2022 / Datendiebstahl / Phishing

Was ist eine Phishing Simulation?

Die Durchführung einer Phishing Simulation ist ein Thema, das häufig unterschätzt wird. Beim ersten hören klingt es wie ein Videospiel für Angler, schützt aber Unternehmen vor Kompromittierung. Da wir eine Phishing Simulation als Dienstleistung anbieten und immer wieder Kunden haben, die diesbezüglich noch einmal nachfragen, möchten wir heute einen erklärenden Beitrag zu dem Thema liefern.

In diesem werden wir Ihnen die Phishing Simulation selbst ein wenig genauer erklären und erläutern, wie wir dabei vorgehen und warum Phishing nach wie vor in jedem Unternehmen ein ernst zu nehmendes Sicherheitsrisiko darstellt. Wenn Sie also wissen möchten, was eine Phishing Simulation genau ist und warum sie sich als essenziell in Hinblick auf die IT-Sicherheit erweist, sind Sie hier genau richtig.

Kompromittierung im eigenen Unternehmen

Unternehmen sind immer häufiger das Ziel von groß angelegten und durchdachten Cyberangriffen. Längst geht es hier nicht mehr nur um die Großen und auch Spionage steht nicht mehr im Fokus der Angreifenden. Durch erfolgreiche Phishing-Angriffe können wertvolle Zugänge erbeutet werden, die auf verschiedenste Weisen ausgenutzt werden können. Oft geht es schlichtweg um einfache Erpressung oder darum, Nutzerdaten zu sammeln, um diese dann gewinnbringend zu verkaufen.

Auf diese Weise werden Daten massenweise kopiert und ausgewertet oder im Darknet entsprechend zur Versteigerung angeboten. Gleiches gilt für Passwörter und Nutzernamen, die längst einen florierenden Handel hervorgebracht haben. Verkauft werden sie meist in großen Paketen oder ganz gezielt mit dem Fokus auf bestimmte sicherheitsrelevante Bereiche eines Unternehmens. Hier kommt es natürlich ganz auf die jeweilige Branche an.

Phishing-Angriffe sind dabei häufig ein wesentlicher Bestandteil für den Erfolg der Hacker. Denn obwohl der Begriff Phishing nicht neu ist, werden die Konsequenzen und Angriffspotentiale häufig unterschätzt.

Phishing- und E-Mail-Angriffe verhindern

Phishing meint in der IT-Sicherheit eine Methode, um Nutzerdaten zu angeln. Das wiederum gelingt mithilfe einer cleveren Strategie.

Das Phishing findet dabei mit gefälschten Websites, E-Mails und SMS statt. Aber auch über QR-Codes, dem sogenannten Quishing, können sensible Informationen ergaunert werden. Jegliche Form von Kommunikation und Eingabemöglichkeit kann dabei genutzt werden, um mittels Phishing an hochsensible und sicherheitsrelevante Informationen zu gelangen. Besonders effektiv sind dabei nach wie vor Phishing-Websites, die in den entsprechenden Phishing-Mails clever verlinkt werden. Im Grunde ist das Konzept ganz einfach:

  1. Eine vermeintlich echte E-Mail der hauseigenen Bank trifft ein
  2. Alles sieht aus wie immer. Die Logos, die Signaturen am Ende der E-Mail, der Wortlaut und alles andere stimmen also mit den üblichen Mails der Bank überein
  3. In der Nachricht ist dann die Rede von einer Neuerung oder der Notwendigkeit einer erneuten Legitimierung durch einmaliges Einloggen in das System
  4. Der Nutzende klickt auf den Link in der Mail und gelangt zur Phishing-Website, nicht zur Website der Bank.

Eine gefälschte Website also, die aber ganz genau so aussieht wie die echte. Er loggt sich daher unwissend ein und das gefälschte Formular für den Login kopiert den Nutzernamen und das Passwort. Anschließend leitet die Website ihn vielleicht sogar zum echten Login weiter, damit es beim zweiten Versuch ganz normal klappt und kein Verdacht geschöpft wird.

Durch den Phishing-Angriff sind Nutzername und Passwort der Bank nun übertragen worden, und zwar ohne, dass die Person es gemerkt hat. Den Fehlschlag beim Login führt sie auf sich selbst zurück – vermutlich vertippt. Oft führen Banken Seiten mit Sicherheitswarnungen der aktuell im Umlauf befindlichen Phishing E-Mails.

So zum Beispiel die Sparkasse auf der Seite ihrer aktuellen Sicherheitswarnungen. Schaut man sich die Warnungen an, wird schnell klar, wie groß das Problem ist. Wie also können Sie sich als Unternehmen vor derartigen Phishing-Angriffen schützen und dafür sorgen, dass Mitarbeitende nicht versehentlich auf das Phishing hereinfallen?

Eine professionelle Phishing Simulation durchführen

Das gelingt mit einer sogenannten Phishing Simulation. Dabei übernehmen wir die Rolle der Angreifenden und simulieren unterschiedliche Arten von Phishing-Angriffen. Die Phishing Simulation dient in erster Linie dazu, schnellstmöglich festzustellen, ob in Ihrem Unternehmen überhaupt ein Risiko für derartige Phishing-Angriffe besteht.

Innerhalb der Phishing Simulation lernen Ihre Angestellten dann unter anderem, dass sie aufmerksam darauf achten sollten, woher entsprechende E-Mails stammen. Auch wie Websites auf Echtheit überprüft werden können, ist immer wieder ein Thema. Ziel der Phishing Simulation ist es am Ende, potenzielle Schwachstellen zu finden und auf diese aufmerksam zu machen. Nur wer weiß, wo es Sicherheitslücken gibt, kann schließlich effektiv daran arbeiten, diese zu schließen.

Phishing Simulationen sind also eine Art von Echtwelt-Test. Geht ein simulierter Phishing-Angriff durch und hat Erfolg? Oder sind all Ihre Mitarbeitende im Unternehmen ausreichend sensibilisiert, um die entsprechenden Anzeichen bereits früh genug zu erkennen? Wir finden es für Sie heraus und verhelfen Ihnen durch eine Simulation zu mehr IT-Sicherheit in Ihrem Unternehmen.

Phishing Simulation für mehr Cybersecurity Awareness

Ganz wichtig ist zu verstehen, dass es bei einer Phishing Simulation nicht darum geht, Mitarbeitende bloßzustellen oder sie als Schuldige zu deklarieren. Phishing Simulationen sind als eine Art der Schulung oder Fortbildung anzusehen. Mitarbeitende sollen darauf aufmerksam gemacht werden, worauf genau zu achten ist, und zwar bei jeder einzelnen E-Mail und Website. Gerade dann, wenn es um sensible Informationen geht, die dort hinterlegt werden.

Die Phishing Simulation schafft also primär ein Bewusstsein dafür, was notwendig ist, um derartige Phishing-Angriffe zu erkennen. Außerdem erklärt sie allen Beteiligten, welche Faktoren am wichtigsten sind und wie diese bestmöglich überprüft werden können. Ziel ist es immer, eine Schärfung des Sicherheitsbewusstseins jedes Einzelnen hervorzurufen.

Solche Aufklärungen und Schulungen sind wichtig, um die IT-Sicherheit oder auch Cybersicherheit im eigenen Unternehmen mittels Anti-Phishing-Strategie zu erhöhen. Cyberkriminelle gehen dabei inzwischen derart clever vor, dass es ohne Vorwissen nahezu unmöglich geworden ist, Phishing direkt zu erkennen. Wir sehen uns daher in erster Linie als Aufklärer, die Hilfe leisten, um Angriffe in Zukunft effektiv vermeiden zu können.

Eine einzige Phishing Simulation stellt dabei eine Momentaufnahme der Awareness in Ihrem Unternehmen dar. Es empfiehlt sich, Simulationen über einen längeren Zeitraum zu verteilen und durchzuführen. Mit mehreren Simulationen ergibt sich ein Gesamtbild und im zeitlichen Verlauf lassen sich Verbesserungen oder Verschlechterungen des Sicherheitsbewusstseins schnell erkennen.

Wir schützen Sie vor Phishing-Angriffen

Mit unseren ausgefeilten Phishing Simulationen schützen wir Sie und Ihr Unternehmen effektiv vor etwaigen Phishing-Angriffen. Dabei setzen wir auf jahrelange Erfahrung und Techniken, die wir beständig erweitern und an die Methoden der Angreifenden anpassen. Wenn Kriminelle neue Techniken lernen, bekommen wir dies zeitnah mit und setzen in unseren Phishing Simulationen Ähnliches ein.

Auf diese Weise gewähren wir Ihnen den bestmöglichen und realistischsten Schutz vor Phishing. Wenn Sie Interesse daran haben, die Sicherheit in Ihrem Unternehmen mittels Phishing Simulation zu erhöhen, kontaktieren Sie uns zeitnah und unkompliziert. Gerne besprechen wir dann, wie wir Sie gezielt dabei unterstützen können, um sich vor Phishing-Angriffen zu schützen. Gerne können Sie unseren Phishing Konfigurator verwenden, in dem Sie eine für Sie passende Kampagne zusammenstellen können.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.