Phishing ist eine der häufigsten und erfolgreichsten Angriffsarten im Internet. Vor allem für KMU stellen Phishing-Attacken eine ernstzunehmende Bedrohung der Cyber Security dar. Beim Phishing versuchen Kriminelle mit Hilfe von E-Mails, Anwender auf gefälschte Internetseiten zu locken. So gelangen die Angreifer an die Nutzernamen und Passwörter der Nutzer, die sie anschliessend für unbefugte Zugriffe missbrauchen. Doch wie soll ein KMU auf einen erfolgreich umgesetzten Phishing-Angriff reagieren?
Für Phishing präparierte Websites sind den tatsächlichen Internetseiten täuschend echt nachempfundene Fälschungen. Cyberkriminelle fordern auf solchen Seiten ahnungslose Nutzer dazu auf, ihre Login-Daten beispielsweise für das Online-Banking, den E-Mail-Zugang, den Onlineshop oder den Zugang zu einem Internet-Service einzugeben. So gelangen die Angreifer an die Nutzernamen und Passwörter der Anwender, die sie anschliessend für ihre kriminellen Machenschaften missbrauchen. Für ein KMU kann eine mit Erfolg durchgeführte Phishing-Attacke gravierende Folgen haben. Angreifer erhalten beispielsweise Zugriff auf Firmenzugänge, bestellen im Namen des Unternehmens Produkte oder führen Finanztransaktionen aus. Der beste Schutz vor Phishing-Angriffen sind die Sensibilisierung der Mitarbeitenden und technische Präventionsmassnahmen. Tritt dennoch ein Phishing-Vorfall auf, ist schnelles Handeln erforderlich, um die Cyber Security des KMU zu schützen.
Welche Massnahmen sind nach einer Phishing-Attacke in einem KMU zu ergreifen?
Betroffene Mitarbeitende auf keinen Fall blossstellen
Auf keinen Fall sollen Führungskräfte oder IT-Verantwortliche Mitarbeitende, die den Phishing-Vorfall zugelassen haben, blossstellen. Dies würde ein Klima der Angst erzeugen und zu einer Vertuschungsmentalität im Unternehmen führen. Mitarbeiter neigen dann dazu, zukünftige Sicherheitsvorfälle zu verheimlichen, was die Cyber Security zusätzlich bedroht. Das KMU sollte sich beim jeweiligen Mitarbeiter für die Meldung des Vorfalls bedanken und keine Strafmassnahmen einleiten. Eine enge und vertrauensvolle Zusammenarbeit zwischen Mitarbeitenden und IT-Verantwortlichen ist notwendig, um weiteren Schaden vom Unternehmen abzuwenden.
Vorfall analysieren, Missbrauch prüfen und Passwörter ändern
Nach der Meldung eines Phishing-Vorfalls ist schnelles Handeln gefragt. Zunächst ist zu prüfen, ob Kunden oder Mitarbeitende vom Angriff betroffen sind. Dementsprechend ist nachzuvollziehen, ob bereits ein Missbrauch entwendeter Daten erfolgt ist. Sind Kunden betroffen, sind diese umgehend zu informieren. Alle betroffenen Zugänge müssen umgehend gesperrt und entwendete Login-Daten geändert werden.
Vorfall im Unternehmen an alle Mitarbeiter kommunizieren
Nach einem Phishing-Vorfall ist es wichtig, alle Mitarbeitende des Unternehmens darüber zu informieren. Auf diese Weise steigt die Sensibilisierung sämtlicher Nutzer und es lassen sich weitere Sicherheitsvorfälle aufgrund des gleichen Phishing-Angriffs verhindern. Zudem erkennen damit einzelne Mitarbeiter, ob sie eventuell auch Opfer der gleichen Phishing-Attacke wurden und sie ihre Login-Daten auf gefälschten Seiten preisgegeben haben. Die IT-Verantwortlichen im KMU erfahren damit, ob weitere Zugangsdaten entwendet wurden.
E-Mail-Systeme nach identischen Phishing-E-Mails scannen
Um zu verhindern, dass die gleiche Phishing-Attacke noch mehr Mitarbeitende angreift, ist ein Scan sämtlicher E-Mail-Server und E-Mail-Systeme nach identischen Phishing-E-Mails erforderlich. Alle gefundenen Mails müssen umgehend aus den Posteingängen und Ablagen entfernt werden. Sinnvoll ist es zudem zu prüfen, ob sich die zukünftige Zustellung gleicher oder ähnlicher Phishing-E-Mails durch die Anpassung des Spam-Filters verhindern lässt.
Log-Dateien nach Verbindungen und Klicks auf Phishing-Links durchsuchen
Firewall-Systeme, Proxy-Server oder die Arbeitsplatz-Systeme der Mitarbeiter selbst bieten umfangreiche Logging-Daten. Diese Logs erfassen die historischen Vorgänge, die über diese Komponenten stattgefunden haben. Die entsprechenden Log-Dateien sollten nach Verbindungen zu den gefälschten Phishing-Seiten, Klicks auf Phishing-Links und den Datenverkehr mit den Phishing-Seiten durchsucht werden. Damit lassen sich bisher verborgen gebliebene Phishing-Vorfälle aufdecken und weiteres Angriffe auf das KMU abwenden.
Vorfall für Mitarbeiterschulungen und für die Information der Kunden dokumentieren
IT-Verantwortliche sollten jeden Phishing-Vorfall genau dokumentieren. Es ist sinnvoll, Screenshots der kompromittierenden E-Mails und der gefälschten Internetseiten zu erstellen, um sie bei späteren Mitarbeiterschulungen-Trainings als praktisches Anschauungsmaterial zu verwenden. Auch Kunden und Partner des KMU oder Datenschutzbeauftragte lassen sich mit einer sauberen Dokumentation des Vorfalls besser informieren.
Fazit
Mit den vorgestellten Massnahmen minimiert ein KMU die Auswirkungen eines Phishing-Vorfalls für das Unternehmen, für Partner und für Kunden. Zudem reduziert es damit das Cyber-Risiko bei künftigen Attacken. Den besten Schutz bilden die präventiven organisatorischen und technischen Massnahmen wie Spam-Filter, Firewall-Systeme und Schulungen. Zur Verbesserung der Cyber Security kann ein in IT-Fragen unerfahrenes KMU einen IT-Dienstleister mit qualifizierten Sicherheitsexperten beiziehen. So sind etwa Anbieter von Managed IT Services wichtige Ansprechpartner für Führungskräfte und IT-Verantwortliche.
Titelbild: Shutterstock