Phishing-Attacken auf Ihr Unternehmen erfolgreich abwehren

206 Milliarden Euro – so hoch ist der Gesamtschaden bei deutschen Unternehmen durch Cyberkriminalität im Jahre 2023 gewesen, wie der Branchenverband der deutschen Informations- und Telekommunikationsbranche mitteilt. Allein die explizit ausgewiesenen Schäden durch Erpressung mit gestohlenen oder verschlüsselten Daten belaufen sich auf 16,1 Milliarden Euro. Auch weltweit haben Phishing-Angriffe im Jahresvergleich um fast 60 Prozent zugenommen. Dieser Anstieg ist unter anderem auf den Einsatz von generativer KI in Angriffstechniken wie Voice-Phishing (Vishing), SMS-Phishing und Deepfake-Phishing zurückzuführen. Auch Google sieht in seinem Cybersecurity-Forecast 2024 die Generative KI und Large-Language-Models wie ChatGPT als Treiber eines weiteren Anstiegs der Bedrohungen. 

Besonders beliebt bei Angriffen auf Unternehmen ist das sogenannte Phishing – also der Diebstahl persönlicher Daten mit Hilfe gefälschter Webseiten, E-Mails oder Kurznachrichten. Klassiker sind dabei gefälschte Rechnungen oder die „schnelle Mail vom Chef“ mit der Bitte um eine Überweisung oder mit der unbürokratischen Frage nach Passwörtern. Neu ist jetzt das sogenannte Phishing-as-a-Service, bei dem potenzielle Angreifer nicht mehr selber arbeiten müssen. Sie erhalten vielmehr von einem Dienstleister Zugang zu umfassenden Phishing-Kampagnen, ohne diese selbst einrichten zu müssen.

Auch dies wird erst möglich durch den umfassenden Einsatz von KI. Insbesondere sollen dabei Angreifer angelockt werden, die nicht wissen, wie sie ihre eigene Phishing-Kampagne einrichten sollen. Heißt: Zu den professionellen Hackern kommen jetzt noch ambitionierte Kriminelle, die dies als attraktives Geschäftsfeld empfinden. Höchste Zeit also für Gegenmaßnahmen. Die Frage ist nämlich nicht, ob Sie in Zukunft Ziel eines Angriffs werden – sondern nur wann. 

Um eine Phishing Attacke in Ihrem Unternehmen vorzubeugen, gibt es verschiedene Maßnahmen. Wichtig hierbei: Ziel einer Phishing Attacke ist immer der Mensch als schwächstes Glied in der Kette. Rund 90% der Angriffe auf Unternehmen beginnen mit einer simplen E-Mail. Das Werkzeug, dem sich Angreifer gerne bedienen ist das sogenannte Social-Engineering, wo im Vorhinein Opfer auf bekannten Portalen wie LinkedIn, Xing oder Facebook ausgespäht werden.

Dabei werden Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt, um Mitarbeiter geschickt zu manipulieren. Kriminelle verleiten ihre Opfer auf diese Weise dazu, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln, Überweisungen zu tätigen oder Schadsoftware auf dem Computer im Firmennetzwerk zu installieren. Es ist also unumgänglich, mit einer Awareness-Kampagne zu starten und die Mitarbeiter dahingehend zu sensibilisieren. Hier ein paar gute Tipps als Einsteiger-Lektüre sowie ein kostenloses Webinar.

Wirkungsvolle Maßnahmen gegen Cyberkriminalität sollten im Jahre 2024 so selbstverständlich sein wie Versicherungen oder Arbeitssicherheit. Die Maßnahmen gegen Phishing sind dabei je nach Unternehmensgröße durchaus skalierbar. Ob Sie mit einem Task-Team selbstständig ein Training für Ihre Mitarbeiter ausarbeiten oder lieber einen professionellen Dienstleister damit beauftragen,  ist Ihrem eigenen Sicherheitsbedürfnis überlassen. Unternehmen, die mit Microsoft arbeiten, können auch auf das Angriffssimulationstraining zurückgreifen. Weitere nützliche Tools und Insights gibt es hier. Von intelligenter Phishing-Erkennung über personalisierte Lernpfade bis hin zu forschungsbasierten Schulungen ist alles dabei. In diesem Sinne: Warten Sie nicht auf den ersten Angriff und agieren Sie jetzt! Die Zukunft Ihres Unternehmens sollte in sicheren Händen liegen.