6 Gründe
Darum versagt Ihre Anti-Phishing-Strategie
Foto: Phalexaviles - shutterstock.com
Geht es um Phishing, ist es in der Regel nur eine Frage der Zeit, bis ein Opfer am Haken von Cyberkriminellen zappelt. Erkennen die Übeltäter, dass eine Organisation anfällig ist, nehmen sie diese unaufhörlich weiter ins Visier.
Kommt es zu einer Vernachlässigung der Sicherheitshygiene oder wird diese falsch eingeschätzt, erhöht sich die Gefahr eines erfolgreichen Angriffs erheblich. Doch selbst, wenn Sie Protokolle befolgen, Ihre Mitarbeiter schulen und sich über die neuesten ruchlosen Betrugskampagnen auf dem Laufenden halten - Ihr Unternehmen bleibt verwundbar. Die folgenden sechs Gründe können dafür sorgen, dass Ihre Anti-Phishing-Strategie nicht aufgeht.
1. Cyberkriminelle Raffinesse
Cyberkriminelle entwickeln kontinuierlich neue Taktiken, um Menschen dazu zu verleiten, sensible Daten preiszugeben - und um Abwehrmaßnahmen zu umgehen, wie Krissy Safi, Managing Director und Global Practice Leader bei Protiviti, weiß: "Viele Anti-Phishing-Lösungen verwenden statische Regeln, um Angriffe zu erkennen. Diese können von Angreifern mit fortschrittlicheren Techniken leicht umgangen werden. Auch ChatGPT wird für eine wachsende Zahl von Phishing-E-Mails sorgen, die perfekte Grammatik aufweisen. Das macht es noch schwieriger, sie als Betrugsversuch zu erkennen."
ChatGPT und seine Open-Source-Derivate eröffnen Cyberkriminellen völlig neue Möglichkeiten. So könnten gestohlene Kommunikationsinhalte dazu genutzt werden, KI-Instanzen zu trainieren, um die Chancen zu steigern, erfolgreiche Angriffe zu fahren. Allerdings brauchen Kriminelle keine Chatbots, um besonders gewieft vorzugehen, wie das Beispiel von Twilio zeigt. Einige Mitarbeiter des Cloud-Unternehmens wurden 2022 Opfer von Social-Engineering-Angriffen und dazu gebracht, ihre Anmeldedaten offenzulegen. Diese nutzten die Cyberkriminellen, um sich Zugang zu den internen Systemen zu verschaffen und auf Kundendaten zuzugreifen.
2. Technologie ist alles
Viele Unternehmen versuchten, das Phishing-Problem allein mit Technologie zu lösen, ist Eric Liebowitz, Chief Information Security Officer beim Rüstungskonzern Thales Group, überzeugt. "Sie kaufen die neuesten Tools, um verdächtige E-Mails zu erkennen und geben ihren Mitarbeitern die Möglichkeit, Nachrichten dieser Art zu melden und zu blockieren. Das kann der Raffinesse böswilliger Angreifer aber nichts entgegensetzen. Und die besten Tools nützen nichts, wenn Sie ihre Mitarbeiter nicht auch entsprechend schulen."
Laut Justin Haney, Security Lead bei Avanade, hätten die Unternehmen zwar durchaus die richtigen Tools implementiert sowie Workflows und Prozesse eingezogen, um Phishing-Kampagnen Einhalt zu gebieten - allerdings seien erstgenannte in vielen Fällen nicht angemessen konfiguriert. "Mit SIEM- und SOAR-Technologien können Unternehmen spezifische, automatisierte Playbooks als Reaktion auf erkannte potenzielle Phishing-Kampagnen einsetzen", empfiehlt der Experte als Gegenmittel.
3. Keine ganzheitliche Strategie
Weitere, kapitale Fehler auf Unternehmensseite beobachtet Haney in Sachen Verteidigungsstrategie: "Einige Unternehmen konzentrieren sich ausschließlich auf bestimmte Technologien und lassen dabei andere außer Acht, die die Risiken entlang der Cyber-Killchain mindern können - etwa, wenn es darum geht, kompromittierte Identitäten zu erkennen."
Eine nicht ganzheitliche Verteidigungsstrategie sieht auch Bryan Willett, CISO von Lexmark, als gefährlich an. Der beste Weg, sich gegen Phishing-Angriffe zu schützen, sei ein mehrschichtiger Verteidigungsansatz. "Dazu gehören ein gutes EDR-System auf jeder Workstation, ein starkes Vulnerability-Management-Programm, Multi-Faktor-Authentifizierung für alle Benutzer- und Administratorkonten sowie die Implementierung einer Netzwerksegmentierung", erklärt der Sicherheitsentscheider und fügt hinzu: "Sie sollten davon ausgehen, dass der Angreifer irgendwann Erfolg haben wird und mit diesem Gedanken im Hinterkopf eine umfassende, mehrschichtige Verteidigungsstrategie entwickeln."
Trying to combat phishing using only security awareness training... pic.twitter.com/TatL9gqMQ6
— Jake Williams (@MalwareJake) November 29, 2020
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.