Zurück
Cybersicherheitstraining & Software für Unternehmen | MetaCompliance

Produkte

Entdecken Sie unser Angebot an personalisierten Sicherheitsschulungen, die Ihr Team gegen moderne Cyberbedrohungen wappnen und schulen sollen. Von der Verwaltung von Richtlinien bis hin zu Phishing-Simulationen - unsere Plattform stattet Ihre Mitarbeiter mit dem Wissen und den Fähigkeiten aus, die zum Schutz Ihres Unternehmens erforderlich sind.

Cyber Security eLearning

eLearning zur Cybersicherheit: Entdecken Sie unsere preisgekrönte eLearning-Bibliothek, die für jede Abteilung maßgeschneidert ist

Automatisierung des Sicherheitsbewusstseins

Planen Sie Ihre jährliche Sensibilisierungskampagne mit ein paar Klicks

Phishing-Simulation

Stoppen Sie Phishing-Angriffe mit preisgekrönter Phishing-Software auf der Stelle

Richtlinienmanagement

Zentralisieren Sie Ihre Richtlinien an einem Ort und verwalten Sie mühelos die Lebenszyklen von Richtlinien

Datenschutz-Management

Einfache Kontrolle, Überwachung und Verwaltung der Compliance

Management von Zwischenfällen

Übernehmen Sie die Kontrolle über interne Vorfälle und beheben Sie, was wichtig ist

Zurück
Industrie

Branchen

Entdecken Sie die Vielseitigkeit unserer Lösungen in verschiedenen Branchen. Vom dynamischen Technologiesektor bis hin zum Gesundheitswesen - erfahren Sie, wie unsere Lösungen in verschiedenen Branchen für Furore sorgen. 


Finanzdienstleistungen

Schaffung einer ersten Verteidigungslinie für Finanzdienstleistungsunternehmen

Regierungen

Eine Go-To Security Awareness Lösung für Regierungen

Unternehmen

Eine Lösung für die Schulung des Sicherheitsbewusstseins für große Unternehmen

Fernarbeitskräfte

Verankern Sie eine Kultur des Sicherheitsbewusstseins - auch zu Hause

Sektor Bildung

Engagierte Sicherheitsschulung für den Bildungssektor

Beschäftigte im Gesundheitswesen

Siehe unser maßgeschneidertes Sicherheitsbewusstsein für Mitarbeiter im Gesundheitswesen

Technische Industrie

Veränderung der Sicherheitsschulung in der Technologiebranche

NIS2-Konformität

Unterstützen Sie Ihre Nis2-Compliance-Anforderungen mit Initiativen zur Sensibilisierung für Cybersicherheit

Zurück
Ressourcen

Ressourcen

Von Postern und Richtlinien bis hin zu ultimativen Leitfäden und Fallstudien - unsere kostenlosen Informationsmaterialien können dazu beitragen, das Bewusstsein für Cybersicherheit in Ihrer Organisation zu verbessern.

Bewusstsein für Cybersicherheit für Dummies

Eine unverzichtbare Ressource für die Schaffung einer Kultur des Cyber-Bewusstseins

Dummies Leitfaden für Cyber-Sicherheit Elearning

Der ultimative Leitfaden für die Implementierung von effektivem Cyber Security Elearning

Ultimativer Leitfaden für Phishing

Aufklärung der Mitarbeiter über die Erkennung und Verhinderung von Phishing-Angriffen

Kostenlose Aufklärungsposter

Laden Sie diese kostenlosen Poster herunter, um die Wachsamkeit der Mitarbeiter zu erhöhen

Anti-Phishing-Politik

Schaffung einer sicherheitsbewussten Kultur und Förderung des Bewusstseins für Cybersicherheitsbedrohungen

Fallstudien

Erfahren Sie, wie wir unseren Kunden dabei helfen, positives Verhalten in ihren Organisationen zu fördern

Terminologie für Cybersicherheit von A-Z

Ein Glossar der wichtigsten Begriffe zur Cybersicherheit

Reifegradmodell für das Verhalten im Bereich Cybersicherheit

Prüfen Sie Ihre Awareness-Schulung und vergleichen Sie Ihre Organisation mit den besten Praktiken

Kostenloses Zeugs

Laden Sie unsere kostenlosen Awareness-Assets herunter, um das Bewusstsein für Cybersicherheit in Ihrer Organisation zu verbessern

Zurück
MetaCompliance | Cybersicherheitstraining & Software für Mitarbeiter

Über

MetaCompliance verfügt über mehr als 18 Jahre Erfahrung auf dem Markt für Cybersicherheit und Compliance und bietet eine innovative Lösung für die Sensibilisierung der Mitarbeiter für die Informationssicherheit und die Automatisierung des Vorfallsmanagements. Die MetaCompliance-Plattform wurde entwickelt, um den Bedarf der Kunden an einer einzigen, umfassenden Lösung für das Management von Risiken in den Bereichen Cybersicherheit, Datenschutz und Compliance zu erfüllen.

Warum uns wählen

Erfahren Sie, warum Metacompliance der vertrauenswürdige Partner für Security Awareness Training ist

Spezialisten für Mitarbeiterengagement

Wir machen es einfacher, Mitarbeiter einzubinden und eine Kultur des Cyber-Bewusstseins zu schaffen

Automatisierung des Sicherheitsbewusstseins

Einfaches Automatisieren von Sicherheitsschulungen, Phishing und Richtlinien in wenigen Minuten

MetaBlog

Halten Sie sich auf dem Laufenden über Schulungen zur Cybersicherheit und verringern Sie die Risiken in Ihrem Unternehmen.

Social-Engineering-Angriffe, auf die man 2022 und darüber hinaus achten sollte

Was ist Social Engineering in der Cyber Security? MetaCompliance

über den Autor

Diesen Beitrag teilen

Laut einer Studie von Beaming mussten sich britische Unternehmen im Jahr 2021 alle 47 Sekunden mit einem versuchten Datenschutzverstoß auseinandersetzen. Der Bericht hebt weiter hervor, dass die Telearbeit eine Gelegenheit zur Ausweitung von Cyberangriffen darstellt. Dies ist insofern bemerkenswert, als laut dem Verizon Data Breach Investigation Report (DBIR) 2021 85 % der Datenschutzverletzungen von einem Menschen initiiert werden.

Dieser perfekte Sturm wird durch Social Engineering angefacht; diese Taktik umfasst eine breite Palette von Aktivitäten, die das menschliche Verhalten manipulieren. Cyberkriminelle nutzen buchstäblich jeden möglichen Winkel, um Mitarbeiter auszunutzen, indem sie bekannte psychologische Tricks anwenden, um uns dazu zu bringen, zu klicken, bevor wir denken, oder Malware herunterzuladen.

Aus einem aktuellen Bericht geht hervor, dass auf Social Engineering basierende Cyberangriffe im Jahr 2021 um 270 % zugenommen haben. Dafür gibt es mehrere Gründe, aber die Quintessenz ist, dass Social-Engineering-Techniken funktionieren und wir Wege finden müssen, um unsere Mitarbeiter zu schützen.

Eine Möglichkeit, Social Engineers daran zu hindern, unsere Mitarbeiter und schließlich unsere Daten und Unternehmensnetzwerke zu manipulieren, besteht darin, zu verstehen, wie Social Engineering-Angriffe funktionieren.

Hier sind einige der neuesten Arten von Social-Engineering-Angriffen, auf die Sie achten sollten.

Social Engineering und Cybersicherheit

Bedrohungen der Cybersicherheit sind selten rein technischer Natur. Stattdessen haben Cyberkriminelle schnell erkannt, dass es eine gute Möglichkeit ist, in ein geschütztes Netzwerk einzudringen, indem sie Mitarbeiter, Nicht-Mitarbeiter und das breitere Ökosystem der Anbieter nutzen, um ihre schändlichen Absichten zu verwirklichen.

Jüngste Untersuchungen über die Nutzung von Geschäfts-E-Mails zur Einleitung von Cyberangriffen ergaben, dass in 30 % der Unternehmen über 50 % der per E-Mail erhaltenen Links auf einer bösartigen Website landeten. Das ist eine Lawine von bösartigen Einfallspunkten in ein Unternehmenssystem und seine Geschäftsabläufe.

Social-Engineering-Angriffe nutzen gängige Taktiken, die immer wieder funktionieren. Aber Hacker können diese Taktiken je nach Ereignis variieren. Die Covid-19-Pandemie war ein solches Ereignis.

Einige der wahrscheinlichen Social-Engineering-Angriffe, auf die Sie im kommenden Jahr achten sollten, sind:

Kompromittierung von Geschäfts-E-Mails (und Kompromittierung von Lieferanten-E-Mails)

Der Verizon Data Breach Investigation Report (DBIR) aus dem Jahr 2021 stellt fest, dass Business Email Compromise (BEC) die zweithäufigste Form von Social Engineering-Angriffen ist. BEC und VEC stellen Social Engineering in seiner kompliziertesten und vielschichtigsten Form dar.

BEC-Betrüger nutzen die Überwachung, um ihr Ziel zu verstehen und maßgeschneiderte, legitim aussehende, aber gefälschte E-Mails zu erstellen. Oft beginnt ein BEC-Angriff mit einem kompromittierten E-Mail-Konto. Dies gibt den Betrügern die nötigen Informationen, um ausgeklügelte Tricks anzuwenden.

Kompromittierte Konten und Passwörter können auch so umgeleitet werden, dass der Hacker die Abläufe und die Kommunikation des Unternehmens überwachen kann, um alle Informationen zu sammeln, die er benötigt, um die Mitarbeiter dazu zu bringen, neue Rechnungen zu erstellen oder bestehende Rechnungen zu ändern, um dem Betrüger Geld des Unternehmens zu schicken.

Der 2021 Business Email Security Landscape Report liefert einige wichtige Erkenntnisse, um den Erfolg dieser Art von Angriffen einzudämmen:

  • 72 % der Befragten hatten in den letzten 12 Monaten einen BEC-Angriff erlebt.
  • Fast 50 % der BEC-Angriffe verwenden eine gefälschte Identität, die in der Anzeige des E-Mail-Namens erscheint.
  • Spear-Phishing-E-Mails zielen auf Personen ab, die in der Lage sind, Geld zu bewegen. Diese gezielten Phishing-E-Mails verwenden Firmennamen (68 %), Namen einzelner Zielpersonen (66 %) und den Namen von Chefs/Managern (53 %), um den Angriff anzupassen.

Eine neue Variante von BEC ist Vendor Email Compromise (VEC). Diese Art von BEC konzentriert sich auf Anbieter, um Geld zu veruntreuen. VEC-Angriffe nutzen einen Ketteneffekt, bei dem sich Phishing über das gesamte Anbieter-Ökosystem ausbreitet, wenn es nicht unterbunden wird.

VEC-Angriffe werden in der Regel von gut finanzierten, professionellen Cyberkriminellen durchgeführt, da sie eine gründliche Überwachung und Aufklärung beinhalten, um ihre Ziele so gut zu verstehen, dass sie eine glaubwürdige gefälschte Kommunikation erstellen können. Social-Engineering-Techniken sind der Kern von VEC, genau wie der Kern von BEC, der einzige Unterschied besteht darin, dass sich die Cyberkriminellen auf ein ganzes Ökosystem konzentrieren.

Wie bei BEC besteht das Ziel der VEC-Betrüger darin, ein Unternehmen zu betrügen und Gelder zu stehlen. Das Timing ist ein wichtiger Bestandteil eines VEC-Angriffs, und Social Engineering wird eingesetzt, um Mitarbeiter dazu zu bringen, die Details einer Rechnung genau im richtigen Moment zu ändern, damit kein Verdacht geschöpft wird.

Phishing in all seinen Erscheinungsformen

BEC gehört zu den vielen Arten von Cyberangriffen, bei denen Phishing oder Spear-Phishing eingesetzt wird, um einen Angriff zu initiieren. Phishing ist ein beliebtes Mittel von Social Engineers und war laut DBIR bei 36 % der Sicherheitsverletzungen im Spiel. Phishing ist das ultimative Werkzeug im Arsenal der Social Engineers, da der Inhalt und der Kontext letztlich zur Kontrolle über ein Unternehmensnetzwerk führen können.

Phishing-E-Mails nutzen eine Vielzahl psychologischer Tricks und Auslöser, um Empfänger dazu zu bringen, entweder auf einen bösartigen Link zu klicken oder einen infizierten Anhang herunterzuladen. Zu diesen Tricks gehören das Fälschen bekannter Marken, das Ausnutzen von Dringlichkeit und Angst, um zum Klicken zu verleiten, und das Auslösen von Emotionen wie Fear of Missing Out (FOMO). Weitere Informationen zu den Taktiken, mit denen Mitarbeiter getäuscht werden sollen, finden Sie im MetaCompliance "Ultimate Guide to Phishing".

Phishing folgt oft bestimmten Ereignissen oder zielt auf Benutzer für bestimmte Zwecke ab.

Emotionale Manipulation und ereignisgesteuertes Phishing: Ereignisse können oft einen emotionalen Auslöser für eine Person darstellen. Betrüger nutzen diese Emotionen, um Nutzern das Gefühl zu vermitteln, dass sie etwas verpassen oder dringend handeln müssen, um einen Vorteil aus einem Ereignis zu ziehen.

Während der Covid-Pandemie trugen viele Phishing-E-Mails das Branding der "Weltgesundheitsorganisation" und spielten mit den gesundheitlichen Bedenken der E-Mail-Empfänger. Zu einem bestimmten Zeitpunkt während der Pandemie blockierte Google etwa 17 Millionen betrügerische E-Mails pro Tag. Viele Betrüger nutzten die Pandemie, um mit den Emotionen und Ängsten der Menschen zu spielen. Eine einzige betrügerische E-Mail, die in den Posteingang eines Mitarbeiters gelangt, kann zu einer katastrophalen Datenpanne führen.

Ransomware-Angriffe mit Follow-in-Phishing: Phishing führt zu Ransomware und kann nun auch zu Follow-on-Phishing führen: Dies war der Fall bei dem jüngsten Lapsus$-Angriff auf Portugals größtes Medienkonglomerat, Impresa. Der Gruppe gehören der größte Fernsehsender und die größte Zeitung des Landes, SIC und Expresso. Es wird angenommen, dass der Angriff mit einer Spear-Phishing-E-Mail begann, die zur Übernahme des Amazon Web Services (AWS)-Kontos der Gruppe führte. Dies führte zur Verunstaltung der Website der Gruppe, zur Übernahme des Twitter-Kontos von Expresso und zur Nutzung eines Newsletter-Kontos für den Versand von Phishing-E-Mails an die Abonnenten der Gruppe.

Sobald sich ein Cyberkrimineller Zugang zu einem Netzwerk verschafft hat, in der Regel über gestohlene Anmeldedaten aus Phishing oder Spear-Phishing, kann er diesen Zugangspunkt nutzen, um seine Privilegien zu erweitern und weitere Angriffe zu starten, wie beim Lapsus$-Angriff. Es ist sehr wahrscheinlich, dass diese Art von vielschichtigen, sich überschneidenden Angriffen zur Normalität wird.

Phishing wird weiterhin zur Einleitung von Cyberangriffen verwendet werden, da Cyberkriminelle auf diese Weise mit Personen "kommunizieren" können, die zu einem Zielunternehmen gehören. Diese Art der Kommunikation ist ein perfekter Weg, um einen Menschen zu manipulieren. Das bedeutet, dass die Cyberkriminellen sich nicht in die Technologie "hacken" müssen, die möglicherweise geschützt ist, sondern dass sie stattdessen den Menschen hacken.

Social Engineering und Deep Fakes

Deep Fakes sind das Nonplusultra bei Social-Engineering-Angriffen, und Unternehmen sollten damit rechnen, dass diese Technologie in den kommenden Jahren für schändliche Zwecke eingesetzt wird. Das FBI hat bereits eine Warnung veröffentlicht, in der es heißt:

"Das FBI geht davon aus, dass es zunehmend von ausländischen und kriminellen Cyber-Akteuren für Spearphishing und Social Engineering im Rahmen einer Weiterentwicklung des operativen Cyber-Handwerks genutzt werden wird."

Das FBI schlägt Taktiken vor, die eingesetzt werden können, um das Risiko von Social Engineering durch Deep Fakes zu verringern, darunter "dieSchulung von Benutzern, um Versuche von Social Engineering und Spearphishing zu erkennen und zu melden, die persönliche und Firmenkonten gefährden können."

Social Engineering an der Quelle bekämpfen

Seit es Menschen gibt, haben Hacker durch Social Engineering die Möglichkeit, sich Zugang zu Ressourcen zu verschaffen. Die Tatsache, dass diese Kriminellen in einem digitalen Bereich arbeiten, ändert nichts an der Tatsache, dass das Ziel der Cyberkriminellen das menschliche Verhalten ist.

Um Social Engineers daran zu hindern, unsere Mitarbeiter und das breitere Netz von Geschäftspartnern zu manipulieren, müssen wir diese Personen in den Methoden der Social Engineers schulen. Wissen ist Macht, und das Machtgleichgewicht muss von den Cyberkriminellen auf das Unternehmen verlagert werden, indem die Mitarbeiter geschult werden und die Versuche mit Hilfe von Meldesystemen erfasst werden.

Risiko von Ransomware

Andere Artikel zu Cyber Security Awareness Training, die Sie interessieren könnten