Wie schützen Sie Ihr Unternehmen vor Phishing?

Phishing ist einer der Hauptangriffsmechanismus von Cyber-Kriminellen, die eine Vielzahl von Zielen verfolgen. Die Ziele sind häufig Daten von Kunden oder zielen darauf ab, den Ruf des Unternehmens zu schädigen.

Um sich vor Phishing schützen zu können, muss man sich über die Schwachstellen im Klaren sein und das potentielle Risiko für das Unternehmen abwägen. Nur so können sie geeignete Maßnahmen für den Schutz Ihres Unternehmens treffen.

Was ist Phishing eigentlich?

Unter Phishing versteht man den Versuch sich Zugangsdaten (z.B. fürs Online-Banking, …) zu erschleichen. Die Methoden der Angreifer reichen von gefälschten Webseiten bis hin zu E-Mails oder Messages, in denen vorgegaukelt wird man sei ein vertrauenswürdiger Kommunikationspartner. In der Folge wird das Konto geplündert, die Identität gestohlen oder dazu verleitet unwissentlich eine Schadsoftware zu installieren.

Warum ist Phishing erfolgreich?

Bei Phishing-Angriffen ist die Technik nicht so wichtig, da geht es mehr um Social Engineering. Leider sind Menschen erstaunlich leicht manipulierbar, wenn Emotionen ausgelöst werden. Die Phishing-Angreifer arbeiten hier vor allem mit der Angst der Opfer oder versuchen durch bösartige Unterstellungen das Opfer zu einer unbedachten Reaktion zu bewegen.

Phishing-Angriffe sind sehr beliebt und erfolgreich, da diese auf verschiedene Weise eingesetzt werden können, um ein Ziel zu schädigen und z.B. dessen Produktivität zu beeinträchtigen. Mitarbeiter werden dabei angehalten Inhalte von Nachrichten manuell zu überprüfen oder die IT des Unternehmens einzuschalten.

Zu Bedenken ist, dass Phishing schwer verhindert werden kann, da das Risiko von Fehlalarmen die gewöhnliche Geschäftskommunikation erheblich stören würde.

Welche Schutzmaßnahmen gibt es?

Industriestandards

Für den Schutz Ihres Unternehmens, Ihrer Mitarbeiter und Kunden vor Phishing-Angriffen ist es wichtig, dass Sie Industriestandards nutzen und bewährte Verfahren umsetzen, wann immer es die Möglichkeit dazu gibt.

Zu den wichtigsten Standards gehören:

Ziel dieser Standards ist es, sicherzustellen, dass E-Mail-Server, die behaupten, im Namen einer Domäne zu senden, auch dazu berechtigt sind. Diese Standards sind einfach zu implementieren, da sie auf dem DNS basieren. 

Große Anbieter von Mail-Services, wie z.B. Google oder Microsoft, haben diese Standards implementiert. Damit bieten professionelle E-Mail-Dienste wie diese einen gewissen Schutz vor Phishing, jedoch sind diese nicht perfekt und es besteht immer noch die Gefahr Opfer von Phishing zu werden.

 

 

Inhaltsrichtlinien

Ein beliebter Angriff erfolgt mittels E-Mail-Antworten. Tools wie Inhaltsrichtlinien, die in Tools für Unternehmen, wie Microsoft 365, Google Workspace oder als Drittanbieter-Tool verfügbar sind, sind hilfreich, um zu verhindern, dass diese Angriffe erfolgreich sind.

Eine Inhaltsrichtlinie hilft dabei wichtige Informationstypen, wie Kreditkarten- oder Bankdaten, Sozialversicherungsnummern oder andere Informationen, die geschützt werden sollten, automatisiert zu identifizieren und verhindern, dass diese Informationen außerhalb des Unternehmens verschickt werden.

Multi-Faktor-Authentifizierung und Authentifizierungsstandards

Ein großes Risiko bei Phishing-Angriffen besteht in der Kompromittierung des Netzwerkes, was zu finanziellen Verlusten, Datenverlusten oder sogar zu Ransomware führt. 

Daher führt kein Weg an Multi-Faktor-Authentifizierungen (MFA) und Authentifizierungstandards wie Fast Identity Online v2 (FIDO2) oder Web-Authentifizierung (Web-Authn) vorbei. Es empfiehlt sich für Unternehmen bei MFA noch einen Schritt weiter zu gehen und die passwortlose Authentifizierung mit Zero-Trust einzuführen.

Moderne Authentizierungsstrategien, wie die risikobasierte Authentifizierung und die Security Assertion Markup Language (SAML) sind leistungsstarke Werkzeuge, um das Worst-Case-Szenario von einem erfolgreichen Phishing-Angriff zu verhindern.

Jede dieser Komponenten darf in Ihrem Unternehmen auf keinen Fall vernachlässigt oder gar unberücksichtigt werden. Die Vorteile sind: Der Schaden, der durch ein kompromittiertes Passwort entsteht, wird minimiert und es werden Systeme eingerichtet, die Authentifizierungsversuche analysieren und auf kompromittierte Anmeldedaten in Echtzeit reagieren können.