Warum wir auf Phishing-Angriffe hereinfallen

Unser Partner, Wombat Security Technologies, ist ein Befürworter von Sicherheitsbewusstseinstrainings. Sie schulen die Mitarbeiter in der Erkennung und Vermeidung von Cyber-Angriffen durch interaktive Software-Schulungsmodule. Wombat verfügt über eine Reihe von interaktiven Trainingsmodulen, von denen eines der E-Mail-Sicherheit gewidmet ist. Lesen Sie den folgenden Blog und erfahren Sie, warum Endbenutzer immer wieder auf Phishing reinfallen.

Die Erfahrung hat gezeigt, dass es drei wesentliche Gründe dafür gibt.

 

1. Sie sind sich der Phishing-Bedrohung nicht bewusst.

Das ist unmöglich, denken Sie vermutlich. Wissen Sie, was Phishing ist? Wie kann man es nicht wissen? Es ist überall auf den bekanntesten infosec-Nachrichtenseiten und sogar auf vielen Mainstream-Nachrichtenseiten zu finden. Es gibt Studien und Statistiken dazu, und sie erhalten häufig diesbezügliche Mitteilungen.

Der durchschnittliche Mitarbeiter ist wahrscheinlich viel mehr an Social Media Memes und Netflix interessiert als an Nachrichten und Berichten zur Cyber-Sicherheit. Und selbst wenn Sie E-Mails öffnen, ist es wahrscheinlich, dass Sie sie nicht lesen (oder zumindest nicht alle).

Für den Wombat-Bericht State of the Phish 2017 wurde eine unabhängige Umfrage unter 1.000 arbeitenden Erwachsenen in den USA und im Vereinigten Königreich über ihr Wissen über Phishing durchgeführt. Obwohl gut mehr als die Hälfte dieser Nutzer wissen, was Phishing im Groben ist, wissen 35% der US-Befragten und 28% der britischen Befragten es nicht. Das ist eine beträchtliche Sensibilisierungslücke.

Die Realität ist, dass, wenn Sie nicht regelmäßig mit Ihren Benutzern auf vielfältige Weise kommunizieren und Sprache und Materialien verwenden, die mit ihnen in Resonanz stehen, Ihre Warnungen vor Phishing wahrscheinlich nicht ankommen werden. Daher ist das Wichtigtse Awareness zu schaffen und alle im Team für das Thema zu sensibilisieren.

 

2. Sie sind sich der Phishing-Bedrohung bewusst, wissen aber nicht, was sie dagegen tun sollen.

Wir neigen dazu, "Sicherheitsbewusstsein und -training" gegenüber "Sicherheitsbewusstseinstraining" zu bevorzugen. Diese Präferenz beruht auf einem einfachen Grund: Bewusstsein und Training sind zwei verschiedene Dinge.

Ihre Endbenutzer darauf aufmerksam zu machen, dass eine Bedrohung besteht, ist nicht dasselbe wie ihnen beizubringen, wie sie diese Bedrohung erkennen und darauf reagieren können, wenn sie ihr im Rahmen ihrer täglichen Geschäftsaktivitäten begegnen. Es ist großartig, den Kampf zu gewinnen, um Ihre Mitarbeiter wissen zu lassen, dass Phishing-Angriffe in Ihrem Unternehmen stattfinden - aber um den Krieg zu gewinnen, müssen Sie Anti-Phishing-Trainingswerkzeuge verwenden, um Ihre Mitarbeiter über die verschiedenen Arten von Social-Engineering-Taktiken aufzuklären, mit denen Angreifer versuchen, sie dazu zu bringen, auf das Klicken, Herunterladen und Übermitteln sensibler Daten hinzuweisen. Es gibt eine Vielzahl an Möglichkeiten für ausreichend Awareness zu sorgen: Inhouse Schulungen, Fachvorträge, Veranstaltungen oder auch eLearning Tools wie Wombat.

Diese Philosophie ist ein Hauptgrund, warum sowohl simulierte Angriffe als auch Ausbildungsmodule in jedem Anti-Phishing Training enthalten sein sollten. Wombat ermöglicht es, zusätzlich zu den Schwachstellenanalysen integrierte ThreatSim Phishing-Simulationen mit lehrbaren Momenten zu kombinieren, die Unternehmen helfen, das Bewusstsein bei den Endbenutzern zu schärfen, indem sie jedem, der mit einem simulierten Angriff interagiert, eine "Just-in-time-Lehre" vermitteln. Dies gibt den Mitarbeitern ein Gefühl dafür, wie sich ihre Handlungen auf die Daten- und Netzwerksicherheit auswirken können.

Aber angesichts der Tatsache, dass ein Phishing-Beispiel genau das ist - ein Phishing-Beispiel - ist die Nachschulung ein kritisches Element des Risikomanagements der Endbenutzer. Die Security Awareness Trainingsmodule von Wombat erklären nicht nur die verschiedenen Arten von Bedrohungen, denen Endbenutzer ausgesetzt sein könnten, sondern ermöglichen es den Mitarbeitern, ihr Wissen anzuwenden. Diese Interaktivität ist der Schlüssel zum Engagement und zur Wissensbindung - und unsere Kunden haben uns gesagt, dass dieser Ansatz einen großen Unterschied darin macht, wie ihre Mitarbeiter auf Schulungen reagieren.

 

3. Sie sind Menschen

Es mag hart klingen, aber eine 0%ige Schwachstellenquote als Erfolgsmaßstab ist unrealistisch. Das liegt daran, dass es kein Ignorieren des menschlichen Faktors gibt. Menschen sind nicht unfehlbar. Menschen machen Fehler - auch Sie. Wir wissen, dass Öfen heiß sind, aber gelegentlich verbrennen wir uns immernoch.

Bevor Sie jedoch die Hände hochwerfen und die Idee des Sicherheitsbewusstseins und der Schulung aufgeben, denken Sie an diese Cyber-Sicherheitsgleichung:

Gebildeter Mensch > Bewusster Mensch > Unbewusster Mensch

Sensibilisierung bringt Ihre Endbenutzer dazu, über die Art und Weise nachzudenken, wie sie sich verhalten, und Bildung vermittelt ihnen das Wissen, das sie benötigen, um ihre Handlungsweise zu ändern. Benutzer, die sich dessen nicht bewusst sind, klicken wahrscheinlich auf alles und jeden - und sind nicht klüger. Geschulte Benutzer treffen viel bessere Entscheidungen, machen viel weniger Fehler und warnen Sie viel häufiger vor fragwürdigen E-Mails, sodass Sie und Ihr infosec Response-Team proaktiver und weniger reaktiv werden.

Sie lassen Unvollkommenheiten Ihres Spam-Filters, Ihrer Antivirensoftware und einer Vielzahl anderer technischer Sicherheitsvorkehrungen zu. Sie müssen auch die Unvollkommenheit Ihrer Endbenutzer berücksichtigen. Sie sind Ihr größtes Kapital und Sie müssen aufhören, sie einfach als Verbindlichkeit zu betrachten.

Um Schwachstellen zu reduzieren, konzentrieren Sie sich auf das Management von Risiken und nicht auf deren Beseitigung.

(Blog originally posted by Gretel Egan of Wombat Security Technologies)

 

Sie haben Fragen oder Anmerkungen? Dann nutzen Sie gern unser Chat-Fenster oder das Kontaktformular.