Führt vermehrtes Phishing dazu, dass Sie sich für E-Mail-Sicherheit mit Multi-Faktor-Authentifizierung entscheiden?

Die Coronavirus-Pandemie bedroht die Leistungsfähigkeit und Kontinuität von Unternehmen in vielerlei Hinsicht - nicht zuletzt durch das wachsende Cyber-Sicherheitsrisiko, da Millionen und Abermillionen von Mitarbeitern plötzlich von zu Hause aus arbeiten. Erschwerend kommt hinzu, dass Cyber-Kriminelle die Krise ausnutzen und einen Anstieg der Phishing-Angriffe verursacht haben, die sich die Ängste der Menschen zunutze machen. Unternehmen, die ihren Schutz gegen Phishing noch nicht durch eine mehrstufige Authentifizierung verstärkt haben, sind besonders gefährdet.

Cyberkriminelle nutzen Coronavirus aus

Schon vor dem pandemiebedingten Anstieg des Phishings wurde etwa ein Drittel der Datenschutzverletzungen[1] von Phishern verübt, so der Data Breach Investigations Report 2019 von Verizon- und 90 % der Versuche. Jetzt berichtet Mimecast Threat Intelligence, dass Cyberkriminelle täglich Tausende von Websites mit Coronavirus-Bezug einrichten, von denen die meisten für Phishing-Angriffe genutzt werden (siehe "Coronavirus-Phishing-Angriffe nehmen weltweit zu").

Panische Mitarbeiter, die plötzlich von ihrer gewohnten Umgebung abgeschnitten sind, können dazu verleitet werden, sich durchzuklicken und Kennwörter und andere Daten weiterzugeben, die Ihr Netzwerk und Ihr Unternehmen gefährden können.

Gleichzeitig bieten die zunehmenden Telearbeitsoptionen der Mitarbeiter neue Angriffspunkte für gezieltes Phishing, da Spear-Phishing oder Kompromittierung von Geschäfts-E-Mails sich von E-Mails auf gefälschte Dateifreigabe-Benachrichtigungen von Cloud-Speichern und Plattformen für die Zusammenarbeit ausweiten. Und da Telearbeiter zunehmend ihre private und geschäftliche Nutzung mobiler Geräte vermischen, hat Phishing auch in mobilen Messaging-, Produktivitäts-, Social- und Gaming-Apps sowie in mobilen E-Mails zugenommen.[2]

Die Coronavirus-Phishing-Expedition begann, sobald Unternehmen aufgrund der öffentlichen Gesundheitskrise ihre Mitarbeiter aufforderten, von zu Hause aus zu arbeiten. "Wir sahen, dass Unternehmen sich als Angestellte ausgaben und sagten: 'Klicken Sie hier, um herauszufinden, welche Büros geschlossen sind oder wie die neuesten Richtlinien für die Arbeit von zu Hause aus aussehen'", sagt Dr. Kiri Addison, Head of Data Science für Threat Intelligence und Overwatch bei Mimecast. Mit der Betreffzeile "All Staffs: Obligatorisches Corona-Update" forderte eine E-Mail-Betrugsmasche die Mitarbeiter auf, sich bei OneDrive anzumelden, um "wichtige Unternehmensrichtlinien bezüglich des Covid-19 (sic) Virus" zu überprüfen. Unwissende Mitarbeiter, die dies taten, übergaben ihre Anmeldedaten an die Hacker.

Bemühungen zur Bekämpfung von E-Mail-Betrug hinken hinterher

Die notorische Schwäche des Passwortschutzes lässt sich jedoch durch eine Multifaktor-Authentifizierung überwinden, bei der zwei oder mehr der folgenden Elemente kombiniert werden: "etwas, das Sie wissen" (z. B. ein Passwort oder ein Bild), "etwas, das Sie haben" (z. B. ein Smartphone), "etwas, das Sie sind" (z. B. ein Fingerabdruck) - und zunehmend auch Standortinformationen. Die gebräuchlichste Form der Multi-Faktor-Authentifizierung ist die Zwei-Faktor-Authentifizierung, aber da SMS in letzter Zeit unter Beschuss geraten ist , sollten Sie mit Ihren Anbietern und Dienstleistern darüber sprechen, wie Sie MFA für Ihr VPN und Ihre primären Anwendungen aktivieren können.

Um Phishing zu bekämpfen, "ist eines der besten Dinge, die Sie tun können, einfach die Multi-Faktor-Authentifizierung zu aktivieren", drängte Microsoft letztes Jahr und sagte, dass diese Technik in 99,9 % der Fälle verhindern kann, dass Konten kompromittiert werden.[3] Ebenso haben Untersuchungen von Google ergeben, dass die Zwei-Faktor-Authentifizierung 96 % der Massen-Phishing-Angriffe und 76 % der gezielten Angriffe stoppen kann.[4]

Trotz des Versprechens der Multi-Faktor-Authentifizierung ist jedoch nichts völlig unknackbar - vor allem nicht, wenn man bedenkt, dass Phisher ständig technologische Innovationen und cleveres Social Engineering einsetzen, um das Internet nach Informationen über Ihr Unternehmen zu durchforsten und so eine höchst plausible Masche zu entwickeln.

Überraschenderweise zeigen andere seriöse Untersuchungen, dass etwa 59 %[5] der Unternehmen weltweit die Multi-Faktor-Authentifizierung für ihre Mitarbeiter eingeführt haben. Ein Teil der Verzögerung wird auf die Frustration der Mitarbeiter über die ständigen Änderungen von Passwörtern und Sicherheitsrichtlinien zurückgeführt. Ein anderer Teil wird der Cyber-Müdigkeit und dem Burnout der Sicherheitsexperten in den Unternehmen angesichts der zahlreichen Bedrohungen für ihre Netzwerksicherheit zugeschrieben. Andere führen die Kosten, den Mangel an Sicherheitsfachkräften und die schiere Zweckmäßigkeit an, das Geschäft zu erledigen, ohne sich über die Sicherheit Gedanken zu machen.

Sind wir an einem Wendepunkt bei der E-Mail-Sicherheit angelangt?

Könnte COVID-19 ein Wendepunkt sein? Die Chancen dafür werden durch andere aktuelle Trends im Bereich Phishing und E-Mail-Sicherheit verstärkt, darunter:

• 89 % der CIOs, CISOs und Direktoren für Informationssicherheit halten Phishing für eine hohe (51 %) oder die höchste (38 %) Priorität im Vergleich zu anderen Sicherheitsproblemen.[6]
• Die finanziellen Verluste, die durch die Kompromittierung von Geschäfts-E-Mails verursacht wurden, erreichten laut FBI im Jahr 2019 in den USA 1,7 Milliarden US-Dollar , was einem Anstieg von 37 % gegenüber dem Vorjahr entspricht.
• Mitarbeiter sind auch Verbraucher, und viele von ihnen sind sich heute ihrer eigenen Datenschutzprobleme bewusster, machen sich mehr Gedanken über die Sicherheit und sind an die Multi-Faktor-Authentifizierung in ihrem Leben gewöhnt.
• Technologien und Dienste entwickeln sich weiter, um die Reibungsverluste bei der Verwendung der Multi-Faktor-Authentifizierung zu verringern und die Verwaltung für Sicherheitsexperten zu erleichtern.

Wie man bei der Multi-Faktor-Authentifizierung vorgeht

E-Mail-Verwaltungstechnologien und Cloud-basierte Sicherheitsprodukte sind leicht verfügbar, die Phishing scannen und blockieren können - einige von ihnen erfordern keine zusätzliche Infrastruktur, umfassen Schutzmechanismen für die sofortige Implementierung im und außerhalb des Unternehmensnetzwerks (einschließlich mobiler Geräte) und liefern granulare Berichte für die Bedrohungsanalyse. Sprechen Sie mit Ihren Anbietern und Dienstleistern darüber, wie Sie MFA für Ihr VPN und Ihre primären Anwendungen aktivieren können:

• Spam-Filter
• Anti-Malware-Programme
• Filter, die auf dem E-Mail-Authentifizierungsprotokoll Domain-based Message Authentication, Reporting, and Conformance (DMARC) basieren
• Anti-Personen-Filter, die Hinweise auf Social Engineering erkennen
• Technologie, die Links und Anhänge in Echtzeit scannt und validiert

Die Quintessenz

Zwar kann keine einzelne Sicherheitstechnologie Ihr Unternehmensnetzwerk allein schützen, doch sollte die Multi-Faktor-Authentifizierung ein Schlüsselelement sein, insbesondere für Außendienstmitarbeiter. Unabhängig von der Technologie, für die Sie sich entscheiden, ist es jedoch wichtig, die Mitarbeiter im Vorfeld über die Einführung zu informieren und zu schulen, kontinuierlich für bewährte Praktiken bei der Nutzung zu werben, ihnen beizubringen, wie sie eine Phishing-E-Mail erkennen können, und sie zu ermutigen, alles Verdächtige schnell zu melden. Machen Sie sie zu Helden, die zur Verbesserung der Sicherheitslage in Ihrem Unternehmen beitragen.

[1] Data Breach Investigations Report , Verizon

[2] Verizon Mobile Security Index 2020 , Verizon

[3] "Eine einfache Maßnahme, mit der Sie 99,9 % der Angriffe auf Ihre Konten verhindern können," Microsoft

[4] "Neue Forschung: Wie wirksam ist grundlegende Kontohygiene zur Verhinderung von Hijacking?, Google

[5] "Cisco 2020 CISO Benchmark Report Shows Increased Investment in Cloud Security and Automation Technologies to Combat Complexity," Cisco

[6] "Global Password Security Report," LastPass