Bereits im Jahr 2007 warnte die Schweizer Melde- und Analysestelle Informationssicherung (MELANI) vor einer bedenklichen Entwicklung: vor der Zunahme von Internetangriffen mit raffiniertem Social Engineering sowie vor Identitäts- und Datendiebstahl. Das hat sich bis heute nicht zum Besseren verändert. In ihrem aktuellen Halbjahresbericht für das Jahr 2020 behandelt MELANI unter anderem das Thema Phishing as a Service. Dabei stellte die Meldestelle fest, dass sich derartige Angebote im Darknet verdoppelt haben.
Zu den beliebtesten Offerten zählen Phishing-Sets für sehr bekannte Marken wie Amazon, Google, Instagram, Office365 und PayPal. Diese werden im Darknet sozusagen von der Stange an Cyberkriminelle mit begrenzten technischen Fähigkeiten verkauft und ermöglichen die Erstellung unzähliger Phishing-Seiten. Cyberkriminalität hat sich in den letzten Jahren zu einer ausgereiften Industrie mit Milliardenumsätzen entwickelt.
Um dieser geballten kriminellen Energie als Unternehmen erfolgreich entgegenzutreten, müssen mehrere Faktoren berücksichtigt werden. In diesem Blog gehen wir auf die wichtigsten Punkte ein.
Faktor 1: Sensibilisierung des Top-Managements
Die Cyber Sicherheit eines Unternehmens muss immer ein Thema für das Top-Management sein. Dabei geht es um Risikoabwägung, denn ein erfolgreicher Hackerangriff kann für eine Unternehmung existenzbedrohend sein. Es gibt sehr viele Beispiele von erfolgreichen Hackerangriffen mit gravierenden Auswirkungen. Empfehlenswert ist der Podcast «Hackerangriffe: Ist die Schweiz dagegen gewappnet?». Nehmen Sie sich 30 Minuten Zeit für das Anhören dieses Beitrags und erfahren Sie, wie eine Schweizer Firma mit 250 Angestellten durch einen Hackerangriff beinahe ruiniert wurde! Spätestens nach diesen 30 Minuten ist Cyber Sicherheit bestimmt ein Top-Thema in Ihrer Geschäftsleitung und im Verwaltungsrat.
Faktor 2: einen Gesamtüberblick schaffen
Verschaffen Sie sich in einem ersten Schritt einen Gesamtüberblick in Ihrem Unternehmen hinsichtlich aller Cyber-Sicherheitsaspekte. Dieser bildet die Basis für alle weiteren Aktivitäten und Massenahmen. Er dient als Cockpit sowie als Diskussions- und Entscheidungsgrundlage. Dafür gibt es viele erprobte Vorlagen, Tools und Verfahrensweisen. Wir als BitHawk orientieren uns am NIST CSF (Cybersecurity Framework) (National Institute of Standards and Technology), die über hundert Kontrollpunkte enthalten, welche geprüft und bewertet werden.
Weitere Methoden:
IKT Standard der Schweizer Behörde welcher sich an NIST orientiert
BSI Standard der deutschen Behörden
Faktor 3: Abläufe, Prozesse und Verantwortlichkeiten
Nachdem Sie Ihr Management ins Boot geholt haben und über einen Gesamtüberblick verfügen, können Sie sich um Ihre Prozesse und Abläufe kümmern. Die NIST-Framework liefert die nötigen Informationen, welche Prozesse dabei relevant sind. Dazu gehören beispielsweise Backup-Konzepte, ein Ablaufplan bei einem Ernstfall und die Definition von Verantwortlichkeiten. Wichtig ist die Klärung der Frage, was genau ein Security-Verantwortlicher im Unternehmen macht. Eine unterstützende Orientierungshilfe dabei ist die Wikipedia-Definition des «Security-Officers».
Ein wichtiges Merkmal eines Security-Verantwortlichen ist, dass er im Auftrag der Geschäftsleitung handelt und im optimalen Fall nicht gleichzeitig in Personalunion auch der IT-Verantwortliche ist. Versuchen Sie, bei dieser Personalie eine Gewaltentrennung anzustreben. So können Sie Ihren IT-Grundschutz aus mehreren Perspektiven beurteilen.
Faktor 4: technischen Voraussetzungen schaffen und aktiv managen
Im technischen Teil überprüfen Sie Ihre IT auf Best-Practice-Ansätze. Wir haben innerhalb der BitHawk ein Cyber Security Tech Assessment entwickelt, das über hundert technische Prüfpunkte umfasst. Diese sind zudem an Massnahmen aus dem Cyber Security NIST Assessment gekoppelt. Auf diese Weise lassen sich sehr schnell Quick Wins identifizieren und eine Roadmap erstellen, die Ihre IT-Sicherheit planbar und gemanagt in die Zukunft führt.
Faktor 5: trainieren, trainieren, trainieren
Haben Sie bereits einen internen Phishing Angriff umgesetzt, um das Verhalten Ihren Mitarbeiter zu testen? Wir durften bereits für mehrere Unternehmen «friendly Phishing Attacken» durchführen. Öffnungsraten von 50 % und Klick-/Öffnungsraten zwischen 60 und 70 % sind dabei keine Seltenheit. Derartige Raten wären im E-Mail-Marketing ein Traum für jeden Marketingverantwortlichen. Damit die Attacke erfolgreich ist, gehen wir sehr gezielt vor, verwenden aber nur Informationen, die öffentlich zur Verfügung stehen. Social-Media-Plattformen liefern Informationen über Personen und die Website des Unternehmens gibt Auskunft über Partnerschaften, Kunden und Produkte. Auch die CI/CD-Informationen können ohne Probleme aus dem Quellcode der Website entnommen werden.
Das Angebot der BitHawk umfasst nicht nur einmalige simulierte Phishing Attacken, sondern auch laufende Angriffe. So kann der Reifegrad einer Organisation kontinuierlich gemessen und entwickelt werden.
Wir sind Partner von KnowBe4, das über die weltweit größte Plattform für die Schulung des Sicherheitsbewusstseins und den simulierten Phishing Angriff verfügt. Im Zuge dieser Kooperation bieten wir auch Lernvideos, mit deren Hilfe sich Ihre Mitarbeitenden laufend verbessern und zu Phishing-Experten werden.
Kontaktieren Sie uns unter marketing@bithawk.ch. Wir unterstützen Sie gerne dabei, Ihr Unternehmen auf Phishing zu sensibilisieren.
Quellenverzeichnis:
Podcast SRF: «Hackerangriffe: Ist die Schweiz dagegen gewappnet?»
IKT Standard der Schweizer Behörde welcher sich an NIST orientiert
BSI Standard der deutschen Behörde
Orientierungshilfe der Wikipedia-Definition des «Security-Officers».
Weitere spannende Blogberichte
Cisco Umbrella – weil Sicherheit einfach sein kann