Chefetage als Phishing-Opfer: Studie belegt die Gefahr

2023-10-04
Autor:
Jan Tissler

Wie eine aktuelle Studie zeigt, sind Top-Manager vier Mal so anfällig für Phishing-Attacken wie ihre Mitarbeiter. Kein Wunder: Cyberkriminelle nehmen sie oftmals gezielt ins Visier. Lesen Sie in diesem Artikel, wie sich dieses Einfallstor schliessen lässt.

Phishing-Angriffesind für Unternehmen eine grosse Gefahr. Dabei werden Mitarbeiter durchgefälschte E-Mails oder Websites dazu gebracht, vertrauliche Datenpreiszugeben. Meist sind diese Angriffe breit gestreut, um möglichst viele Opfer zu finden. Beim «Spear Phishing» nehmen die Kriminellen jedoch gezielteine einzelne Person oder Organisation ins Visier und richten ihre Kampagneexakt darauf aus. Von «Whaling» wird gesprochen,wenn sie dabei einen hochrangigen Manager anpeilen.

Führungskräfte häufiger Opfer von Phishing als Angestellte

Eine Studie des IT-Sicherheitsunternehmens Ivanti belegt nun mit Zahlen und Fakten, dass Führungskräfte deutlich häufiger Opfer solcher Phishing-Angriffe werden als reguläre Angestellte. Während mehr als ein Drittel der befragten Manager schon einmal auf eine Phishing-Mail hereingefallen ist, traf dies nur bei 8 Prozent der Angestellten zu. Die Chefetage ist damit viermal so anfällig für diese Angriffsmethode. 

«Mehr als ein Drittel der Führungskräfte – Personen wie CEOs, VPs und Direktoren – sind bereits auf Phishing-Betrug hereingefallen, entweder durch Klicken auf einen betrügerischen Link oder durch Überweisung von Geld.» Press Reset: A 2023 Cybersecurity Status Report

Als Gründe dafür lassen sich mehrere Punkte identifizieren. So werden die Angriffe, wie eingangs bereits erwähnt, ausgefeilter und gezielter. In der Studie erklärt eine der befragten Personen anonym, dass selbst erfahrene Mitarbeiter Schwierigkeiten hätten, Phishing-Mails als solche zu erkennen. Generell ist der Mensch oft der grösste Unsicherheitsfaktor imCybersecurity-Konzept.

Zugleich kann die Arbeitsbelastung in der Chefetage enorm sein. Der CEO einesUnternehmens hat mit deutlich mehr E-Mails und anderen Anfragen zu tun als etwaein Mitarbeiter in der Produktion. Sie stehen zudem oft unter Zeitdruck. Da istnicht bei jeder E-Mail die höchste Alarmstufe aktiv.

Phishing oft nur der erste Schritt

Bei alledem sind Phishing-Attacken oftmals nur ein Zwischenschritt. Das eigentliche Ziel kann etwa «Cloud Jacking» sein, also Zugriff auf Informationen bei den allgegenwärtigen Onlinediensten zu erlangen. Diese Anbieter sorgen zwar meist für ein hohes Sicherheitsniveau. Deshalb sehen die befragten Personen in der Ivanti-Studie solche Angebote auch generell als Gewinn für die Sicherheit an. Sobald die Angreifer aber die Zugangsdaten in Händen halten, sind diese Dienste so sicher wie ein Tresor, dessen Tür offensteht.

Ein anderes Ziel für Phishing könnte Ransomware sein. Bei diesen Angriffen werden Daten durch die Schadsoftware verschlüsselt und erst nach Zahlung wiederentschlüsselt. Das betrifft auch kleine und mittlere Unternehmen.

Das hat potenziell erhebliche finanzielle Folgen oder kann gar zu einem Gesichts-und Vertrauensverlust gegenüber Kunden und der Öffentlichkeit führen. Deshalb haben beispielsweise 90 Prozent der deutschen Unternehmen Gelder für Ransomware-Angriffe zur Seite gelegt. Das macht oftmals nahezu die Hälfte des Cybersecurity-Budgets aus. Offizielle Stellen wie beispielsweise das Nationale Zentrum für Cybersicherheit (NCSC) warnen übrigens davor, das Lösegeld zu zahlen.

Empfehlungen für mehr Prävention

Hier einige empfehlenswerte Massnahmen, um Spear Phishing und Whaling zu erschweren:

  • Bewusstseinsbildung speziell für Führungskräfte: Interne Workshops, Webinare und Schulungen sollten gezielt das Problembewusstsein der Führungsetage für Cyberrisiken steigern. Die Inhalte sind hier spezifisch auf die Rolle und Verantwortung von Top-Managern zugeschnitten.
  • Regelmässige Schulungen: Sicherheitstrainings müssen für das Top-Management genauso selbstverständlich und verbindlich sein wie für alle anderen Mitarbeitenden.
  • Phishing-Simulationen: Mithilfe von selbst erstellten Test-Mails lassen sich persönliche Schwachstellen und Wissenslücken aufdecken. Das erhöht die Sensibilität und motiviert zur Teilnahme an Schulungsmassnahmen
  • Kontrollmechanismen:Technische Lösungen wie erweiterte Zugriffskontrollen können risikoreiches Verhalten automatisch erkennen und einschränken. Ein Beispiel sind hier Lösungen für User and Entity Behavior Analytics (UEBA). Sie beobachten kontinuierlich Benutzeraktivitäten und können auf dieser Basis Abweichungen vom Normalverhalten erkennen.
  • Externe Audits: Unabhängige Analysen durch Dritte helfen, blinde Flecken aufzudecken und objektive Handlungsempfehlungen zu erhalten.
  • Laut der Ivanti-Studie hilft ein generelles Problembewusstsein in der Chefetage auch den IT-Verantwortlichen. So sagen 86 Prozent der Unternehmen mit besonders hohem Sicherheitsniveau, dass sie Unterstützung aus dem Management haben.

Schlusswort

Natürlich haben Top-Manager bereits alle Hände voll zu tun. Da scheint nicht immer genug Zeit, um sich in Sachen Cybersecurity schulen zu lassen. Die hier zitierten Zahlen sollten allerdings deutlich machen, dass dies ein höchst gefährlicherGedankengang ist.

Zugleich steigt das Gefahrenpotenzial weiter an. Auch deshalb gaben 71 Prozent der von Ivanti befragten Personen an, dass ihr Budget für Sicherheitsmassnahmen in diesem Jahr steigt. Im Schnitt sind die Ausgaben hier um 11 Prozent gestiegen.

Ähnliche Artikel
SecureSafe
ImpressumDefinitionenAGBDPADatenschutzSSEUT
Preise
EinzelnutzerUnternehmenEnterprise
Downloads
iOS Mobile AppAndroid Mobile AppBrowser-ErweiterungDesktop App
Über uns
Über DSwissNewsKarriereKlimaschutz
Brauchen Sie Hilfe?
Help Center
©2024 by DSwiss AG
Badenerstrasse 329, 8003 Zurich, Switzerland