Die Bedrohungen aus dem Internet nehmen stetig zu, auch aufgrund des Einsatzes von Künstlicher Intelligenz durch Cyberkriminelle. Phishing bleibt jedoch nach wie vor eine der beliebtesten Methoden, um in Unternehmensnetzwerke einzudringen. Wie können Organisationen den Gefahren von Phishing-E-Mails vorbeugen und gleichzeitig das Training ihrer Mitarbeitenden wirtschaftlich gestalten?
Hacker nutzen vielfältige Kanäle für Phishing Attacken. Automatisiertes, situations- und kontextbezogenes Ad-hoc-Training für Mitarbeitende wird durch eine Attacke ausgelöst und erhält daher die höchst mögliche Aufmerksamkeit. (Grafik: CybeReady)
Wie andere westliche Staaten auch, erlebt die Schweiz einen starken Anstieg der Internetkriminalität. Laut dem Bundesamt für Cybersicherheit (BACS) wurden im Jahr 2023 rund 50‘000 Fälle gemeldet. Das ist ein satter Zuwachs von über 15‘000 Fällen gegenüber dem Vorjahr. Laut Statista waren davon 31% der Schweizer KMU betroffen, Tendenz steigend. Die Dunkelziffer dürfte erheblich sein und Phishing ist dabei die häufigste Form des Angriffs.
Cybersicherheitsschulungen sind der wichtigste Schlüssel zur Abwehr von Phishing- und Social Engineering-Angriffen. Unternehmen, die regelmässig individuelle Schulungen durchführen, reduzieren das Risiko erfolgreicher Angriffe erheblich.
Eine Studie des israelischen Cybersecurity-Unternehmens CybeReady aus 2023 hat ergeben, dass insbesondere neue Mitarbeitende, die weniger als sechs Monate im Unternehmen sind, mehr als doppelt so oft auf Phishing-E-Mails klicken als Leute, die schon länger im Unternehmen sind.
Ein Klick auf einen Phishing-Link kann katastrophale Folgen haben – von der Preisgabe wichtiger Daten bis hin zur Installation von Malware. Das führt schnell nicht nur zu hohen Kosten, wie etwa für die Wiederherstellung der Systeme, sondern auch zu Rechtsstreitigkeiten und langfristigen Reputationsschäden.
Doch allzu oft werden Anti-Phishing Trainings für Mitarbeiter und Mitarbeiterinnen vernachlässigt oder sind angesichts einer sich schnell entwickelnden Technologie veraltet. Präsenzschulungen sind teuer und aufgrund von fehlender Personalverfügbarkeit schwerer durchführbar. Das gilt besonders in kleinen und mittleren Unternehmen. Zudem leiden solche Trainings – selbst dann, wenn sie online stattfinden – an Akzeptanz. Sie werden als langweilig und zeitraubend empfunden, worunter der Aufmerksamkeitsgrad und vor allem die Wirksamkeit leiden.
Wie können Unternehmen daher den Gefahren von Phishing-Emails vorbeugen und das Training ihres Personals dennoch wirksam und wirtschaftlich vertretbar gestalten?
Automatisierte, kontextbezogene Trainings
Die Lösung des Problems liegt in automatisierten, kontextbezogenen, kurzen ad-hoc «Trainings on the Job». Unternehmen, wie etwa CybeReady, bieten ihren Kunden eine Cloudlösung an, die einem einfachen Prinzip folgt: Statt Trainings mit Online- oder gar physischer Präsenz durchzuführen, erhalten Mitarbeiter simulierte Phishing-Emails. Wie oft das z.B. passiert und mit welchen Inhalten die Emails arbeiten, lässt sich über ein Admin- und Analyseportal mit ein paar Klicks durch einen Administrator anhand vorgefertigter Module leicht konfigurieren. Dazu bedarf es keiner speziellen Kenntnisse. Die Emails können aktuell in 42 individuell einstellbaren Sprachen verschickt werden.
Das Portal bietet neben anderen Tools auch die Möglichkeit, anonymisiert das Klickverhalten der Empfänger zu analysieren und auf diese Weise besondere Anfälligkeiten oder Schwachstellen zu erkennen. Dabei sind diese Emails immer auf dem neuesten Stand der Phishing-Techniken, wie sie von Internetbetrügern oder Hackern angewandt werden. Klickt ein Empfänger auf einen Phishingversuch, läuft auf seinem Bildschirm ein nur wenige Minuten dauerndes, unterhaltsames Training ab. Der Effekt der Mitarbeitersensibilisierung ist auf diese Weise gewaltig.
KI als Herausforderung: Harmlose Mail oder Wolf im Schafspelz?
Mit ein wenig Übung konnten Phishing-Mails bislang gut an unprofessionellen Designs, fehlerhafter Grammatik oder Rechtschreibung erkannt werden. Doch künstliche Intelligenz (KI) erschwert die Erkennung deutlich. Denn auch Cyberkriminelle haben schnell die Vorteile von KI für ihre Machenschaften erkannt und nutzen KI-Tools, um ihre Taktiken zu verbessern. Auf diesem Weg ist es für Angreifer ein Leichtes, authentisch aussehende Phishing-Mails zu erstellen. Traditionelle Methoden, um Phishing-Angriffe zu erkennen, stossen dadurch mittlerweile an ihre Grenzen. Die simulierten Phishing-Emails berücksichtigen umfänglich den Einsatz von KI durch Kriminelle und schaffen dadurch eine zusätzliche Sicherheitsstufe.
Phishing-Angriffe werden also immer komplizierter, erfordern aber dennoch fundierte Entscheidungen in Sekundenbruchteilen. Verlässt man sich auf veraltete und rein theoretische Schulungen, die in grossen Abständen stattfinden, sind die Mitarbeiter für den Umgang mit solchen Bedrohungen schlecht gerüstet.
Die Vorteile des automatisierten Trainings
Die Vorteile eines kontextbezogenen, kontinuierlichen ad-hoc Trainings, das reale Situationen simuliert und immer die neuesten Angriffsformen berücksichtigt, liegen auf der Hand. Cloudlösungen dieser Art haben einen erheblichen Kostenvorteil, z.B. durch stets vorhandenes, aktuelles Schulungsmaterial und die fehlende Notwendigkeit, Mitarbeitende aus ihrem Arbeitsablauf herauszulösen. Das Training automatisiert und in kleinen «Päckchen» immer dann ablaufen zu lassen, wenn ein «falscher Klick» passiert ist, steigert zudem die Wirksamkeit enorm.
Die Hersteller solcher Lösungen aktualisieren die Inhalte und Techniken der Phishing-Angriffe ständig, veraltetes Trainingsmaterial gehört damit der Vergangenheit an. Der Kunde kann die Inhalte mittels der Adminfunktionen auf den Arbeitsalltag seiner Belegschaft individuell abstimmen und die Ergebnisse in Echtzeit analysieren. Gut gemachte Lösungen sind für den IT-Administrator intuitiv und leicht verständlich und lassen den Trainingsfortschritt erkennen. Der Return on Investment wird auf diese Weise gleich mitgeliefert.
Der Autor
Dr. Jürgen Müller hat mehr als 35 Jahre in regionalen und weltweiten Positionen in der IT in Europa und den USA verbracht. Für die Schweiz war er zuletzt bei Citrix in seiner Funktion VP Central Europe zuständig. www.linkedin.com/in/mueller-juergen
Der Beitrag erschien im topsoft Fachmagazin 24-3
Das Schweizer Fachmagazin für Digitales Business kostenlos abonnieren
Abonnieren Sie das topsoft Fachmagazin kostenlos. 4 x im Jahr in Ihrem Briefkasten.