- So schützen sich Mitarbeiter:innen vor Social Engineering-Angriffen per E-Mail und Telefon
- Expertenpanel diskutiert den Human Factor in der IT-Sicherheit im Rahmen der Internet Security Days (ISDs) am 16.-17. September 2021
Mit dem Wechsel zahlreicher Mitarbeiter:innen ins Home-Office ist die Gefahr für viele Unternehmen gestiegen, Opfer von Phishing-Attacken zu werden. „Vielen Menschen fehlt im Home-Office die Möglichkeit, verdächtige E-Mails oder Anrufe schnell mit Kollegen zu besprechen. Ohne den hier hilfreichen Flurfunk sollten Unternehmen ihre Mitarbeiter anderweitig sensibilisieren“, sagt Markus Schaffrin, Sicherheitsexperte und Geschäftsbereichsleiter Mitgliederservices im eco – Verband der Internetwirtschaft e. V. Mitarbeiter:innen sind zuhause relativ isoliert zudem ihren Emotionen stärker ausgeliefert, was sich Angreifer womöglich zunutze machen.
Der Zugriff per Remote auf Unternehmensdaten ist heute Standard, daher konzentrieren sich Cyberkriminelle speziell auf Sicherheitslücken in diesem Umfeld. Die größte Bedrohung geht dabei seit Jahren von Ransomware aus, so eine Erkenntnis der eco IT-Sicherheitsstudie 2021. Kriminelle versuchen dabei, Erpressungstrojaner mittels Schadcode in den IT-Systemen zu platzieren, um diese zu verschlüsseln, Kundendaten zu stehlen und Lösegeld zu fordern. Das sollten Unternehmen jedoch auf keinen Fall zahlen, rät das BSI (Bundesamt für Sicherheit in der Informationstechnik).
Voice Phishing (Vishing) im Homeoffice nimmt zu
„Leider sind Phishing-Angriffe mit anschließender Erpressung deutscher Mittelständler ein nach wie vor lukratives Geschäft für Cyberkriminelle“, sagt Dr. Niklas Hellemann vom Kölner IT-Sicherheitsunternehmen SoSafe. Insbesondere IT-Verantwortliche werden nach seiner Erkenntnis seit Beginn der Pandemie verstärkt angegriffen. „Die Angriffsvektoren sind für Mitarbeiter:innen zum Teil schwer zu erkennen, da Cyber-Kriminelle sie ständig anpassen. Wer alleine im Homeoffice arbeitet, ist beispielsweise besonders gefährdet, Opfer von Voice Phishing (Vishing) Attacken zu werden und über das Telefon sensible Informationen preiszugeben.“
Niklas Hellemann und Markus Schaffrin diskutieren Strategien gegen Phishing im Rahmen der Internet Security Days (ISDs) am 16.-17. September 2021. Hier geben sie IT-Verantwortlichen 7 Tipps an die Hand, die diese an alle Mitarbeiter:innen im Home-Office weiterleiten sollten, um sie zu sensibilisieren und vor Phishing-Attacken zu schützen:
- Machen Sie sich ständig bewusst, dass Cyberkriminelle jederzeit versuchen könnten, mit Ihrer Hilfe Zugang zu den Unternehmenssystemen zu erhalten. Nehmen Sie regelmäßig an Schulungen teil.
- Sollten Sie sich unsicher sein, ob Sie möglicherweise Opfer einer Phishing-Attacke geworden sind, melden Sie das bitte sofort Ihrem oder Ihrer IT-Verantwortlichen und leiten Sie die entsprechende E-Mail weiter. Informieren Sie die Verantwortlichen auch darüber, wenn Sie kritische Informationen am Telefon weitergegeben haben.
- Teilen Sie persönliche Daten wie Passwörter, Kreditkarten- oder Transaktions-Nummern niemals per E-Mail, Messanger-Dienst, Social Media oder am Telefon mit. Das klingt selbstverständlich, doch im Home-Office sind Sie gefährdeter für Manipulationen, Beeinflussungen und Täuschungen.
- Vermeiden Sie es generell, auf Links in E-Mails zu klicken, die zu Log-in-Seiten führen. Speichern Sie stattdessen lieber Adressen zu häufig besuchten Log-in-Seiten in der Favoritenliste Ihres Browsers oder surfen Sie die genannte Seite über die Startseite der betreffenden Organisation an.
- Klicken Sie auf keine Links, die bei Ihnen per SMS eingehen. Hier ist es besonders leicht, den Absender zu fälschen. Smishing / SMS Phishing ist eine Angriffsmethode per Textnachricht oder SMS, in der dazu aufgerufen wird, einem Link zu folgen oder eine Nummer anzurufen. Surfen Sie die Seite des Absenders lieber direkt im Browser an.
- Starten Sie niemals einen Download-Link direkt aus einer E-Mail heraus, wenn Sie sich nicht hundertprozentig sicher sind. Starten Sie stattdessen nach Möglichkeit Downloads stets direkt von der Anbieter-Website.
- Bevor Sie Dateien im Anhang einer E-Mail öffnen, versichern Sie sich, dass die E-Mail tatsächlich von einem vertrauenswürdigen Absender stammt. Kontaktieren Sie im Zweifelsfall den Absender oder die Absenderin telefonisch, um sich zu vergewissern, dass die E-Mail tatsächlich von ihm oder ihr stammt.
Download Checkliste von BSI und ProPK: Phishing (PDF)