Cyber Awareness Training hilft, Nutzer vor Marken-Spoofing-Angriffen zu schützen

Bei Phishing-Versuchen und anderen Angriffen auf die Cybersicherheit werden häufig bekannte Markennamen ausgenutzt, um Benutzer dazu zu verleiten, auf Links oder Anhänge in E-Mail-Nachrichten zu klicken. Interne und externe Cybersicherheitsmaßnahmen können dazu beitragen, dieses Risiko zu minimieren, aber wenn eine zweifelhafte gefälschte E-Mail diese Schutzmaßnahmen unkontrolliert durchdringt, verfügt jedes Unternehmen über eine letzte Verteidigungslinie, die es zu überwinden gilt: den Menschen. Menschen sind zwar ein schwaches Glied in der Cybersicherheit, aber mit dem richtigen Programm security awareness training können sie zu starken Verbündeten gegen Markenangriffe und andere Phishing-Versuche werden.

Warum Nutzer auf Markenausbeutungsangriffe hereinfallen

Ein Hauptgrund dafür, dass Angriffe zur Ausnutzung von Marken so effektiv sind, ist, dass Mitarbeiter eher auf einen Link klicken oder auf eine E-Mail-Anfrage antworten, wenn diese von einer vertrauenswürdigen Marke zu stammen scheint. Darüber hinaus neigen bösartige Akteure dazu, mit den Ängsten und Wünschen der Nutzer zu spielen, um die Wahrscheinlichkeit zu erhöhen, dass ihr Angriff erfolgreich ist.

Beispielsweise können sich Mitarbeiter unter Handlungsdruck gesetzt fühlen, wenn eine E-Mail, die scheinbar von einem seriösen Lieferanten stammt, die sofortige Zahlung einer verspäteten Rechnung fordert. Sie haben vielleicht das Gefühl, dass sie handeln müssen, wenn ihr E-Mail-Anbieter ihnen mitteilt, dass ihr Konto kompromittiert wurde und sie ihr Passwort so schnell wie möglich ändern müssen.

In Wirklichkeit können diese E-Mails jedoch von bösartigen Akteuren stammen, die sich als seriöse Marken ausgeben. Klickt man auf die "Rechnung" im Anhang der E-Mail des Anbieters, wird möglicherweise eine dem Nutzer unbekannte Schadsoftware installiert. Wenn Sie auf die dringende Aufforderung reagieren, Geld auf ein neues Bankkonto zu überweisen, werden möglicherweise Millionen von Dollar an Betrüger geschickt. Die "Aufforderung zur Passwortänderung", die scheinbar von einem E-Mail-Anbieter kommt, könnte den Benutzer auf eine Website leiten, die Anmeldedaten sammelt und die Anmeldeseite des Anbieters imitiert.

Wenn Mitarbeiter auf die Täuschung hereinfallen, sind sie sich möglicherweise gar nicht bewusst, dass sie sich selbst und ihr Unternehmen in Gefahr gebracht haben. Wenn Benutzer eine legitime E-Mail oder Website nicht von einem böswilligen Imitationsversuch unterscheiden können, leiten sie möglicherweise riskante Angriffe zur Ausnutzung der Marke an andere weiter, was das Problem noch verschlimmert. Der Bericht von Mimecast State of Email Security aus dem Jahr 2020 ergab, dass 60 % der Unternehmen von einem Angriff betroffen waren, der von infizierten Benutzern an andere Mitarbeiter weitergegeben wurde.[1]

Die bedauerliche Realität ist, dass bösartige Akteure herausgefunden haben, dass die Ausnutzung von Marken ihnen einen einfachen Weg in Unternehmen bietet. Diese Markenangriffe nutzen die menschliche Natur und unsere engen digitalen Beziehungen zu den Unternehmen, die wir kennen und denen wir vertrauen, aus. Und das bedeutet, dass bösartige Akteure in absehbarer Zeit nicht aufhören werden, sich in Cyberangriffen und Phishing-Kampagnen als Marken auszugeben.

Die gute Nachricht ist, dass der Erfolg des Angriffs letztlich davon abhängt, ob der Empfänger des Angriffs auf den Trick hereinfällt oder nicht. Wenn es Ihnen gelingt, das Sicherheitsbewusstsein Ihrer Mitarbeiter zu erhöhen, können Sie die Wahrscheinlichkeit verringern, dass sie auf Angriffe zur Ausnutzung der Marke hereinfallen.

Regelmäßige Schulungen zum Thema Cyber Awareness sind eine wichtige Verteidigungsmaßnahme

Um zu vermeiden, dass man auf Angriffe zur Ausnutzung von Marken hereinfällt, muss man die Fähigkeit entwickeln, selbst die subtilsten Spoofing-Versuche zu erkennen oder zumindest misstrauisch zu sein. Schulungen zum Bewusstsein für Cybersicherheit können dabei helfen - wenn sie gut gemacht sind.

Sensibilisierungsschulungen können außerordentlich wirksam sein. Eine Mimecast-Analyse ergab, dass Mitarbeiter, die regelmäßig Awareness-Schulungen erhielten, 5,2-mal seltener auf riskante Links klickten als Mitarbeiter, die keine Schulungen erhielten.[2] Aber nicht alle Awareness-Schulungsprogramme funktionieren gut.[3] Oft fehlt es den Awareness-Schulungsmethoden an fesselnden Inhalten und Relevanz, sie sind zu lang und langwierig und kommen zu selten vor.

Sensibilisierungsschulungen müssen regelmäßig durchgeführt werden, um sicherzustellen, dass das Thema bei den Mitarbeitern im Vordergrund steht und sie über die neuesten Bedrohungen auf dem Laufenden bleiben. Dennoch führen 55 % der Unternehmen, die auf den Bericht State of Email Security geantwortet haben, nicht regelmäßig Sensibilisierungsschulungen durch.

Gute Schulungsprogramme für das Sicherheitsbewusstsein bieten regelmäßig ansprechende Inhalte, die kurz, prägnant und auf den Punkt gebracht sind.[4] Seltene, ausführliche Sitzungen mit zu vielen zu verdauenden Informationen können zu kognitiver Ermüdung führen, und die Mitarbeiter können vergessen, was sie wissen müssen, wenn es darauf ankommt. Anhaltende - aber nicht aufdringliche - kurze Schulungseinheiten können dazu beitragen, dass sich die wichtigsten Punkte einprägen. Und sie tragen dazu bei, dass die Mitarbeiter mit den sich schnell entwickelnden Versuchen, die Marke auszunutzen, Schritt halten können - sei es per E-Mail oder über gefälschte Webseiten.

Um wirksam zu sein, müssen die Schulungen auch bei den einzelnen Personen ankommen. Nicht jeder Mitarbeiter benötigt die gleichen Schulungen oder ist mit den gleichen Risiken konfrontiert.[5] Die Erstellung von Risikoprofilen geht einen Schritt weiter, indem sie Möglichkeiten bietet, die Risikofaktoren eines Mitarbeiters auf sichere Weise zu testen und den Sicherheitsadministratoren die Daten zur Verfügung zu stellen, die sie für die Erstellung maßgeschneiderter Sensibilisierungsschulungen benötigen. Wer in Ihrem Unternehmen wird zum Beispiel häufig von Phishing-Versuchen geködert, die bekannte Marken imitieren? Welche Mitarbeiter neigen dazu, sorglos auf E-Mail-Anhänge zu klicken? Dann können geeignete Schritte unternommen werden, um Problembereiche anzugehen, bevor Schaden entsteht.[6]

Technologie kann helfen, Angriffe zur Ausbeutung von Online-Marken einzudämmen

Natürlich kann auch die Technik dazu beitragen, Angriffe auf die Marke zu verringern. E-Mail-Sicherheitsdienste können viele Angriffe auf die Marke abwehren, bevor sie Ihre Nutzer erreichen. Und Marken können Online-Markenschutzsysteme und DMARC-E-Mail-Authentifizierung einsetzen, um zu verhindern, dass bösartige Akteure diese Angriffe durchführen. Aber es ist unvermeidlich, dass einige Angriffe jede Verteidigung durchdringen - deshalb müssen Sie die Fähigkeit Ihrer Mitarbeiter verbessern, solche Angriffe zu erkennen und zu vermeiden, dass sie ihnen zum Opfer fallen.

Die Quintessenz

Mitarbeiter sind das schwächste Glied in der Cybersicherheitsverteidigung vieler Unternehmen. Und sie sind besonders anfällig für Phishing-Versuche, bei denen vertrauenswürdige Marken gefälscht werden. Schulungen zum Sicherheitsbewusstsein können die Wahrscheinlichkeit, dass Mitarbeiter auf bösartige Links oder Anhänge klicken oder ihre Anmeldedaten auf einer Phishing-Seite eingeben, erheblich verringern - und so dazu beitragen, sich selbst und das Unternehmen zu schützen.

[1] "Der Stand der E-Mail-Sicherheit 2020," Mimecast

[2] "Threat Intelligence Briefing: Sicherheitsschulungen helfen, unsichere Klicks inmitten der zunehmenden Coronavirus-Bedrohungen drastisch zu reduzieren," Mimecast Blog

[3] "Why Most Security Awareness Training Fails (And What To Do About It)," Dark Reading

[4] "How To Build A Strong Security Awareness Program," Dark Reading

[5] "Wie man eine funktionierende Schulung zum Thema Cybersicherheit durchführt," SC Media

[6] "Mimecast Awareness Training: Wie die Risikobewertung funktioniert," Mimecast