Zurück
Cybersicherheitstraining & Software für Unternehmen | MetaCompliance

Produkte

Entdecken Sie unser Angebot an personalisierten Sicherheitsschulungen, die Ihr Team gegen moderne Cyberbedrohungen wappnen und schulen sollen. Von der Verwaltung von Richtlinien bis hin zu Phishing-Simulationen - unsere Plattform stattet Ihre Mitarbeiter mit dem Wissen und den Fähigkeiten aus, die zum Schutz Ihres Unternehmens erforderlich sind.

Automatisierung des Sicherheitsbewusstseins

Planen Sie Ihre jährliche Sensibilisierungskampagne mit ein paar Klicks

Phishing-Simulation

Stoppen Sie Phishing-Angriffe mit preisgekrönter Phishing-Software auf der Stelle

Cyber Security eLearning

Engagieren und schulen Sie Ihre Mitarbeiter, damit sie die erste Verteidigungslinie sind

Richtlinienmanagement

Zentralisieren Sie Ihre Richtlinien an einem Ort und verwalten Sie mühelos die Lebenszyklen von Richtlinien

Datenschutz-Management

Einfache Kontrolle, Überwachung und Verwaltung der Compliance

Inhalt Bibliothek

Entdecken Sie unsere preisgekrönte Elearning-Bibliothek, die für jede Abteilung maßgeschneidert ist

Management von Zwischenfällen

Übernehmen Sie die Kontrolle über interne Vorfälle und beheben Sie, was wichtig ist

Zurück
Industrie

Branchen

Entdecken Sie die Vielseitigkeit unserer Lösungen in verschiedenen Branchen. Vom dynamischen Technologiesektor bis hin zum Gesundheitswesen - erfahren Sie, wie unsere Lösungen in verschiedenen Branchen für Furore sorgen. 


Finanzdienstleistungen

Schaffung einer ersten Verteidigungslinie für Finanzdienstleistungsunternehmen

Regierungen

Eine Go-To Security Awareness Lösung für Regierungen

Unternehmen

Eine Lösung für die Schulung des Sicherheitsbewusstseins für große Unternehmen

Fernarbeitskräfte

Verankern Sie eine Kultur des Sicherheitsbewusstseins - auch zu Hause

Sektor Bildung

Engagierte Sicherheitsschulung für den Bildungssektor

Beschäftigte im Gesundheitswesen

Siehe unser maßgeschneidertes Sicherheitsbewusstsein für Mitarbeiter im Gesundheitswesen

Technische Industrie

Veränderung der Sicherheitsschulung in der Technologiebranche

NIS2-Konformität

Unterstützen Sie Ihre Nis2-Compliance-Anforderungen mit Initiativen zur Sensibilisierung für Cybersicherheit

Zurück
Ressourcen

Ressourcen

Von Postern und Richtlinien bis hin zu ultimativen Leitfäden und Fallstudien - unsere kostenlosen Informationsmaterialien können dazu beitragen, das Bewusstsein für Cybersicherheit in Ihrer Organisation zu verbessern.

Bewusstsein für Cybersicherheit für Dummies

Eine unverzichtbare Ressource für die Schaffung einer Kultur des Cyber-Bewusstseins

Dummies Leitfaden für Cyber-Sicherheit Elearning

Der ultimative Leitfaden für die Implementierung von effektivem Cyber Security Elearning

Ultimativer Leitfaden für Phishing

Aufklärung der Mitarbeiter über die Erkennung und Verhinderung von Phishing-Angriffen

Kostenlose Aufklärungsposter

Laden Sie diese kostenlosen Poster herunter, um die Wachsamkeit der Mitarbeiter zu erhöhen

Anti-Phishing-Politik

Schaffung einer sicherheitsbewussten Kultur und Förderung des Bewusstseins für Cybersicherheitsbedrohungen

Fallstudien

Erfahren Sie, wie wir unseren Kunden dabei helfen, positives Verhalten in ihren Organisationen zu fördern

Terminologie für Cybersicherheit von A-Z

Ein Glossar der wichtigsten Begriffe zur Cybersicherheit

Reifegradmodell für das Verhalten im Bereich Cybersicherheit

Prüfen Sie Ihre Awareness-Schulung und vergleichen Sie Ihre Organisation mit den besten Praktiken

Kostenloses Zeugs

Laden Sie unsere kostenlosen Awareness-Assets herunter, um das Bewusstsein für Cybersicherheit in Ihrer Organisation zu verbessern

Zurück
MetaCompliance | Cybersicherheitstraining & Software für Mitarbeiter

Über

MetaCompliance verfügt über mehr als 18 Jahre Erfahrung auf dem Markt für Cybersicherheit und Compliance und bietet eine innovative Lösung für die Sensibilisierung der Mitarbeiter für die Informationssicherheit und die Automatisierung des Vorfallsmanagements. Die MetaCompliance-Plattform wurde entwickelt, um den Bedarf der Kunden an einer einzigen, umfassenden Lösung für das Management von Risiken in den Bereichen Cybersicherheit, Datenschutz und Compliance zu erfüllen.

Warum uns wählen

Erfahren Sie, warum Metacompliance der vertrauenswürdige Partner für Security Awareness Training ist

Spezialisten für Mitarbeiterengagement

Wir machen es einfacher, Mitarbeiter einzubinden und eine Kultur des Cyber-Bewusstseins zu schaffen

Automatisierung des Sicherheitsbewusstseins

Einfaches Automatisieren von Sicherheitsschulungen, Phishing und Richtlinien in wenigen Minuten

MetaBlog

Halten Sie sich auf dem Laufenden über Schulungen zur Cybersicherheit und verringern Sie die Risiken in Ihrem Unternehmen.

Phishing-Angriffe: Warum denken wir nicht nach, bevor wir klicken?

Phishing-Angriffe Denken Sie nach, bevor Sie klicken

über den Autor

Diesen Beitrag teilen

Bei Phishing-Angriffen geht es ebenso sehr um die Manipulation des menschlichen Verhaltens wie um die Technologie. Diese Aussage bringt auf den Punkt, warum es so schwierig ist, Phishing-Kampagnen zu verhindern, die zu Ransomware, gestohlenen Anmeldedaten und anderen Cyberangriffen führen.

In den 1970er Jahren gab es eine Kampagne zum Thema Alkohol am Steuer mit dem Slogan "Think, before you drink, before you drive". Es war eine wirksame Kampagne, die dazu beitrug, die Zahl der alkoholbedingten Verkehrsunfälle im Vereinigten Königreich zu verringern. Die Menschen zum Nachdenken zu bringen, bevor sie handeln, ist nicht so einfach, wie es klingt. Phishing-Kampagnen setzen darauf, dass man nicht nachdenkt und unüberlegt auf eine E-Mail reagiert. Phishing ist eine ernstzunehmende Angelegenheit. Einem kürzlich veröffentlichten Bericht zufolge glauben 95 % der IT-Leiter, dass Daten über den E-Mail-Kanal in Gefahr sind. 

Wie kann also ein durchschnittliches Unternehmen hoffen, so erfolgreich zu sein wie die 70er-Jahre-Kampagne gegen Alkohol am Steuer, wenn es darum geht, die Tricks der Cyberkriminellen zu bekämpfen?

Phishing-Angriffe und menschliches Verhalten

Diese Schwierigkeit bei der Vorbeugung spiegelt sich in der erfolgreichen Art der Phishing-Angriffe wider: In der Zeit vor der Pandemie 2019 waren die Phishing-Statistiken erschreckend: Das Versicherungsunternehmen Beazley stellte im ersten Quartal 2019 einen Anstieg der Ransomware-Angriffe um 105 % fest. Aber 2020 haben die Phishing-Angriffe die Skala gesprengt. Das FBI veröffentlichte einen Bericht , aus dem hervorging, dass Phishing die bei weitem häufigste Straftat war, die seiner Beschwerdestelle, IC3, gemeldet wurde. Eine der treibenden Kräfte hinter dem Phishing-Erfolg in den letzten 12 Monaten war die Covid-19-Pandemie, die Phishern zahlreiche Möglichkeiten bot, menschliches Verhalten auszunutzen: Dies zeigt sich in einem atemberaubenden Anstieg der Covid-19-basierten Bedrohungen um 30.000 % im Jahr 2020; die meisten dieser Angriffe verwendeten bösartige Websites und Phishing-E-Mails.

Phishing (und seine Varianten, Vishing/Smishing/Pharming) ist ein weit verbreiteter Angriffsvektor, weil die Technik funktioniert. Sie funktioniert, weil sie ein natürliches menschliches Verhalten ausnutzt, um eine Aktion auszuführen, die dem Cyberkriminellen, der hinter dem Angriff steht, nützt. Die Fähigkeit, eine rechtmäßige Person zu einer unrechtmäßigen Handlung zu bewegen, ist das Markenzeichen des Betrugs, auch schon vor der Einführung moderner Technologien. Aber die Technologie kann selbst versierte Benutzer in die Irre führen, da die Nutzungsmuster der Technologie "fest programmiert" werden, wenn wir uns mit einem System vertraut machen. 

Die E-Mail zum Beispiel ist eine Alltagstechnologie, die wir ständig nutzen. Im Jahr 2020 wurden täglich 306,4 Millionen E-Mails verschickt und empfangen. Eine E-Mail zu öffnen und auf einen Link zu klicken, ist fast zur zweiten Natur geworden, ein reflexartiges Verhalten bei einer regelmäßigen Aufgabe. Die Phisher haben es auf diese Wiederholung und den Mangel an Überlegungen abgesehen, die zum Handeln erforderlich sind.

5 Typische Phishing-Merkmale

Phishing-Angriffe wollen die Menschen abfangen, bevor sie zu viel nachdenken. Zu diesem Zweck müssen die Kampagnen sicherstellen, dass bestimmte Kriterien erfüllt und die Umstände optimiert werden:

  1. Vertrauenswürdige Quelle: Eine Möglichkeit, diesen Gedankengang zu unterbinden, besteht darin, dem E-Mail-Empfänger ein Gefühl der Sicherheit zu vermitteln. Phishing-Kampagnen geben sich in der Regel als bekannte Marken aus. Bei einer Untersuchung, welche Marken von Phishern verwendet werden, steht Microsoft immer wieder an der Spitze der von Phishern am liebsten gefälschten Marken. Zu den weiteren gefälschten Marken gehören Netflix und PayPal.
  2. Die Verlockung des Klicks: Obwohl 79 % der Menschen angeben, dass sie eine Phishing-E-Mail erkennen können, klickt fast die Hälfte trotzdem auf einen Link in einer verdächtigen E-Mail. Die Gründe für dieses Verhalten liegen wahrscheinlich in der impliziten Schulung, die wir alle erhalten haben, um internetfähige Inhalte zu nutzen. Das Klicken ist fast eine pawlowsche Reaktion, wenn eine E-Mail einen Link enthält. Benutzererfahrungsdesigner (UX) haben diese Art der Konditionierung genutzt, um den Menschen den Umgang mit Technologien zu erleichtern; Cyberkriminelle nutzen dieselbe psychologische Manipulation, um uns dazu zu bringen, auf einen Phishing-Link zu klicken, um die nächste Phase des Phish zu starten.
  3. Führen durch Aufgabe: Die Konzentration der E-Mail auf eine einfache Aufgabe hilft dabei, den Denkprozess auszuschalten. Sich wiederholende und bekannte Aufgaben wie das Zurücksetzen von Passwörtern sind bei Phishern sehr beliebt. So kann der so wichtige "Klick" gemacht werden, ohne dass man sich zu viele Gedanken über die möglichen Folgen machen muss. Wenn die Aufgabe mit der Arbeit zu tun hat, ist es wahrscheinlicher, dass der Klick gemacht und das Phishing-Ereignis ausgelöst wird.
  4. Die Dringlichkeit: Oft enthalten Phishing-E-Mails eine Art Antrieb, um das automatische Anklicken zu veranlassen. Diese Treiber sind oft die Androhung einer Disziplinarmaßnahme oder die Aufforderung zu einer bestimmten Handlung, z. B. das Bezahlen einer Rechnung. Einige Phishing-Kampagnen sind sehr gezielt (Spear-Phishing). Diese Kampagnen geben sich oft als Geschäftsführer aus; der gefälschte Geschäftsführer sendet dann eine E-Mail an die Buchhaltung mit der dringenden Bitte, Geld auf ein Bankkonto zu überweisen. Das Konto ist natürlich im Besitz eines Betrügers.  
  5. Überlastet: Eine Studie über Krankenhäuser, die Zielscheibe von Phishing-Kampagnen waren, ergab, dass überarbeitetes Personal eher auf einen Phishing-Link klickt. Wenn Sie keine Zeit zum Nachdenken haben, werden Sie auf automatische Antworten zurückgreifen.

Ein Hinweis zu Spear-Phishing-Angriffen. Diese Art von Phishing erfordert eine tiefere Aufklärung, um dem Ziel überzeugende Phishing-E-Mails zukommen zu lassen. Durch diese Detailgenauigkeit sind Spear-Phishing-E-Mails für die Mitarbeiter noch schwerer zu erkennen. Folglich stiegen die Spear-Phishing-E-Mail-Angriffe während der Covid-19-Pandemie um 667 %.

Wie man einen Mitarbeiter dazu bringt, auf einen Phishing-Link zu klicken

Cyberkriminelle sind meisterhaft darin, die Bedingungen für eine erfolgreiche Phishing-Kampagne zu schaffen. Sie wenden alle Tricks an, um einen Benutzer zum Klicken zu bewegen, wie z. B. gefälschte vertrauenswürdige Marken, um den Benutzer zum leichten Köder zu machen. Ein Beispiel dafür war eine Phishing-Masche für Office 365 im Jahr 2020. Sie enthielt alle Elemente, die Nutzer dazu verleiten, zu klicken, bevor sie nachdenken:

  • Es wurden gefälschte E-Mails an die Mitarbeiter verschickt, die den Anschein erweckten, dass es sich um Microsoft Office 365 handelt. 
  • Die E-Mail trug den Titel "COVID-19-Schulung für Mitarbeiter: A Certificate for Health Workplaces" (Ein Zertifikat für gesundheitsfördernde Arbeitsplätze), in der die Mitarbeiter aufgefordert wurden, die E-Mail aus beruflichen Gründen zu beantworten.
  • Die E-Mail-Empfänger wurden aufgefordert, auf einen Link in der E-Mail zu klicken, der sie zu einer gefälschten Office 365-Anmeldeseite führte: Die Seite sah genauso aus wie eine echte Office 365-Seite.
  • Ein Benutzer wurde aufgefordert, seine Office 365-Anmeldedaten einzugeben, um sich anzumelden und das Zertifikat zu erhalten. Wenn sie dies taten, wurden diese Anmeldedaten gestohlen und dann für die Anmeldung beim echten Office 365-Portal verwendet.

Wie man einen Mitarbeiter davon abhält, auf einen Phishing-Link zu klicken

Die Verhinderung von fest kodiertem Verhalten erfordert eine spezielle Sensibilisierungsschulung. Technologen haben Systeme so konzipiert, dass sie einfach zu bedienen sind und das Klicken zu einer einfachen Aktion machen. Diese automatische Klickreaktion muss durchbrochen werden, um den Erfolg von Phishing zu verhindern. Durch einen gut durchdachten, kontrollierten Phishing-Test kann ein Unternehmen dazu beitragen, das Verhalten zu ändern, auf das Cyberkriminelle angewiesen sind. Simulierte Phishing-Tests schaffen eine sichere Umgebung, in der die Benutzer die subtilen Manipulationsmöglichkeiten von Phishern kennenlernen, damit sie sich vor diesen Tricks in Acht nehmen können. Als Teil eines umfassenderen Programms zur Förderung des Sicherheitsbewusstseins sind Phishing-Simulationen ein wirksames Mittel, um erfolgreiche Phishing-Angriffe zu verhindern, die zum Diebstahl von Zugangsdaten, zur Preisgabe von Daten und zur Infektion mit Ransomware führen. 

Der ultimative Leitfaden für Phishing

LESETIPPS