Dieser Artikel ist ein Gastbeitrag von Frau Willemijn van de Lagemaat, Head of Training bei Lupasafe. 

„Was hält dich nachts wach?“ Das Weltwirtschaftsforum hat führende CEOs gefragt, was sie nachts wachhält. Datensicherheit ist ihr oberstes Anliegen. Ob es um den Verlust des Zugangs zu wichtigen Gütern und Dienstleistungen, Ransomware-Risiken oder den Verlust von Finanzdaten geht, alles kommt auf den Schutz digitaler Daten an. Phishing über E-Mails, SMS oder Instant Messages ist für Kriminelle eine einfache Möglichkeit, Unternehmen dazu zu verleiten, Sicherheitsinformationen weiterzugeben, um auf Daten zuzugreifen. Es ist der Ausgangspunkt für 90 % der Onlinekriminalität. Die Verhinderung dieser Verbrechen ist von entscheidender Bedeutung. Ihre Mitarbeiter sind Ihre erste Verteidigungslinie. 

Wie groß ist das Phishing-Problem?  

Zwischen 20 und 40 % der Unternehmen in den Niederlanden und in Deutschland haben im letzten Jahr mindestens eine Art von Cyberangriff erlebt, wobei Phishing eine der häufigsten Methoden ist. Die deutsche Regierung berichtet, dass das Risiko von Cyberbedrohungen höher ist als je zuvor, was teilweise auf Fortschritte bei der generativen KI zurückzuführen ist, die Phishing- und Betrugsmethoden noch ausgefeilter und somit erfolgreicher werden lässt. 

Bis zu 40 % der Mitarbeiter klicken tatsächlich innerhalb von 24 Stunden auf vertrauliche Daten und geben diese weiter. Das bedeutet, dass zwei von fünf Mitarbeitern zu beschäftigt oder nicht aufmerksam genug sind, um einen Phishing-Betrug richtig zu erkennen. Es besteht eine Diskrepanz zwischen der Wahrnehmung des Cyberbewusstseins der Menschen und der Realität ihres tatsächlichen Cyberbewusstseins. Menschen, die Cyberangriffe aus erster Hand erlebt haben, haben in der Regel ein realistischeres Verständnis der Risiken und ihres eigenen Cyberbewusstseins. Es gibt jedoch einen allgemeinen Trend, die eigene Cybervorbereitung zu überschätzen, was zu einem falschen Sicherheitsgefühl führt. 

Phishing-Raten können reduziert werden  

Es gibt eine gute Nachricht: Klicks können reduziert werden. Wenn Sie Ihre Mitarbeiter darin schulen, Phishing zu erkennen und zu melden, werden bei Folgetests 50 % weniger Personen klicken. Studien zeigen, dass mehr als 60 % der Befragten vor einem Phishing-Test nicht zwischen der echten Anmeldeseite von Microsoft und einer Phishing-Seite unterscheiden konnten, die diese nachahmen sollte. Nach dem Training verringerte sich diese Zahl deutlich. Jeder einzelne Phishing-Angriff ist normalerweise ein wenig anders, aber wenn Sie lernen, Fragen zu stellen und zu überprüfen, bevor Sie auf jede E-Mail antworten, können Sie viele Betrügereien vermeiden und sogar helfen, wenn dies nicht der Fall ist. Teamverständnis und Zusammenarbeit, um Phishing und Cybersicherheit zu verhindern, sind von entscheidender Bedeutung.  

Bis zu 40 % der Mitarbeiter klicken tatsächlich innerhalb von 24 Stunden auf vertrauliche Daten und geben diese weiter. 

Ein umfassender Ansatz  

Eine Fallstudie des nationalen Zentrums für Cybersicherheit des Vereinigten Königreichs zeigt, dass Angreifer nur einmal „Glück“ haben müssen, um an die gesuchte Malware-Instanz oder Anmeldeinformationen zu gelangen. Es ist am besten, Phishing als Teil einer umfassenden Betrachtung der Cyberschwachstellen zu betrachten. Dadurch werden die Kenntnisse und das Vertrauen Ihres Teams in die Cybersicherheit gestärkt, indem Phishing bekämpft und sichergestellt wird, dass das Unternehmen seine Cyberrisiken vollständig im Blick hat.  

Cybersicherheit im Fokus: Expertenperspektiven 

Xhulio Berberi, IT-Berater bei FALK IT Audit & Consulting, beschreibt, wie FALK mit einer Cybersicherheitsplattform für IT-Prüfer sowie für kleine und mittlere Unternehmen Cyberrisiken kontinuierlich überwacht. „Wir betrachten Phishing-Tests als Teil eines integrierten Ansatzes zur Absicherung unserer gesamten Organisation. Die Ergebnisse der Phishing-Tests zusammen mit der kontinuierlichen Analyse unserer Arbeitsplätze, Netzwerke, Websites, Cloud und E-Mails geben mir einen umfassenden Überblick über unsere Cybersicherheitsrisiken.“ Han Veldwijk, CEO von Lupasafe – einer Cybersecurityplattform für kleine und mittlere Unternehmen – und IT-Prüfer, erläutert: „Phishing- und Sensibilisierungsschulungen sind ein wichtiger Bestandteil der kontinuierlichen Schwachstellenanalyse. Ein transparentes Risiko-Dashboard für alle Personen, Technologien und Prozesse gibt Ihnen die Kontrolle über Ihre Risiken.“  

Veldwijk fügt hinzu: „Unsere Kunden benötigen eine verständliche Möglichkeit, die Kontrolle über ihre Cybersicherheit zu behalten.“ Ein Teil davon wird von der IT übernommen, allerdings werden nicht alle Aspekte der Cybersicherheit abgedeckt. Ziel einer Cybersicherheitsplattform ist es, eine All-in-one-Lösung anzubieten, um der Unternehmensleitung einen Überblick über Cyberangriffe zu verschaffen. Laut Berberi ermöglicht dies FALK, sofortige Einblicke zu gewinnen und Maßnahmen zur Sicherheit zu ergreifen.   

Unabhängig davon, welche Plattform oder Beratung genutzt wird: Vertrauen in die Cyberabwehrmaßnahmen zu haben und zu erkennen, wo im Unternehmen das Risiko eines „Cyber-Herzinfarkts“ besteht, sind wesentliche Schritte, um ein sicheres Unternehmen zu werden und der der Geschäftsleitung obliegenden Verantwortung gerecht zu werden. Eine Phishing-Schulung für die Mitarbeiter ist ein guter Ausgangspunkt für diese Reise.