Im Vorfeld einer Cyberattacke erfolgen häufig Phishing-Angriffe. Cyberkriminelle greifen dabei die Zugangsdaten ab, die einen Angriff von innen ermöglichen. Äußere Schutzmaßnahmen wie Firewalls umgehen sie auf diese Weise. Mitarbeitende müssen daher dringend in die Lage versetzt werden, Phishing-Angriffe zu erkennen. Eine Phishing-Simulation bereitet sie dafür vor.
Phishing-Attacken treten in immer neuen Variationen auf. So sorgen die „Krypto-Drainer“, eine neue Form von Phishing, für Millionenschäden. Krypto-Drainer zielen auf die Apps für digitale Geldbörsen ab, in denen nicht nur Zahlungsmittel wie Debit- und Kreditkarten gespeichert sind, sondern auch Kryptowährungen oder andere digitale Werte wie digitale Besitzurkunden, virtuelle Kunstwerke oder Unternehmensanteile. Angreifer bringen ihre Opfer dazu, ihre digitalen Geldbörsen zu öffnen. Dabei gehen sie wie bei normalen Phishing-Angriffen vor: Sie locken die Betroffenen auf gefälschte Webseiten, die von denen der Tauschplattformen und Krypto-Börsen nicht zu unterscheiden sind, und schlagen dann zu.
Neugierde wird zum Verhängnis
Phishing ist bekannt, trotzdem fallen viele darauf herein. Denn Cyberkriminelle nutzen menschliche Verhaltensweisen geschickt aus. Neugierde, Hilfsbereitschaft, Pflichtbewusstsein, Drohungen oder das Versprechen auf einen Bonus sind gute Köder, die sogar von Experten bereitwillig geschluckt werden.
Früher enthielten Phishing-Nachrichten Rechtschreibfehler und waren leicht zu erkennen. Auch das Design der Webseiten, die sich bei Anklicken eines Links in einer E-Mail öffneten, war schlecht gemacht. Heute nutzen Phishing-Angriffe geschickt persönliche Informationen, die wir unbedacht preisgeben oder die aus den sozialen Netzwerken stammen. E-Mail-Adressen von Kollegen oder Vorgesetzten werden perfekt imitiert. Phishing ist mittlerweile schwer zu erkennen, denn auch künstliche Intelligenz ist inzwischen in der Lage, hochwertige Phishing-Nachrichten zu erstellen und einfache Schadprogramme selbstständig zu programmieren.
Gravierende finanzielle Folgen
Die Folgen eines erfolgreichen Phishing-Angriffs sind für eine Kommune oder ein Unternehmen oft dramatisch. Sie reichen von schlechter Presse bis hin zu finanziellen Einbußen, weil die Systeme tage- oder wochenlang nicht laufen und mit großem Aufwand wiederhergestellt werden müssen.
Zu den Sensibilisierungsmaßnahmen gehört die Phishing-Simulation. Sie ist ein wichtiges Instrument, um Mitarbeitende praxisnah auf Phishing-Attacken vorzubereiten. Ein Dienstleister wird dabei beauftragt, den Mitarbeitenden simulierte Phishing-Mails zuzusenden. Wird der darin enthaltene Link angeklickt, öffnet sich eine Webseite mit der Aufforderung, interne Zugangsdaten einzugeben. In der Realität würde bei deren Eingabe eine Sicherheitslücke entstehen. Bei einer Phishing-Simulation geschieht nichts, außer dass der E-Mail-Empfänger darauf hingewiesen wird, dass er/sie Opfer eines Phishing-Angriffs geworden ist.
Eine Phishing-Simulation ist komplex, muss gut vorbereitet sein und in einem kontrollierten Rahmen erfolgen, damit sie die beabsichtigte Wirkung entfaltet. Phishing-Simulationen gibt es in verschiedenen Schwierigkeitsstufen. Der Auftraggeber der Phishing-Simulation erhält nach Durchführung der Kampagne eine Statistik über den Erfolg der Angriffe. Die Simulationen sollten regelmäßig durchgeführt, und der Schwierigkeitsgrad gesteigert werden. Aus der Statistik kann dann ermittelt werden, ob die Sensibilität steigt und ob sich nach und nach die Anzahl derjenigen reduziert, die auf Phishing hereinfallen.