,

„Security Awareness – Sicherheit leben“ Teil 2: Phishing

AdobeStock | 1424263615 | BritCats StudioAdobeStock | 1424263615 | BritCats Studio

In einer Serie von Blogartikeln zum Thema Security Awareness (Artikel 1 ; Artikel 2; Artikel 3; Artikel 4; Artikel 5; Artikel 6; Artikel 7; Artikel 8; Artikel 9) haben wir gezeigt, dass Awareness-Maßnahmen für einen nachhaltigen Erfolg systematisch aufgebaut und strukturiert werden müssen. Das vorgestellte Awareness-Konzept ist in gewisser Hinsicht ein Gegenpol zu den oftmals in der Praxis anzutreffenden Einzelmaßnahmen. Doch auch ein gut durchdachtes Konzept besteht aus einzelnen Maßnahmen, und es beginnt mit der Frage, welche Ziele durch eine Awareness-Maßnahme bei einer spezifischen Zielgruppe erreicht werden sollen.

Das Ziel einer Awareness-Maßnahme ergibt sich oft aus der Tatsache heraus, dass erfolgreiche Angriffe auf Unternehmen und Einrichtungen auf nur einigen wenigen Schwachstellen beruhen. Daher verwundert es nicht, wenn Awareness-Maßnahmen häufig genau diese Schwachstellen adressieren. Auf einige der geradezu klassischen Schwachstellen soll in diesem ersten Beitrag eingegangen werden.

Einstiegsmöglichkeit Nummer 1: Phishing

Eine viel genutzte Angriffsmethode sind Phishingversuche. Hierbei sollen die Opfer durch oft gut gemachte E-Mails oder Anrufe dazu verleitet werden, sensible Informationen preiszugeben, die dadurch bei den Angreifern landen und von diesen missbraucht werden können. Viele dieser Phishingversuche basieren darauf, dass die Opfer auf anscheinend echte, tatsächlich aber vom Angreifer nachgebildete Seiten gelockt werden. Da diese Seiten sehr vielfältig sein können und sich die initialen Phishingversuche auch stark unterscheiden, ist es fast unmöglich, konkrete Phishingversuche inhaltlich vorauszuahnen. Die beste Möglichkeit zur Abwehr solcher Angriffe ist es daher, die potenziellen Opfer zu schulen und zu informieren, damit Phisingangriffe erkannt und sicher abgewehrt werden können.

Warum funktioniert Phishing so oft?

Obwohl der richtige Umgang mit Phisingversuchen in Awarenessmaßnahmen sehr häufig thematisiert werden, sind Phishingversuche leider in der Praxis oft erfolgreich. Das liegt unter anderem daran, dass die Angreifer in psychologischer Hinsicht geschickt gestalten. So werden dem Empfänger z.B. Vorteile versprochen, insbesondere bei schneller Reaktion. In diesem Beispiel wirkt die Psychologie gleich doppelt: die Aussicht auf Vorteile überlagert das kritische Nachdenken, und dieser Effekt wird durch ein kleines Zeitfenster noch verstärkt. Das Unter-Druck-Setzen funktioniert auch in Kombination mit angedrohten negativen Umständen, wie die Sperrung von Konten oder das Erheben von Strafzahlungen.

Eine weitere Gestaltungsmöglichkeit von erfolgreichen Phishingversuchen beruht in der (scheinbaren) Nutzung von realen Kommunikationspartnern, mit denen das Opfer in Verbindung zu stehen scheint. Somit erhält der Angriff einen Anschein von Echtheit, und als Empfänger ist man eher geneigt, auf den Kommunikationsversuch einzugehen.

Einstiegsmöglichkeit Nummer 2: Social Engineering

Verkürzt könnte man sagen, dass Social Engenieering teilweise auf ähnlichen Wirkmechanismen beruht, wie die Phishingversuche. Allerdings geht es meist nicht primär um das Erlangen von Zugangsdaten und Passwörtern dadurch, dass die Zugangsdaten in nachempfundene Systeme eingegeben werden sollen. Vielmehr ist es das Ziel des Angreifers, das Opfer zu einem eigentlich als verboten bekannten Verhalten zu animieren. Dies erfolgt oft in direkter zwischenmenschlicher Interaktion. Der Angreifer versucht auf vielfältige Art und Weise, ein Vertrauensverhältnis aufzubauen, z.B. (wieder) durch das Einräumen von Vorteilen, oder durch Vortäuschen einer Notsituation. Das Opfer fühlt sich verpflichtet, auf die Wünsche oder die Notlage des Angreifers einzugehen, eben weil ein Vertrauensverhältnis zum Angreifer wahrgenommen wird. Dabei nimmt das Opfer auch bewusst in Kauf, gegen bestehende Sicherheitsvorgaben zu verstoßen.

Was Sie auch interessieren könnte:

Seminar:

In unserem Seminar Security Awareness – Sicherheit leben gehen wir gezielt auf mögliche Angriff Szenarien ein und üben mit den Teilnehmern das erkennen von Warnsignalen. Buchen Sie jetzt und stärken das Sicherheitsbewusstsein in Ihrem Unternehmen.

„Security Awareness – Sicherheit leben“

Weitere Seminare finden Sie unter https://anmatho.de/seminare. Diese können Sie auch als individuelles Inhouse-Seminar buchen.
Sprechen Sie uns gern an.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
Das könnte Dich auch interessieren
Tresor mit LaserAdobe Stock | #34023897 | lassedesignenRückblick ANMATHO Forum 2018
ANMATHO Podcast Logo "Security on Air".© ANMATHO AG + AdobeStock | #129965694 | frank peters (Micro)Podcast – Security on Air – Neue Folgen
Postit Security Training im KalenderAdobeStock | #400997992 | JuliaAwareness – Maßnahme oder Konzept?
4x selber Mann mit Denkprozess eingezeichnetAdobe Stock | #175724747 | FeodoraWarum Mitarbeiter für die Informationssicherheit wichtig sind
Adobe Stock | #434461155 | photon_photoAwareness – Maßnahme oder Konzept? – Teil 2
Mann mit Kind auf SchulternAdobe Stock | #340945027 | Maria SbytovaSicheres Arbeiten im Home-Office – Es gibt viel zu tun!

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen