daten, mit denen weiterarbeiten kann.
An der Stelle denken Sie vielleicht, „Das kann mir nicht passieren, denn ich weiß, auf was ich klicken darf und auf was nicht!“
Das mag durchaus sein, aber gilt das für alle Kollegen in Ihrem Unternehmen?
Die Studienlage ist eindeutig
Die PWC-Studie Cyberangriffe gegen Unternehmen in Deutschland wies im Jahr 2020 zwei Dinge nach:
1. Angriffe sind oft erfolgreich: „Jedes achte Unternehmen (12,5 %) war in den letzten zwölf Monaten von einem Ransomware-Angriff betroffen, jedes neunte (11,3 %) von einem Spyware-Angriff und etwa jedes fünfte (21,3 %) von sonstigen Schadsoftware-Angriffen“. Die Wahrscheinlichkeit getroffen zu werden, ist also groß.
2. Die Angriffsmethode Nr. 1 ist Phishing – sie kommt nämlich in über der Hälfte der Angriffe zum Einsatz.
Zu demselben Schluss kam übrigens auch eine gemeinsame Studie der amerikanischen Geheimdienste FBI, NSA und der Cybersecurity and Infrastructure Security Agency (CISA): Die Studie untersuchte Angriffe russischer Hacker auf Zuliefererbetriebe der amerikanischen Rüstungsindustrie. Auch hier sind die Ergebnisse eindeutig: Phishing ist die Angriffsmethode der Wahl und führt oft zum Erfolg!
Mitarbeiter-Awareness und Trainings senken das Risiko!
Das bedeutet: Technische Maßnahmen zur Verbesserung der IT-Sicherheit nutzen nur wenig, wenn die Mitarbeiter auf Phishing-Mails `reinfallen. Daher empfehlen Institutionen wie zum Beispiel das BSI Maßnahmen zur Verbesserung der sogenannten „Awareness“ zu ergreifen. Awareness bedeutet, dass die Mitarbeiter wissen, welche Risiken es gibt und woran man sie erkennt. Eine ideale Methode, die Mitarbeiter zu schulen, stellen Awareness-Kampagnen dar. Was diese beinhalten und wie diese ablaufen, haben wir hier dargestellt. Angesichts der oben beschriebenen Sachlage empfehlen wir allen Unternehmen, regelmäßig Awareness-Kampagnen sowie Trainings durchzuführen!
