Phishing Kampagne für Unternehmen

Phishing Kampagne für Unternehmen- Wie klug gehen Ihre Mitarbeiter mit Mails um?

 

„Das kann mir nie passieren“

 

So könnten die letzten Worte eines Nutzers lauten, der sich ganz sicher ist, niemals auf eine Phishing Mail hereinzufallen.

 

Was sind Phishing Mails ?

Phishing Mails sind Emails, welche den Nutzer dazu verleiten sollen, Daten von sich persönlich oder seinem direkten Umfeld Preis zu geben. Häufig werden dazu Links genutzt, welche auf eine

präparierte Webseite führen oder auch Anhänge, in Form von Office-Dokumenten, die sich in der Email befinden können. Dabei können sowohl die gefälschte Webseite, als auch die Anhänge entsprechend Daten des Nutzers abgreifen. Wie zum Beispiel durch die aktive Eingabe des Nutzers von Daten in entsprechende Eingabefelder, als auch passiv – zum Beispiel durch stilles überwachen der Aktivitäten des Nutzers.

Was im Privaten schon Schaden z.B. durch Viren oder Nutzerdaten Leaks verursachen kann, ist in einer Firma ein großes Problem.

Geraten Login Daten in die falschen Hände, kommen ganz schnell Informationen an unbefugte Personen, die damit dann allerhand anstellen können.

Zusätzlich kann es über den finanziellen Schaden hinaus Konsequenzen für das Unternehmen haben – potentiell betroffene Dienstleister und Kunden müssen informiert werden und womöglich muss sich die Firma um Schadensminimierung bei den Betroffenen bemühen. Hinzu kommt natürlich der Verlust von Vertrauen und Ansehen Ihrer Firma.

Phishing ist eine Form des Social Engineering

Bei dem Thema IT-Security oder Informationssicherheit denken viele Nutzer zuerst an technische Maßnahmen gegen Cyberangriffe: Firewalls, Zugriffsberechtigungen und Antivirensoftware.

Die größte Schwachstelle ist aber oft der Mensch. Im Gegensatz zum Versuch durch Hardwaremanipulation an Daten zu gelangen, ist Phishing eine Form des Social Engineering – d.h. eine Form des Hackens, bei der versucht wird, durch die Manipulation eines Menschen an Informationen zu kommen.

Umso wichtiger ist es, dass Sie die Awareness, also das Bewusstsein, Ihrer Mitarbeiter in Bezug auf IT-Angriffe testen und stärken.

 

Wenn Ihnen ein Video lieber ist als Text, können Sie im folgenden Clip einen Überblick zum Thema gewinnen.

Wie sicher ist Ihr Unternehmen vor Phishing Angriffen?

Wie oben schon angedeutet, sind sich die meisten Nutzer sicher, dass sie nicht auf Phishing Mails hereinfallen, aber die Erfahrung zeigt uns, dass doch einige Mitarbeiter gefälschte Mails öffnen. Mit unserem simulierten Cyberangriff in Form einer Phishing Kampagne, können Sie ganz genau sehen wie Ihre Mitarbeiter auf die Mails reagieren.

Was ist eine Phishing-Kampagne?

In einer Phishing Kampagne verhalten wir uns wie es Angreifer würden. Wir schicken, nach vorheriger Absprache mit Ihnen, gefälschte Mails an Ihr Personal. Dies geschieht in mehreren Stufen und im Anschluss überprüfen wir statistisch, wie häufig Emails geöffnet, Anhänge heruntergeladen oder sensible Daten, ohne Rücksprache, weitergegeben wurden.

Mit einer Phishing Kampagne für Unternehmen gestalten wir ein realistisches Angriffsszenario, in dem die Kollegen wirklich zu spüren bekommen, dass Sie vielleicht doch nicht so immun gegen gefälschte Mails sind.

Auf die Mails des nigerianischen Prinzen sollte ihr Team nicht hereinfallen, aber die Phishing Mails sind heutzutage deutlich raffinierter und auf die Ziele zugeschnitten.

Die Email Adressen der meisten Mitarbeiter lassen sich leicht herausfinden und durch eine kurze Suche, bzw. ein Telefonat kann man auch schnell Personen finden, die man gut zur Täuschung nutzen kann.

Der Geschäftsführer, der ganz dringend ein bestimmtes Passwort zugeschickt haben möchte, weil ein wichtiger Vorgang davon abhängt, oder ein Mitarbeiter der Buchhaltung, der Informationen eines Kollegen an den falschen Adressaten rausschickt sind ganz klassische und leicht zu fälschende Nachrichten.

Wo liegen die Schwachstellen?

Nach der Kampagne erhalten Sie von uns eine Auswertung und auf Wunsch auch eine Ergebnispräsentation vor Ort.

Die Erfahrung, dass man überlistet wurde, erzeugt beim Personal mehr Bewusstsein für die Gefahr als ein Vortrag oder ein Merkzettel und sensibilisiert sie für das Thema Informationssicherheit.

Die tatsächlichen Öffnungsraten der Mails zu sehen, zeigt der Geschäftsführung wo noch Arbeit vor ihnen liegt. Sie können so erkennen, wo Schwachstellen sind ohne einer wirklichen Gefahr ausgesetzt zu sein.

Im Anschluss können wir durch Vorträge, Schulungen oder konkrete Prozessoptimierungen Hilfestellung leisten um die Gefahr zu minimieren und den Lerneffekt zu verstärken.

Wie läuft die Phishing-Kampagne für Unternehmen ab?

Vor der Durchführung sollten Ihre Mitarbeiter auf das Thema Phishing hingewiesen werden, und auch darüber informiert, dass solche Mails in den nächsten Wochen eintreffen könnten. Die Erfahrung zeigt, dass Mitarbeiter, die zu überraschend mit dem Thema konfrontiert werden, sich oft hintergangen fühlen und der Lerneffekt stark vermindert wird.
Firmen, die einen Betriebsrat haben, müssen auch vor der Durchführung der Phishing-Kampagne Rücksprache mit dem Betriebsrat halten.

Die technischen Voraussetzungen müssen durch z.B. Anpassung der Spam Filter geschaffen werden.
Vor der Durchführung klären wir die Anzahl der Nutzer und Ihre Vorstellungen der Mails. Wie viele Mails sollen verschickt werden? Sollen bestimmte Anhänge oder Zielseiten als Köder fungieren? Was passiert bei Klick auf die Datei oder den Link? – Sollen die Mitarbeiter den Prozess wie bei einem Angriff durchlaufen oder auf eine Aufklärungsseite weitergeleitet werden?

Nachdem wir dann Ihre Erlaubnis in Form einer Permission-to-Phish haben, können wir loslegen.

Wir führen meist eine dreistufige Phishing Kampagne durch:

  1. Im ersten Schritt senden wir eine Email die viele Mitarbeiter von Ihnen häufiger in ihrem Postfach haben könnten. Das ist zum Beispiel eine Versandbestätigung von DHL oder eine Information zu Ihrer Onlineshop-Bestellung. Diese Mail ist dann mit falschen und unwahren Informationen ausgestattet, die ihre Mitarbeiter erkennen können sollten. Die Email beinhaltet dann einen gefälschten Link zu einer nachgebauten Website, auf der sie zur Dateneingabe aufgefordert werden.
  2. Im zweiten Schritt werden wir schon etwas raffinierter – hier könnte eine scheinbare Bewerbung im Anhang stecken, die die Neugierde der Kollegen weckt, oder eine Datei, die vorgibt die Gehaltsabrechnung eines Teammitglieds zu sein.
    Durch die Neugierde der Kollegen und weil es scheinbar schon eine interne Mail ist, werden diese Nachrichten durchaus mal geöffnet.
  3. Die letzte Phase könnte dann z.B. so aussehen, dass man mit gefälschtem Profil des Geschäftsführers den Nutzer dazu auffordert sein Kennwort auf einer Seite einem „dringenden Sicherheitscheck“ zu unterziehen um sicherzugehen, dass es auch den Richtlinien entspricht. Auch wenn schon explizit in der Firma ausgesprochen wurde, dass man niemals nach den Passwörtern fragen wird, fallen Nutzer gerne auf diese Nachricht rein.
    Die Autorität des Geschäftsführers, gekoppelt mit der scheinbaren Dringlichkeit, lassen einige Personen doch lieber den Anweisungen in der Mail folgen.

Ziel ist es immer herauszufinden, wie die Anwender mit den Emails umgehen – werden sie sofort gelöscht? Wird auf den Link geklickt? Werden Anhänge geöffnet?

Die Auswertung der Ergebnisse erfolgt anonymisiert – es werden keine Rückschlüsse auf die Handlungen einzelner Mitarbeiter gezogen, sondern nur eine statistische Auswertung in Form eines Überblicks. Alle personenbezogenen Informationen werden von uns adäquat vor Fremdzugriff geschützt und nicht ablegt oder gespeichert.  Dadurch können Sie ein Gefühl dafür bekommen, wie bewusst Ihre Mitarbeiter mit den Mails umgehen und wo Sie noch durch Awareness-Maßnahmen nachhelfen müssen.

Nutzen für Unternehmen

Letztendlich können Sie nicht gänzlich durch technische Maßnahmen verhindern, dass gefährliche Links oder Anhänge geöffnet werden. Sind die Mitarbeiter nicht gut geschult, gibt es immer wieder Ausnahmen, bei der sich doch mal ein Klick lohnt, oder Richtlinien werden „weil es dringend ist“ umgangen.

Der beste und nachhaltige Weg Ihr Unternehmen abzusichern, ist die Awareness der Menschen zu verbessern und Sie für relevante Themen zu sensibilisieren.

Theoretische Inhalte können gut funktionieren, aber sie werden gerne vergessen und der Ernst der Situation wird so selten bewusst. Durch eine Phishing Kampagne kann man gut die Theorie und die Praxis zusammenführen.

Auf so eine Mail hereinzufallen, sorgt beim Betroffenen meist für einen großen Schreck – hätte es sich um einen Ernstfall gehandelt, könnten die Konsequenzen weit reichen. Da es sich aber um ein kontrolliertes Szenario handelt, bleibt nur der Lerneffekt erhalten und dieser wird auch von den Mitarbeitern an der Kaffeemaschine mit den Kollegen diskutiert. So erfolgt eine natürliche Sensibilisierung für das Thema und eine Erhöhung der Informationssicherheit in Ihrem Unternehmen.

Für wen lohnt sich eine Phishing-Kampagne?

Grundsätzlich kann jedes Unternehmen von einer Phishing-Kampagne profitieren. Wenn Ihnen Probleme mit der Informationssicherheit im Unternehmen bekannt sind, aber Sie das Ausmaß nicht abschätzen können, lohnt sich eine Phishing-Kampagne zum Feststellen des Ist-Zustands.

Haben Sie schon Maßnahmen zur IT-Sicherheit in Ihrem Unternehmen integriert, eignet sich die Kampagne zur Überprüfung der Effektivität bestehender Strukturen. Eine wiederholte Durchführung in festen Zeitabständen lässt  eine Vergleichbarkeit herstellen.

Wenn Sie zu dem Thema, oder einem anderen Bereich der Informationssicherheit im Unternehmen Fragen haben, freuen wir uns von Ihnen zu hören. Nutzen Sie hierzu gerne unser Kontaktformular oder rufen Sie uns unter 030 60 98 409 0 an.