Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

Testen Sie Ihre IT-Sicherheit bevor es der Hacker tut

Sensibilisierte Mitarbeitende mit einem geschärften Bewusstsein für Bedrohungen werden im Kampf gegen Cyberkriminelle wichtiger.

Immer mehr Firmen testen ihre IT-Sicherheit mit kontrollierten Phishing-und Social-Engineering- Attacken. Diese liefern Antworten auf Fragen wie:

  • Sind Sie in der Lage, Phishing-Attacken zu erkennen?
  • Wie vorsichtig sind Ihre Mitarbeitenden im Umgang mit Phishing-Mails?
  • Durch welche Art von Social Engineering sind Sie verwundbar?
  • Sind Sie gegenüber Ransomware Angriffen genügend sensibilisiert?

Phishing ...

  • ist eine Form von Social Engineering, d.h. die menschliche Sicherheitslücke wird von Kriminellen ausgenützt.
  • Via Mail und betrügerischen Webseiten versucht der Angreifer, sich als vertrauenswürdiges Gegenüber auszugeben.
  • Das Ziel: Dem Opfer sensitive Informationen wie Passwörter, Benutzernamen und Kreditkarteninformationen zu entlocken.

Professionelle Prävention
Mangelndes Phishing-Bewusstsein in der Schweiz ist eine bekannte Problematik. Security-Spezialist bietet deshalb Kampagnen zum Umgang mit sensitiven Informationen an. Teil davon können simulierte Phishing-Attacken sein, um Schwachstellen zu erkennen. Dazu wird meist ein professionelles Social-Engineering-Framework eingesetzt. Die Phishing-Kampagnen werden auf die Bedürfnisse der Firmenkunden zugeschnitten, denn jedes Unternehmen hat andere Schwachstellen und branchenbezogen auch andere Einfallstore.

Das Vorgehen bei einer simulierten Phishing-Kampagne:

  1. Definition von zeitlichem Umfang, firmeninterner Zielgruppe (z. B. HR, Management, Assistenzstellen, Verkauf), Medium und Aggressivität.
  2. Szenarios werden mit dem Auftraggeber besprochen, in einem Testlauf überprüft und für den effektiven Einsatz freigegeben.
  3. Ausführungsphase: Ein externer Security-Spezialist (sozusagen der Hacker im Auftrag des Firmenkunden) verschickt die Phishing-Nachrichten und erhebt die statistischen Daten über das Verhalten der Zielgruppe.
  4. Abschluss: Die erfassten Daten werden aufbereitet, Schlussfolgerungen abgeleitet und in einer Abschlusspräsentation vorgestellt. Im Zentrum stehen das Aufzeigen von Gefahren, die Sensibilisierung für das Thema Social-Engineering und der Lerneffekt für die einzelnen Teilnehmer im Unternehmen.

Cyber Defense: Von der Phishing-Kampagne zum Security Audit
Eine Phishing-Kampagne wird oft als Teil eines Auditprojektes durchgeführt, um die Sicherheitsüberprüfung eines Unternehmens zu ergänzen und einen vollständigen Überblick über die Sicherheit im Hinblick auf Cyberattacken zu geben. Eine simulierte Kampagne ist vielseitig einsetzbar:

  • Als eigenständiges Projekt
  • Im Rahmen eines Auditprojektes
  • Als Durchlässigkeitsprüfung für Mailfilter, Firewall und Proxy
  • Zur Überprüfung des Verhalten von Malware-Protection-Lösungen

Checkliste: Wie schützen Sie sich?

  • Erhöhen Sie die Achtsamkeit Ihrer Mitarbeiter: Security Awareness
  • Testen Sie Ihre Sicherheit mit simulierten Phishing-Angriffen
  • Besprechen Sie die Resultate nach solchen Tests (nobody is perfect)
  • Identifizieren Sie Risikogruppen (z.B. Schalterpersonal mit Erstkontakten zu den Einwohnern)
  • Planen Sie eine gestaffelte Durchführung für unterschiedliche Personengruppen (Management, HR, Verkauf etc.)
  • Implementieren Sie technische wie auch „erzieherische“ Massnahmen

Mehr Sicherheit durch Kombination
Sensibilisierung ist wichtig, genügt allein aber nicht. Kombinierte Sicherheitsmassnahmen minimieren das Risiko eines Datenverlustes. Unternehmen müssen die richtigen und aktuellen Tools in Form von Security-Hard- und -Software einsetzen. Sie müssen über Know-how verfügen um ein permanentes Security-Monitoring betreiben zu können. Und sie müssen ihren Schutz durch Schulung des Personals erhöhen, das die Bedrohungsszenarien kennt und die IT-Sicherheit in der täglichen Arbeit berücksichtigt.

Vorteile für Unternehmen, die auf Cyber Defense setzen

  • Keine Imageschäden
  • Keine kostspieligen Ransomware-Angriffe durch wachsame Kollegen in allen Abteilungen
  • Keinen Aufwand für die Bereinigung und Wiederherstellung Ihrer IT
  • Keine finanziellen Verluste

 Experte Mario Bischof auf Security-Finder Schweiz


Security-Finder Schweiz: Newsletter