Sicherheitslösungen für Unternehmen verbessern sich fortlaufend. Das zwingt Cyberkriminelle dazu, mehr Zeit und Geld für das Eindringen in Unternehmensnetzwerke aufzuwenden – und sich dabei zunehmend auf Social Engineering zu verlassen. Indem sie den Faktor Mensch ausnutzen und leicht zugängliche Kontaktinformationen (z. B. von Personal- und PR-Mitarbeitern) verwenden, können Kriminelle Anmeldedaten von ahnungslosen Mitarbeitern ergattern, ohne sich um die immer besser werdenden Cybersicherheitslösungen kümmern zu müssen.
Leider gibt es kein Patentrezept, um Unternehmen vor Phishing zu schützen. Dieses Problem erfordert sowohl organisatorische als auch technische Maßnahmen. Hier erfahren Sie, wie Sie einen solchen Schutz in der Praxis umsetzen können.
Schützen Sie Ihren E-Mail-Server
Browser und einige E-Mail-Clients verfügen über eigene Sicherheitsfilter, aber Cyberkriminelle haben viele Techniken, um diese zu umgehen. Einige nutzen zum Beispiel E-Mail-Marketingdienste.
Zu verhindern, dass Phishing-E-Mails überhaupt in die Postfächer der Mitarbeiter gelangen, ist ein guter Ansatzpunkt. Verwenden Sie eine Sicherheitslösung auf der Ebene des Mail-Gateways, wie z. B. Kaspersky Security for Mail Server, die nicht nur Links in eingehenden E-Mails überprüft, sondern auch Bedrohungen in gesendeten Dateien erkennt.
Schützen Sie die Microsoft Office 365 Dienste
Heutzutage nutzen viele Unternehmen Cloud-Dienste, vor allem MS Office 365, anstatt eigene Mailserver einzurichten. Microsoft Office-Kontodaten, die Angreifern potenziell Zugang zu Diensten wie OneDrive und SharePoint geben, in denen vertrauliche Informationen und Kontaktdaten gespeichert sein können, sind ein häufiges und wenig überraschendes Ziel von Phishing-Angriffen. Selbst wenn ein Mitarbeiter theoretisch weiß, dass er Nachrichten sorgfältig prüfen muss, klickt er möglicherweise dennoch auf einen Link oder leitet eine Nachricht an Kollegen weiter, falls er in Eile ist.
Microsoft verfügt über seine eigenen, aber unvollkommenen Sicherheitstechnologien, die Sie mit zusätzlichen Schutzmechanismen verstärken können – und sollten. Zum Beispiel verhindert Kaspersky Security for Microsoft Office 365 die Verbreitung von Bedrohungen über Office-Dienste, schützt vor Spam und Phishing und entfernt bösartige Anhänge.
Schulen Sie Ihre Mitarbeiter
Die heutige Trickkiste der Cyberkriminellen umfasst E-Mails mit versteckten bösartigen Links, als Dokumente getarnte Trojaner im Anhang, irreführende Textnachrichten, Telefonanrufe und vieles mehr. Phishing-Nachrichten können sogar von einem Hosting-Provider oder einem Partnerunternehmen stammen, falls das Konto eines der Mitarbeiter gefährdet ist. Die Mitarbeiter müssen sich dieser Machenschaften bewusst sein und in der Lage sein, verdächtige E-Mails zu erkennen.
Das Bewusstsein der Mitarbeiter für Cybersicherheit kann von der eigenen IT-Abteilung oder von externen Experten geschärft werden. Darüber hinaus helfen Online-Tools wie Kaspersky Automated Security Awareness Platform den Mitarbeitern dabei, ihre Kenntnisse auf bequeme Art und Weise am Arbeitsplatz zu erweitern.
Test-Phishing-E-Mails
Das Testen von Mitarbeitern durch das Versenden relevanter Phishing-E-Mails ermöglicht – oder zwingt – die Mitarbeiter, ihr Wissen in der Praxis anzuwenden und sich auf reale Vorfälle vorzubereiten. Durch das Testen werden auch Mitarbeiter und verbesserungsbedürftige Bereiche ermittelt.
Geben Sie die Kontaktdaten einer Person an, die bei der Überprüfung verdächtiger E-Mails helfen kann
Nach einer grundlegenden Cybersicherheitsschulung sind die Mitarbeiter in der Lage, die meisten Phishing-E-Mails zu erkennen, indem sie auf visuelle Hinweise wie eine unbekannte Absenderadresse, ein falsches Firmenlogo und Tippfehler achten. In einigen Fällen kann jedoch die Hilfe eines Experten erforderlich sein, um festzustellen, ob eine Nachricht sicher ist. Geben Sie den besten Ansprechpartner Ihres Unternehmens für die Bewertung verdächtiger Nachrichten im Einführungsleitfaden und an gut sichtbarer Stelle im Unternehmensportal an.
Schützen Sie Ihre Arbeitsplätze
Selbst erfahrene und aufmerksame Mitarbeiter machen Fehler. Phishing-Links können in der persönlichen E-Mail eines Mitarbeiters auftauchen oder über eine Messaging-App eintreffen – Kanäle, die Ihre Sicherheitssysteme nicht kontrollieren können. Deshalb ist die Installation einer Sicherheitslösung an jedem Arbeitsplatz, der mit dem Internet verbunden ist, entscheidend. Selbst wenn ein Phishing-Link sein Ziel erreicht und angeklickt wird, wird die Weiterleitung blockiert.
Schützen Sie mobile Geräte
Mitarbeiter nutzen Smartphones, um E-Mails und Finanzdokumente einzusehen, und sie chatten in Messaging-Apps. Mobile Geräte haben schon immer eine Bedrohung für die Unternehmenssicherheit dargestellt und tun dies im Homeoffice-Zeitalter noch mehr. Um Phishing-Angriffe auf mobile Geräte zu vermeiden, sollten Sie auch diese Geräte mit Kaspersky Endpoint Security for Business sichern, das sowohl Arbeitsplätze als auch Mobiltelefone schützt.
Seien Sie Kriminellen einen Schritt voraus
Phisher lassen sich immer wieder neue Tricks einfallen, sodass selbst der gewiefteste Profi eines Tages ungewollt die Zugangsdaten zu seinem E-Mail- oder anderen Konto herausgeben könnte. Mit ein paar vernünftigen Maßnahmen können Sie sicherstellen, dass Cyberkriminelle so wenig vertrauliche Informationen wie möglich in die Hände bekommen.
Aktivieren Sie die Zwei-Faktor-Authentifizierung
Aktivieren Sie die Zwei-Faktor-Authentifizierung für alle Online-Unternehmensdienste. Wenn die 2FA aktiviert ist, können sich Angreifer (auch wenn sie die Anmeldedaten für ein Unternehmenskonto oder ein E-Mail-Passwort herausfinden) keinen Zugang zu Ihren Konten verschaffen.
Einzigartige Passwörter verlangen
Weisen Sie Ihre Mitarbeiter an, für jeden Arbeitsdienst und jedes Gerät ein eigenes Passwort zu verwenden. Selbst wenn Phisher ein Passwort abgreifen, sind keine anderen Ressourcen in Gefahr.
Einhaltung des Prinzips der geringsten Privilegien
Wenn Mitarbeiter nur Zugriffsrechte auf die Server, den Cloud-Speicher und andere wertvolle Ressourcen haben, die sie wirklich benötigen, können Cyberkriminelle nicht allzu viel Schaden anrichten, selbst wenn sie die Kontrolle über ein Unternehmenskonto erlangen.
Aktionsplan
Wenn Sie diese einfachen Tipps befolgen, können Sie Ihre Mitarbeiter – und damit Ihr Unternehmen – vor der Phishing-Bedrohung schützen. Das Wichtigste in Kürze:
- Schützen Sie Ihren Mail-Server;
- Schützen Sie Ihre Microsoft Office-Dienste;
- Schulen Sie Ihre Mitarbeiter;
- Simulieren Sie Phishing-Angriffe, um die Schulung zu verstärken;
- Geben Sie Ihren Mitarbeitern die Möglichkeit, jemanden zu kontaktieren, der bei der Überprüfung verdächtiger E-Mails helfen kann;
- Schützen Sie Arbeitsstationen;
- Sichern Sie mobile Geräte;
- Aktivieren Sie, wo immer möglich, die Zwei-Faktor-Authentifizierung;
- Verwenden Sie zuverlässige Sicherheitslösungen.