Le point faible de l'homme dans le collimateur des pirates

Security Spear-Phishing bedroht SAP-Sicherheit

SAP-Daten zählen zu den begehrtesten Objekten von Cyberkriminellen. Als besonders lohnenswert erscheint der Diebstahl von vertriebs- und personenbezogenen Kundendaten, geistigem Eigentum und Finanzdaten, die einen Hebel für Insiderhandel, Absprachen und Betrugsdelikte bieten. Kein Wunder also, dass sich die Angreifer immer ausgeklügeltere Methoden einfallen lassen, um Zugriff auf geschäftskritische SAP-Systeme zu erhalten. So gerät neben technischen Sicherheitslücken verstärkt die Schwachstelle Mensch ins Visier. Um diese auszunutzen, senden die Betrüger den SAP-Anwendern vorgeblich im Namen von Vorgesetzten, Mitarbeitern oder Kollegen täuschend echt wirkende Spear-Phishing-Mails. Die dafür erforderlichen Unternehmens- und Mitarbeiterinformationen haben sie zuvor akribisch in den sozialen Medien und anderen Internet-Quellen recherchiert.

In diese Phishing-Mails packen die Angreifer plausibel erscheinende Aufforderungen, um ihre potenziellen Opfer zur Preisgabe hochsensibler Daten zu verleiten. Damit die Empfänger die eingehenden Mails unüberlegt öffnen und den Anweisungen Folge leisten, setzen die Betrüger auf bewährte psychologische Tricks. Zu den am meisten verbreiteten emotionalen Einflussfaktoren zählen: Autoritätsgläubigkeit (die Hacker geben sich als Mitglied der Geschäftsleitung aus und fordern den Mitarbeiter zur Herausgabe von Finanzdaten auf, um sich Überblick über die Geschäftsentwicklung zu verschaffen), Zeitdruck, Angst und Neugier.

Security-Awareness-Trainings

Viele Unternehmen haben mittlerweile die Gefahr erkannt, die von Spear-Phishing-Attacken für ihre SAP-Sicherheit ausgeht. So ist auch bei SAP-Kunden eine verstärkte Nachfrage nach Security-Awareness-Trainings zu verzeichnen, die Mitarbeiter gegen Phishing-Angriffe wappnen sollen. Doch reichen die klassischen Angebote dafür nicht aus. Da sich die Trainings auf die Vermittlung theoretischen Wissens im Rahmen von Präsenzschulungen, E-Learnings und Webinaren fokussieren, wird dabei ausschließlich die rationale Entscheidungsfähigkeit der Teilnehmer verbessert.

Spear-Phishing-Angriffe hingegen zielen auf die schnellen, intuitiven Entscheidungen von E-Mail-Empfängern. Daher sollten die Awareness-Trainings um Spear-Phishing-Simulationen ergänzt werden, die echte Unternehmens- und Mitarbeiter-informationen verwenden, um authentische Attacken nachzustellen. Doch statt am Haken der Betrüger landen die Mitarbeiter direkt auf einer interaktiven Erklärseite. Hier wird ihnen Schritt für Schritt gezeigt, woran sie die gefälschten E-Mails hätten erkennen können: zum Beispiel an Buchstabendrehern in der Adresszeile, abweichenden URLs oder Subdomains. 

Phishing-Simulationen sind besonders effektiv, weil sie den „Most Teachable Moment“ eines Mitarbeiters nutzen und ihm sein Fehlverhalten direkt beim Angriff vor Augen führen. Dieser „Schockeffekt“ sorgt dafür, dass er künftig vorsichtiger mit eingehenden E-Mails umgeht. Damit der Lerneffekt anhält, sollten die Spear-Phishing-Simulationen regelmäßig wiederholt und aktualisiert werden. Um Mitarbeitern das Gefühl zu nehmen, kontrolliert oder sogar hereingelegt zu werden, sollten die Unternehmen geplante Phishing-Simulationen rechtzeitig kommunizieren. 

Wichtig ist zudem, die Trainings am individuellen Lernbedarf der Mitarbeiter auszurichten und die Lernfortschritte zu dokumentieren. Mit dem Employee-Security-Index (ESI) steht eine realitätsnahe und reproduzierbare Methode zur Awareness-Messung zur Verfügung. Der ESI liefert greifbare und verlässliche Kennzahlen zum Sicherheitsverhalten der Mitarbeiter bei Phishing-Simulationen verschiedener Schwierigkeitsgrade. So wird es einem Unternehmen möglich, die Lernfortschritte der Belegschaft zu kommunizieren und ein gemeinsames Ziel zu definieren, für das IT-Sicherheitsverantwortliche, Management und Mitarbeiter an einem Strang ziehen.