IT-Security Awareness:
Weil die größte Schwachstelle
Unwissen ist.

Phishing, Ransomware und KI: Der IT Security Awareness Month Oktober 2024 hat einmal mehr gezeigt, wie rasant sich Bedrohungen sowie Lösungen im Bereich IT-Sicherheit weiterentwickeln – und wie wir dabei beinahe täglich vor neue Herausforderungen gestellt werden.

Phishing zählt dabei zu den „beliebtesten“ Angriffsmethoden. Untersuchungen zeigen, dass Angreifende ihre Phishing-Seiten meist genauso schnell erstellen, wie sie diese wieder löschen. 90 % dieser Seiten sind nur einen Tag lang aktiv, ködern mit aktuellen Angeboten oder Neuigkeiten – und umgehen gezielt traditionelle Sicherheitssysteme, die auf historischen Daten basieren. Da solche Angriffe kaum zurückzuverfolgen sind, bleibt wenig Zeit, um Schutzmaßnahmen zu ergreifen und Analysen durchzuführen. Sicherheitsexpert:innen müssen daher flexibel und vorausschauend agieren, um solche kurzlebigen Bedrohungen rechtzeitig zu erkennen und abzuwehren.

Die Anpassungsfähigkeit von E-Mails ermöglicht es Angreifenden, ihre Nachrichten individuell auf einzelne Ziele zuzuschneiden, was die Wahrscheinlichkeit erhöht, dass die Empfänger:innen mit den Anhängen der E-Mail interagieren.

Außerdem bleibt die E-Mail für die meisten Unternehmen und Organisationen ein zentrales Kommunikationsmittel für den Austausch vertraulicher Dateien und Informationen. Dies erleichtert es Angreifenden ungemein, Schadsoftware und manipulierte Links zu verbreiten – um Einzelpersonen und Unternehmen auszuspähen, zu bestehlen und/oder zu erpressen.

Angreifende nutzen hierzu oft Social-Engineering-Taktiken, um eine bestimmte Dringlichkeit oder Vertrautheit vorzutäuschen und so eine spontane Reaktion zu provozieren.

1. Phishing – gefälschte E-Mails oder Websites zur Datendiebstahl.
2. Pretexting – Vortäuschung falscher Identitäten, um sensible Infos zu erhalten. Das beste Beispiel hierfür ist der Enkeltrick, bei dem sich Betrüger in der Regel als Verwandte – oft Enkelkinder – ausgeben und täuschen eine Notsituation vor, um Geld zu erschleichen.
3. Baiting – Lockangebote (z.B. infizierte USB-Sticks) für neugierige Opfer.

1. Spear Phishing – gezielte, personalisierte Phishing-Angriffe auf Einzelpersonen.
2. Vishing/Smishing – Phishing via Telefon (Vishing) oder SMS (Smishing): anders als beim Pretexting, bei dem persönliche, emotionale Bindungen und vertrauliche Rollen ausgenutzt werden, setzen Vishing- und Smishing-Angriffe häufig auf die Erzeugung eines behördlichen oder autoritären Drucks. Die Angreifer täuschen dabei eine dringende Situation vor und bewegen die Opfer so dazu, vertrauliche Informationen preiszugeben oder bestimmte Aktionen auszuführen.
3. Deepfake-Betrug – Manipulierte Audio-/Videoinhalte zur Täuschung.
4. Angriffe durch KI-generierte Inhalte – täuschend echte E-Mails oder Chatbots zur Manipulation.
5. Business Email Compromise (BEC) – Manipulation von Geschäftskommunikation für Betrugszwecke.

Cyberangriffe wie Phishing, Pretexting, Spear Phishing, Vishing, Smishing und Deepfakes basieren auf Täuschung und Manipulation. Ziel dieser Angriffe ist es, unwissende Nutzer:innen dazu zu bringen, sensible Informationen preiszugeben oder schädliche Aktionen auszuführen.

Besonders im Fall von Vishing und Smishing ist es wichtig, dass Nutzer:innen lernen, Anfragen telefonisch oder per SMS kritisch zu hinterfragen – selbst bei scheinbar vertrauten Absendern – und bei Unsicherheiten Rückfragen über offizielle Kanäle zu stellen.

Fortgeschrittene Angriffsmethoden wie Deepfake-Technologien erfordern ein hohes Maß an Wachsamkeit und spezielle Schulungen, damit Mitarbeitende manipulierte Inhalte erkennen und sich von täuschend echten Simulationen nicht in die Irre führen lassen. Um sich gegen solche Risiken zu schützen, sollten Unternehmen klare Sicherheitsprozesse etablieren. So könnte beispielsweise jede Anweisung zu Überweisungen – selbst wenn sie angeblich vom CFO stammt – nur nach expliziter Rückfrage und Freigabe ausgeführt werden. Diese zusätzlichen Sicherheitsprüfungen tragen dazu bei, potenzielle Täuschungen rechtzeitig aufzudecken und finanzielle Schäden zu vermeiden.

Als wäre das alles nicht genug, existieren zudem zahlreiche Social-Engineering-Methoden, die sowohl menschliche Interaktionen als auch Schwachstellen in Webdesign und Benutzeroberflächen ausnutzen.

Ein Beispiel ist Clickjacking: Dabei wird ein unsichtbarer Button über eine legitime Webseite gelegt. Nutzer klicken unwissentlich auf eine harmlose Schaltfläche (z. B. „PLAY“), die jedoch eine andere, unerwünschte Aktion auslöst (z. B. „PAY“). Clickjacking ist somit ein Mix aus Social Engineering und technischer Manipulation, der die Interaktion auf Webseiten missbraucht.

Cyberkriminelle setzen weiterhin auf die Verschlüsselung von Daten, um anschließend Lösegeld einzufordern. In Anbetracht dessen ist der Trend zu „Ransomware-as-a-Service“ (RaaS) besonders besorgniserregend. Denn diese Dienste ermöglichen es auch unerfahrenen Kriminellen ohne technisches Know-how, effektive Ransomware-Angriffe durchzuführen. So können selbst Anfänger leicht an fertige Angriffswerkzeuge gelangen, was die Bedrohungslage weiterhin verschärft.

Bildungseinrichtungen, Regierungsbehörden und der Gesundheitssektor sind besonders häufig von Cyberangriffen betroffen, vor allem durch Ransomware.

Die große Menge an vertraulichen Daten, die hier gesammelt wird, macht sie zu attraktiven Zielen. Bildungseinrichtungen und Behörden verwalten sensible Informationen oft ohne höchste Sicherheitsstandards, und der Gesundheitssektor ist besonders gefährdet, da medizinische Daten unverzichtbar für die Versorgung sind.

Ein Angriff, der Systeme lahmlegt, kann hier sogar Leben gefährden.

Cyberkriminelle nutzen diese Abhängigkeit gezielt aus und erpressen hohe Lösegelder, da Gesundheitsorganisationen oft unter Druck zahlen müssen, um den Betrieb wiederherzustellen. Dasselbe gilt für Unternehmen und Organisationen der kritischen Infrastrukturen (KRITIS).

Die Kombination aus wertvollen Daten und unverzichtbaren Diensten macht diese Sektoren besonders attraktiv für Kriminelle.

Wie bei jeder großen Veränderung muss zunächst ein Problembewusstsein – in diesem Fall für Cyberbedrohungen und -sicherheit – geschaffen werden, um eine Verhaltensänderung hin zu einem sicheren, digitalen Umgang zu erreichen.
Dabei ist es wichtig, IT Security Awareness auf Augenhöhe und praxisnah zu gestalten, damit Einzelne motiviert sind und sich befähigt fühlen, Cybersecurity tatsächlich anzuwenden.

Lange galt der Mensch in der IT Security Awareness als „Sicherheitslücke“ oder „Schwachstelle“. Doch ein Perspektivwechsel ist hilfreich: In den meisten Fällen stehen Mitarbeitende unwissend in der ersten Verteidigungslinie, wenn Hacker technische Schwachstellen oder menschliches Verhalten ausnutzen.

Das wahre Risiko ist daher das fehlende Wissen – nicht die Untätigkeit.

Sicherheitsmaßnahmen sind immer nur so gut, wie die Menschen, die sie nutzen.
Daher betrachten wir den Menschen nicht einfach nur als Schwachstelle, sondern vor allem als einsetzbares, proaktives Abwehrschild gegen Cyberangriffe.

Statt den „Faktor Mensch“ destruktiv oder problematisch zu sehen, betrachten wir ihn lieber als Human Firewall – denn die Technologie sinnvoll einzusetzen und Mensch und Maschine enger zu verknüpfen, ist unseres Erachtens ein zentraler Teil der Lösung.

Wir haben die Erfahrung gemacht, dass Sicherheit auch selbstbewusstes Handeln erfordert. Personen, die als Sicherheitsfaktor einbezogen werden und regelmäßig geschult werden, fühlen sich unserer Erfahrung nach befähigt und ermutigt, im Sinne des Unternehmens zu agieren und selbstbewusst Sicherheitsmaßnahmen zu ergreifen oder auch auf Auffälligkeiten hinzuweisen.

Im Gegensatz dazu neigen Menschen, die sich übersehen oder als Sündenbock fühlen, dazu, wegzuschauen, da ihre Fähigkeiten nicht gefördert werden und somit keine intrinsische Motivation für die Unternehmens-Sicherheit entsteht.

Auch die Bereitschaft, sich mit neuen Technologien oder Apps zur Verbesserung der Sicherheitskultur auseinanderzusetzen, hängt sehr stark davon ab, inwiefern Mitarbeitende hierzu motiviert und in ihrem Engagement unterstützt werden.

Um Angriffen vorzubeugen und riskantes Nutzerverhalten zu reduzieren, ist es entscheidend, eine starke Sicherheitskultur zu etablieren. Unsere Lösungen helfen effektiv dabei, Probleme im Zusammenhang mit Social Engineering und Ransomware frühzeitig zu erkennen.

Wir bieten innovative IT Security Awareness Schulungsprogramme, regelmäßige Vor-Ort-Trainings sowie computerbasierte und automatisierte Awareness-Lösungen, die individuell aufgebaut werden können. Dazu gehören simulierte Phishing-Tests, die das Verhalten und die Nutzerattribute aller Mitarbeitenden berücksichtigen, um einzigartige Phishing-Kampagnen und Trainingsmodule zu gestalten.

Zusätzlich bieten wir vollautomatisches E-Trainings an, um Unternehmen langfristig zu sensibilisieren und vor Cyberbedrohungen zu schützen. Regelmäßige Reports und Analysen liefern in diesem Rahmen wertvolles Feedback, um dauerhaft wachsam gegenüber Cyber-Bedrohungen zu bleiben und ein sicheres und verantwortungsbewusstes digitales Verhalten im Unternehmen zu fördern.

Jetzt direkt uns den Perspektivwechsel vornehmen: Von der Schwachstelle Mensch zum fähigen Verteidiger!

Wir freuen uns, wenn Sie sich melden!