Der aspectra-Blog seit 2012

Spearphishing im Visier: Schutzmassnahmen für Unternehmen und Mitarbeiter

Diver waiting in lay underwater with a speargun in hand | © www.sportsmanboatsmfg.com/blog

Spearphishing-Angriffe sind raffiniert und gezielt – sie können jeden treffen, auch den Vorsichtigsten unter uns. In diesem Beitrag zeigen wir, wie diese Angriffe funktionieren und mit welchen Strategien wir uns bei aspectra schützen.

Was ist Spearphishing?

Spearphishing ist eine spezifische Form von Phishing, bei der gezielt bestimmte Personen oder Organisationen angegriffen werden. Spearphishing zeichnet sich durch folgende Merkmale und Methoden aus:

  • Gezielte Angriffe
  • Personalisierte Nachrichten
  • Vertrauenswürdige Absender
  • Ziel: sensible Informationen zu stehlen oder Schadsoftware zu installieren
  • Aufwändige Vorbereitung

Spearphishing erfordert also mehr Aufwand und Vorbereitung als herkömmliches Phishing. Doch der Aufwand lohnt sich, denn die E-Mails sind glaubwürdiger und für das Opfer relevanter. Auch am Telefon wird gerne versucht, an vertrauliche und sensible Informationen heranzukommen. Auch dies kann als Vorbereitung dienen, um den Angriff zu einem späteren Zeitpunkt noch gezielter durchführen zu können.

Warum und wie schützen wir uns?

Der Schutz liegt nicht nur im Interesse der Firma, sondern auch im Interesse unserer Kunden und der Privatsphäre jedes einzelnen Organisationsmitglieds. Wir sind uns dieser Gefahr bewusst und sehen uns daher in der Verantwortung, uns bestmöglich gegen Spearphishing zu schützen.

Einen 100%igen Schutz gibt es leider nicht. Wir sensibilisieren uns regelmässig für das Thema, indem wir Beispiele von Phishing-Versuchen, die von uns identifiziert wurden, in einem internen Chatkanal veröffentlichen. Des Weiteren nehmen wir regelmässig an Schulungen zur Sensibilisierung teil und stellen unseren Kolleginnen und Kollegen auch mal selbst eine (ungefährliche) Falle, um daraus zu lernen.  Wir markieren verdächtige E-Mails, damit unser E-Mail-Filter weiterhin dazulernen kann. Zudem werden Telefonnummern, die als Phishing-Versuch identifiziert wurden, zentral gesperrt. Um die Informationsbeschaffung zu erschweren, werden nicht mehr alle Mitarbeitenden auf der Homepage veröffentlicht. Letztlich ist der beste Schutz wohl eine gesunde Portion Misstrauen. 

Die genannten Massnahmen sind aber nicht immer einfach umzusetzen. Sie stossen auch nicht immer auf das Verständnis aller Beteiligten oder sind mit einem gewissen Aufwand verbunden –  aber den Aufwand, der mit der Umsetzung dieser Massnahmen verbunden ist, sollte man wirklich nicht scheuen. Denn nach einem erfolgreichen Angriff ist der Schaden wahrscheinlich um ein Vielfaches höher.

Die Gratwanderung

Kann man es mit dem Schutz trotzdem übertreiben? Es ist in der Tat eine Gratwanderung für Unternehmen, sich als attraktiver Arbeitgeber zu positionieren und sich gleichzeitig vor potenziellen Angriffen wie Spearphishing zu schützen, weil:

  • Transparenz vs. Sicherheit: Um sich als attraktiver Arbeitgeber zu präsentieren, müssen Unternehmen transparent sein und Informationen über ihre Mitarbeitenden und das Arbeitsumfeld teilen. Diese Transparenz kann Angreifern jedoch wertvolle Informationen liefern, die sie für gezielte Angriffe nutzen können.
  • Zugänglichkeit vs. Angriffsfläche: Eine gut sichtbare Online-Präsenz, die potenzielle Mitarbeitende und Kunden anspricht, erhöht die Zugänglichkeit. Gleichzeitig bietet sie Cyberkriminellen mehr Möglichkeiten, Informationen zu sammeln und Angriffe zu starten.
  • Vertrauensbildung vs. Misstrauen: Ein positives Arbeitgeberimage erfordert den Aufbau von Vertrauen, was oft durch offene Kommunikation und Interaktion erreicht wird. Diese Offenheit kann jedoch ausgenutzt werden, um Phishing-Nachrichten glaubwürdiger zu gestalten.
  • Interaktion vs. Isolation: Employer Branding lebt von der aktiven Interaktion mit der Öffentlichkeit, sei es durch soziale Medien, Events oder andere Kanäle. Diese Interaktionen bieten Angreifern zahlreiche Einstiegspunkte, um Informationen zu erlangen und Phishing-Angriffe vorzubereiten.
  • Recruiting vs. Schutzmassnahmen: Um Talente anzuziehen, müssen Unternehmen Details über ihre Kultur, Mitarbeitende und Projekte teilen. Diese Informationen können jedoch als Grundlage für personalisierte Phishing-Angriffe dienen, wenn sie in die falschen Hände geraten.

Unternehmen müssen daher sorgfältig abwägen, wie viel und welche Art von Informationen sie preisgeben, um attraktiv zu bleiben, ohne dabei die Sicherheit zu gefährden. Eine gezielte Kommunikationsstrategie und starke interne Sicherheitsmassnahmen sind entscheidend, um diese Balance zu halten.

Suche