Mimecast Logo
Jetzt starten
Angebot einholen
    Einblicke in die Cyber-Resilienz
    Alle Themen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    Schulungen zum Sicherheitsbewusstsein

    Schwarzer Freitag in Zeiten von COVID bedroht die Cyber-Resilienz

    Schulungen zum Bewusstsein für Cybersicherheit sind der Schlüssel zu Sicherheit und Widerstandsfähigkeit, da immer mehr Mitarbeiter mit firmeneigenen Geräten zu Hause einkaufen.

    by Debra Donston-Miller

    Wichtige Punkte

    • Weihnachtseinkäufe stehen immer im Fokus von Cyberkriminellen, aber im Jahr 2020 ist das Risiko noch größer, weil immer mehr Menschen von zu Hause aus mit firmeneigenen Geräten arbeiten - und auf diesen Geräten auch persönliche Geschäfte tätigen.
    • Viele Mitarbeiter - selbst diejenigen, die eine Schulung zum Thema Cybersicherheit absolviert haben - erkennen die Online-Risiken, verhalten sich aber dennoch riskant.
    • Unternehmen können ihre eigene Cyber-Resilienz und die ihrer Mitarbeiter und Kunden erhöhen, indem sie einen strategischeren Ansatz für Schulungen zur Cybersicherheit wählen.

    Im Jahr 2020 wird der "Black Friday" viel mehr dem "Cyber Monday" ähneln und eher eine "Black Friday"-Saison sein, die sich über die Monate November und Dezember erstreckt, als ein bestimmter Verkaufstag. Da so viele Menschen von zu Hause aus arbeiten und sich aufgrund der COVID-19-Pandemie nicht in die Geschäfte wagen, wird ein Großteil der Einkäufe online und häufiger als je zuvor auf vom Unternehmen zur Verfügung gestellten Geräten getätigt, wodurch Unternehmen und ihre Kunden einem Risiko ausgesetzt sind. Mit offenen Augen und einer proaktiven Strategie, die Cybersicherheitstechnologie und Sensibilisierungsschulungen kombiniert, kann Ihr Unternehmen das Jahr 2020 jedoch sicherer und besser auf das kommende Jahr vorbereitet verlassen.

    Die Weihnachtseinkaufssaison war schon immer ein Grund zur Sorge. Letztes Jahr veröffentlichte die Cybersecurity & Infrastructure Security Agency (CISA), der Risikoberater der US-Bundesregierung, im November eine Erklärung, in der sie davor warnte, dass "Cyber-Akteure E-Mails und E-Cards mit bösartigen Links oder Anhängen, die mit Malware infiziert sind, verschicken oder gefälschte E-Mails versenden können, in denen sie um Unterstützung für betrügerische Wohltätigkeitsorganisationen oder Zwecke bitten." [1]

    Verdächtige Domainregistrierungen nehmen im Vorfeld des Black Friday zu

    Im Rahmen seiner regelmäßigen Sicherheitsforschung überwachte Mimecast ab dem 26. Oktober 2020 20 weltweit führende Einzelhandelsmarken und fand fast 14.000 kürzlich registrierte, verdächtige Domains mit Bezug zu diesen Einzelhandelsmarken. Und die Neuregistrierungen hielten während des Beobachtungszeitraums an: An manchen Tagen verzeichnete Mimecast zwischen 53 und 87 verdächtige Domains, die an einem Tag für einen einzigen Einzelhändler registriert wurden.

    Ein Beispiel für einen häufigen Angriff, der bei der Untersuchung aufgedeckt wurde, ist in der Abbildung unten zu sehen: eine Website, die versucht, die globale Sportmarke adidas® zu nutzen, um Kunden auf eine E-Commerce-Website zu locken, die eine Vielzahl von Sportschuhen - vor allem Nike® - von nicht autorisierten Parteien verkauft, die nicht mit den eigentlichen Marken in Verbindung stehen. Neben Domains, die Kunden zu anderen Marken weiterleiten, wurden bei der Untersuchung auch gefälschte Domains entdeckt, die wahrscheinlich von Cyberkriminellen und anderen nicht autorisierten Akteuren registriert wurden, um Nutzer zur Preisgabe von persönlichen und/oder Zahlungsinformationen zu verleiten, sowie Domains, die zu Pornoseiten weiterleiten.

    schwarzer-freitag.jpg

    Was dieses Jahr anders ist, ist die Tatsache, dass mehr Menschen potenziell anfälliger für solche Kampagnen sind. Pandemiemüdigkeit, Angst vor dem Verlust des Arbeitsplatzes, Sorgen um die Gesundheit von Angehörigen, die Verwaltung von Kindern, die ferngesteuert lernen, Traurigkeit über eine sehr unterschiedliche Erfahrung in der Weihnachtszeit - die Menschen sind gestresst und müde, was sie anfälliger für Cyberangriffe macht, die mit rechtzeitigen Verlockungen locken. Und so ist es nur natürlich, dass die Cyberkriminellen ihre Angriffe verstärken. Ebenfalls in der zweiten Oktoberhälfte verzeichnete das Mimecast Threat Intelligence Center einen dramatischen Anstieg von gemischten Cyberangriffen, einschließlich eines 30,3-prozentigen Anstiegs bei E-Mail-Imitationsversuchen und eines 55,8-prozentigen Anstiegs bei in E-Mails eingebetteten bösartigen URLs.

    Firmengeräte & WFH: Eine schlechte Mischung für die Cyber-Resilienz

    Da so viele Mitarbeiter von zu Hause aus arbeiten und vom Unternehmen zur Verfügung gestellte Geräte verwenden, ist die Grenze zwischen Arbeit und Privatleben unschärfer als je zuvor. Laut Matthew Gardiner, Principal Security Strategist bei Mimecast, nutzen Mitarbeiter diese Geräte sowohl beruflich als auch privat und wechseln mehrmals am Tag zwischen beruflichen und privaten Aufgaben hin und her (und wieder zurück).

    Eine im September durchgeführte Umfrage unter mehr als 1.000 Geschäftsleuten aus der ganzen Welt ergab, dass 73 % der Befragten die vom Unternehmen zur Verfügung gestellten Geräte ausgiebig für private Zwecke nutzen. Sechzig Prozent gaben an, dass die private Nutzung solcher Geräte seit Beginn der COVID-19-Pandemie zugenommen hat.

    Am besorgniserregendsten, so Gardiner, ist, dass 23 % der Befragten angaben, dass sie Software für den privaten Gebrauch auf ihren Firmengeräten installieren. Dies gibt natürlich Anlass zur Sorge, dass Mitarbeiter versehentlich Malware installieren. Ebenso wichtig ist jedoch, dass dies eine Lücke in den Sicherheitskontrollen offenbart - Mitarbeiter haben offenbar Administratorrechte auf ihren Geräten. Diese und andere Sicherheitslücken könnten sich aufgetan haben, als die IT-Abteilungen in diesem Frühjahr in aller Eile Geräte an Mitarbeiter ausgaben, von denen viele noch nie zuvor remote gearbeitet hatten.

    Die Auswirkungen dieses Risikoverhaltens werden sich in der Urlaubszeit noch verstärken. Die Menschen sind während der Feiertage häufiger online, was vor allem auf den starken Anstieg der Online-Einkaufsangebote zurückzuführen ist. Zu der Online-Zeit kommt hinzu, dass die Haupteinkaufstage in den Geschäften einer verlängerten Online-Weihnachtssaison weichen, vor allem, da wir eine zweite Welle von COVID-19-Fällen sowie staatlich verordnete Sperren und Einschränkungen erleben.

    "In diesem Jahr wird es weniger den Schwarzen Freitag und mehr den Schwarzen November und den größten Teil des Dezembers geben - das verteilt das Risiko", sagte Jinan Budge, Principal Analyst Serving Security and Risk Professionals bei Forrester. Budge sprach während des Webinars von Mimecast Don't Let Your Organization Get Phished this Holiday Season .

    Cyberangriffe werden immer raffinierter, aber die Sicherheit der Mitarbeiter bleibt gleich

    Die Urlaubsangebote werden zu einem großen Teil über persönliche E-Mails beworben, die laut der Mimecast-Studie die häufigste Anwendung sind, die Außendienstmitarbeiter auf unternehmenseigenen Geräten nutzen. Persönliche E-Mails stellen einen anfälligen Bedrohungsvektor dar, da sie nicht vollständig durch die Cybersicherheitsgruppe des Unternehmens geschützt sind und immer anfälliger werden, je raffinierter und gezielter die Angreifer vorgehen.

    Leider scheinen die Fähigkeiten der Endnutzer nicht besser zu werden: Die Mimecast-Umfrage zeigt, dass 96 % der Befragten sich der Risiken verdächtiger E-Mails bewusst sind, aber 45 % gaben an, dass sie diese E-Mails trotzdem öffnen. Der Prozentsatz variierte je nach demografischen Faktoren, Wohnsitzland und Branche der Befragten. Darüber hinaus gab nur eine knappe Mehrheit der Befragten an, dass sie verdächtige E-Mails melden würden.

    Es ist daher vielleicht überraschend, dass die Umfrage ergab, dass 64 % der Befragten eine Schulung zum Thema Cybersicherheit erhalten haben, die speziell auf WFH ausgerichtet war. Angesichts der Maßnahmen, die die Befragten ergreifen (oder nicht ergreifen), ignorieren sie entweder die Schulung, die sie erhalten haben, oder sie war von vornherein nicht sehr effektiv.

    Schulungen zum Bewusstsein für Cybersicherheit müssen eine Strategie sein

    In der Tat müssen Schulungen zum Thema Cybersicherheit als Strategie und nicht nur als Software behandelt werden. In dem Webinar wies Budge von Forrester darauf hin, dass Unternehmen vom "Ansprechen von Menschen" wegkommen und sich mehr auf etwas konzentrieren sollten.

    Sie wies darauf hin, dass ihre eigenen jüngsten Forschungen die Bedeutung von "transformativen Bewusstseinsinitiativen" zeigen, die mehrere Gestaltungsprinzipien beinhalten:

    • Haben Sie den Mut, Humor und Spaß einzusetzen.
    • Nutzen Sie Mikro- und Nanolernen.
    • Beeinflussen Sie eine Verhaltensänderung, indem Sie das Publikum an dem Punkt anregen, an dem es ein riskantes Verhalten zeigt.
    • Nutzen Sie experimentelles Lernen und Gamification.
    • Verwenden Sie Geschichten und Analogien.
    • Machen Sie es persönlich und relevant.
    • Wiederholen Sie die Nachrichten häufig.
    • Verwenden Sie ansprechende, integrative Botschaften und Bilder.

    Es ist auch wichtig zu erkennen, dass die Arbeit der Sicherheitsschulung nie abgeschlossen ist, bemerkt Bryn Donovan, Product Marketing Manager bei Mimecast. "Es ist keine Sache, die man einmal macht und dann wieder vergisst", sagt sie.

    Vielmehr sollten Unternehmen Sicherheitsschulungen als Teil eines Zyklus betrachten, in dem sie kontinuierlich Bedrohungen und Chancen analysieren und dann die Leistung ihres Programms auf der Grundlage dieser Analyse bewerten. Dazu gehört auch die Optimierung für branchenrelevante "Ereignisse" wie die Steuersaison und - ja, das Weihnachtsgeschäft - sowie das Testen des Sicherheitsverhaltens der Mitarbeiter anhand der Methoden, mit denen sie heute angegriffen werden.

    Natürlich ist ein Unternehmen nicht allein durch Schulungen zum Sicherheitsbewusstsein geschützt. Solche Schulungen müssen im Einklang mit einer umfassenden E-Mail-Sicherheitsstrategie durchgeführt und aufrechterhalten werden, die sich mit Multi-Vektor-Angriffen, Phishing, Kompromittierung von Geschäfts-E-Mails (BEC), Insider-Bedrohungen und Marken-Impersonation befasst.

    Die Quintessenz

    Die Intensität und Langlebigkeit der Weihnachtseinkaufssaison, die Pandemie-Müdigkeit und die zunehmende Raffinesse von Cyberkriminellen sind eine schwierige Kombination, die die Cyber-Resilienz von Unternehmen im zu Ende gehenden Jahr 2020 bedroht. Durch einen durchdachten, zielgerichteten und integrierten Ansatz bei der Schulung des Sicherheitsbewusstseins - als Teil des gesamten Sicherheitsprogramms - können Unternehmen sich selbst, ihre Kunden und ihre Mitarbeiter schützen.

     

    [1] "Urlaubseinkäufe, Phishing und Malware-Betrug, CISA

    1213479385.jpg
    Nächster Punkt
    Schulungen zum Sicherheitsbewusstsein |
    9 Wege zum Aufbau einer robusten Cybersecurity-Kultur

    Verwandte Artikel

    Schulungen zum Sicherheitsbewusstsein
    Mimecast Recognized in Forrester’s First-Ever Human Risk Management Solutions Landscape
    Schulungen zum Sicherheitsbewusstsein
    Der Wert eines Dashboards in der Schulung zum Bewusstsein für Cybersicherheit
    Schulungen zum Sicherheitsbewusstsein
    Phishing-Simulationen stärken das Cyber-Bewusstsein und die Abwehrkräfte

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang