Cybersecurity Awareness Key Take-Aways

Key Take-Aways vom Workshop "Phishing – bitte nicht anbeißen!"

Herzlichen Dank für Ihre Teilnahme an diesem Cyberseucrity Awareness-Workshop. Sich mit dem Gefahren für Ihr Unternehmen grundsätzlich zu befassen, ist ein wichtiger Schritt der Risikoanalyse hin zu mehr Sicherheit.

Zu den zu treffenden Maßnahmen um die IT-Sicherheit zu erhöhen, gehören selbstverständlich unzählige technische Maßnahmen und Analysen, wie beispielsweise Penetrationstests. Doch auch andere Angriffsvektoren, müssen weiterhin mitbetrachtet werden.

Phishing ist und bleibt ein Thema. Die schlechte Nachricht ist, gegen einige Phishingmethoden hilft nur im Fall der Fälle, schnell zu schalten, mitzudenken und zu hinterfragen. Die gute Nachricht ist jedoch: Bei anderen Phishingmethoden sind auch technische Maßnahmen äußerst wirkungsvoll.

Arten von Phishing

Phishing

– Massenversand gefälschter E-Mails an eine breite Zielgruppe.
– Versucht, Empfänger dazu zu verleiten, auf gefälschte Links zu klicken oder sensible Informationen preiszugeben.
– Häufig durch gefälschte Anmelde- oder Zahlungsseiten.

Spear-Phishing

– Gezielte Angriffe auf einzelne Personen oder Gruppen.
– Angreifer sammeln Informationen über das Opfer, um personalisierte und überzeugende E-Mails zu erstellen.
– Versucht, Vertrauen zu gewinnen, um schädliche Aktionen auszuführen.

Whaling

– Gezielter Angriff auf hochrangige Führungskräfte oder Entscheidungsträger in Unternehmen.
– Zielt auf große finanzielle Gewinne oder den Zugang zu sensiblen Unternehmensdaten ab.
– Kann schwerwiegende Folgen für Unternehmen haben.

Smishing

– Phishing-Angriffe über SMS-Nachrichten (Textnachrichten).
– Versucht, Empfänger dazu zu bringen, auf Links zu klicken oder persönliche Informationen preiszugeben.
– Nutzt oft dringende oder lockende Nachrichten, um eine sofortige Reaktion zu provozieren.

Vishing

– Phishing-Angriffe über Telefonanrufe (Voice Phishing). Wichtig: Angreifer können grundsätzlich mit jeder Telefonnummer anrufen!
– Betrüger geben sich als vertrauenswürdige Personen oder Organisationen aus, um vertrauliche Daten zu erhalten.
– Versuchen, Angst oder Dringlichkeit zu erzeugen, um Opfer dazu zu bringen, Informationen preiszugeben.
– Eine besonders perfide Masche sind sogenannte Schockanrufe, welche die Angerufenen in absolute Stresssituationen versetzen, um rationale Entscheidungen zu torpedieren.

Diese verschiedenen Arten von Phishing-Angriffen variieren in ihren Zielen, Taktiken und Komplexitätsgraden. Sie alle zielen jedoch darauf ab, Nutzer dazu zu verleiten, persönliche oder sensible Informationen preiszugeben oder auf schädliche Links zu klicken. Unternehmen und Einzelpersonen sollten sich dieser unterschiedlichen Phishing-Techniken bewusst sein und entsprechende Maßnahmen ergreifen, um sich vor diesen Bedrohungen zu schützen.

Zehn wirksame Tipps, um Ihr Unternehmen besser vor Phishing zu schützen

SPF (Sender Policy Framework)

– Definiert autorisierte IP-Adressen oder Server, die E-Mails von einer Domain senden dürfen.
– Ermöglicht Empfängern, die Absenderauthentizität zu prüfen.
– Verhindert, dass nicht autorisierte Server gefälschte E-Mails im Namen einer Domain senden.

DKIM (DomainKeys Identified Mail):

– Fügt eine digitale Signatur zu ausgehenden E-Mails hinzu.
– Signiert Teile der E-Mail mit einem kryptografischen Schlüssel.
– Empfänger können die Signatur überprüfen, um die Echtheit des Absenders zu bestätigen.

DMARC (Domain-based Message Authentication, Reporting, and Conformance):

– Verknüpft SPF und DKIM mit einer Policy für E-Mail-Zustellung.
– Legt fest, wie Empfänger mit nicht authentifizierten E-Mails umgehen sollen.
– Ermöglicht es Domaininhabern, Berichte über E-Mail-Aktivitäten zu erhalten.

Gemeinsame Wirkung:

– SPF, DKIM und DMARC ergänzen sich, um E-Mail-Authentifizierung zu stärken.
– SPF verhindert gefälschte Absender durch Autorisierung von sendenden Servern.
– DKIM bestätigt die Echtheit des Absenders durch digitale Signaturen.
– DMARC stellt sicher, dass SPF- und DKIM-Richtlinien befolgt werden.

Gegenmaßnahme gegen Spoofing:

– Die Kombination von SPF, DKIM und DMARC erschwert das Spoofing von E-Mail-Absendern erheblich.
– Angreifer können nicht einfach gefälschte E-Mails im Namen einer legitimen Domain senden.
– Empfänger können die Authentizität von E-Mails besser verifizieren und sind weniger anfällig für Phishing-Angriffe.

Mit diesem Tool, können Sie Ihre DNS-Einträge kostenlos überprüfen: MX-Toolbox

S/MIME (Secure/Multipurpose Internet Mail Extensions) ermöglicht die Verschlüsselung von E-Mails und die digitale Signatur von Nachrichten.

Durch Verschlüsselung wird sichergestellt, dass nur der beabsichtigte Empfänger die Inhalte lesen kann und verhindert, dass Angreifer die Kommunikation abfangen.

Digitale Signaturen bieten eine Authentifizierung des Absenders und erschweren das Imitieren von Nutzern.

Passwort-Manager bieten eine sichere Möglichkeit, starke und einzigartige Passwörter für verschiedene Konten zu generieren und zu speichern.

Sie überprüfen automatisch die Ziel-URLs und warnen den Benutzer, wenn er auf gefälschte Phishing-Seiten geleitet wird.

Das Verwenden von Passwort-Managern reduziert das Risiko von Phishing-Angriffen, bei denen sensible Zugangsdaten gestohlen werden könnten.

Setzen Sie wann immer möglich, eine 2-Faktor-Authentifizierung ein. Dies wird von den meisten Passwort-Managern unterstützt.

Makros in Office-Dokumenten können von Angreifern verwendet werden, um Schadcode auszuführen.

Es empfiehlt sich, Makros standardmäßig zu deaktivieren und nur in spezifischen Fällen zu erlauben, wenn sie digital signiert und von vertrauenswürdigen Quellen stammen.

E-Mail-Filter können verdächtige E-Mails erkennen und in den Spam-Ordner verschieben oder blockieren.

Intelligente Filter nutzen Techniken wie maschinelles Lernen, um sich kontinuierlich zu verbessern und neue Phishing-Muster zu erkennen.

Sensibilisieren Sie alle Mitarbeitenden über die Risiken von Phishing und wie man verdächtige E-Mails erkennt.

Regelmäßige Schulungen stellen sicher, dass alle auf dem neuesten Stand sind und sich der Gefahren bewusst bleiben.

Bestimmen Sie klare Ansprechpartner im Unternehmen, die im Falle eines Phishing-Vorfalls informiert werden sollen.

Schnelles Handeln ist entscheidend, um die Auswirkungen von Phishing-Angriffen zu begrenzen und weitere Schäden zu verhindern.

Mitarbeitende sollten ermutigt werden, Phishing-Vorfälle oder verdächtige Aktivitäten zu melden, ohne Angst vor Konsequenzen zu haben.

Durch eine offene Fehlerkultur werden Sicherheitsprobleme schneller erkannt und behoben.

Vorsicht ist geboten, wenn E-Mails unerwartete Links oder Anhänge enthalten oder einen ungewöhnlichen Ton haben.

Wenn eine E-Mail verdächtig erscheint, ist es sicherer, den Link nicht zu öffnen und stattdessen den Absender zu verifizieren.

Wenn Mitarbeitende unsicher sind, ob eine E-Mail legitim ist, sollten sie den vermeintlichen Absender über einen anderen, unabhängigen Kanal kontaktieren, um die Echtheit der Nachricht zu überprüfen.

Dies kann verhindern, dass auf Phishing-Links geklickt oder sensible Informationen preisgegeben werden.

    Kontaktformular

    Nehmen Sie gerne mit uns Kontakt auf

    Wir beantworten Ihre Rückfragen gerne und erstellen Ihnen jederzeit ein individuell auf Sie zugeschnittenes Angebot.

    Was wir Ihnen bieten

    Mit unserer Expertise aus offensiver und defensiver Cybersicherheit haben wir uns sowohl auf die präventive als auch reaktive Abwehr von Cybersicherheitsvorfällen spezialisiert. Um Sie möglichst breit von unserem Expertenwissen und unserer Erfahrung profitieren lassen zu können, bieten wir Ihnen ein umfassendes Dienstleistungsportfolio an.

    Penetrationtesting

    Erfahren Sie, wie Angreifer Ihre Infrastruktur, Ihre Services und Ihre Konzepte betrachten und ausnutzen können.

    Wir finden die Schwachstellen in Ihrem Unternehmen!

    Netzwerk

    Die interne und externe Angriffsfläche auf dem Prüfstand. Bei einem Netzwerk PenTest überprüfen wir Ihr Netzwerk und Ihre Netzwerk-Infrastruktur.

    Mehr erfahren

    Kubernetes

    Cluster und Container auf Kubernetes-Basis, ob K8s oder K3s, finden in unterschiedlichsten Bereichen Anwendung. Sie erfordern jedoch auch ein besondere Art der Analyse.

    Mehr erfahren

    Cloud & IaaS

    Cloud und Infrastructer-as-a-Service, ebenso wie Infrastructure-as-Code, erleichtern die Skalierung. Sie implizieren jedoch keine Sicherheit.

    Mehr erfahren

    OT & IoT

    Eingebettete Systeme, ob in der Operational Technology oder in Geräten des Internet-of-Things: Angreifer können hier Schwachstellen ausnutzen, um in der physischen Welt eine Wirkung zu erzielen.

    Mehr erfahren

    Cyber Security Assessment (CSA)

    Automatisierte, regelmäßige Schwachstellenanalysen mit einer qualifizierten Aussage zum Status-Quo ergeben im Zusammenspiel mit dem Patch-Management eine Basis-Analyse der IT-Sicherheit.

    Mehr erfahren

    Web-Applikationen

    Web-Applikationen sind ein häufiges Einfallstor für Angreifer. Bei einem Web-App PenTest überprüfen unsere Experten Ihre Anwendungen.

    Mehr erfahren

    ActiveDirectory

    Das ActiveDirectory Ihres Unternehmen beherbergt die Kronjuwelen und ist Ziel Nummer 1 für Hacker, die es auf Ihr Unternehmen abgesehen haben.

    Mehr erfahren

    API

    APIs sind das Herzstück unterschiedlichster Anwendungen: Von Web bis Smartphone-Apps.

    Mehr erfahren

    Attack Simulations

    Neben technischen Schwachstellen, gilt es auch, die Prozesse, Intrusion Detection und Prevention Systeme sowie die Handlungsfähigkeit von Entscheidern und Verteidigern auf die Probe zu stellen und zu trainieren.

    Nutzen Sie unsere Expertise als Angreifer, um bei einer Angriffsimulation von und mit uns zu lernen.

    Red Teaming

    Wir agieren wie Advanced Pesistent Threats und prüfen nicht nur Ihre Infrastruktur, sondern auch Ihre IT-Sicherheits-Maßnahmen,  Konzepte und Verteidiger. Erkennt Ihr IDS den Angriff?

    Assume Breach

    Erkennen Ihre Verteidiger, wenn sich die Angreifer bereits im internen Netzwerk befinden? Sind Sie handlungssicher und können mit einem Incident umgehen?

    Gehen Sie davon aus, dass Sie gehackt werden!

    Netzwerk-Penetrationstest

    Wir finden Ihre Schwachstellen, indem wir Ihr Netzwerk gründlich und professionell untersuchen und Sie dabei unterstützen, Risiken frühzeitig und nachhaltig zu begegnen.

     

    Applikations-Penetrationstest

    Wir testen Ihre unternehmenseigenen Applikationen eingehend auf Schwachstellen. Damit Sie diese beheben, bevor andere sie finden.

     

    Attack Simulation

    Wir agieren wie Advanced Pesistent Threats und prüfen nicht nur Ihre Infrastruktur, sondern auch Ihre IT-Sicherheits-Maßnahmen,  Konzepte und Verteidiger. Erkennt Ihr IDS den Angriff?

     

    Cyber Security Assessment

    Wir prüfen Ihre digitale Infrastruktur einmalig oder auf Wunsch regelmäßig auf Schwachstellen und zeigen Ihnen, wo und wie Sie ihre Sicherheit verbessern können.

     

    Schulungen, Trainings und Workshops

    “Train as you fight” – das gilt nicht nur für Angreifer und Verteidiger, sondern auch für alle anderen Mitarbeitenden.

    Steigern Sie mit uns die Skills und die Awareness Ihrer Verteidigung!

    Mitarbeiter Awareness Schulungen

    Es heißt, die Mitarbeitenden sind das schwächste Glied in der Kette der IT-Sicherheitsverteidiung. Auch wenn diese Ansicht durchaus diskutabel ist, ist der Mehrwert von Schulungen zur Steigerung des Bewusstseins der Mitarbeitenden für die Gefahren aus dem Cyberraum unbestritten. Wir helfen Ihnen, ein nachhaltig wirksames Mitarbeiter-Awareness-Programm auf- und umzusetzen.

    Live Hacking

    Das Event mit dem WOW-Effekt! Mitarbeitende zu sensibilisieren ist nicht immer einfach. Besonders für Laien, für die IT und IT-Sicherheit ein sehr abstraktes Feld ist, ist es oftmals schwer, die Anweisungen nachvollziehen zu können. Wir unterstützen Sie, indem wir ein auf Sie zugeschnittenes Live Hacking Event erstellen, in das wir Ihre Mitarbeitenden aktiv mit einbinden.

    Cyber Range

    Auf unseren Cyber Ranges können Ihre IT-Fachkräfte den Ernstfall trainieren, ohne die eigenen Produktionssysteme zu gefährden. Sie haben keine eigenen Testumgebungen? Kein Problem! Wir bereiten gerne individuell zugeschnittene Umgebungen vor, auf der Sie Hackerangriffe live mitverfolgen und die Verteidigung trainieren können.

    IT-Security Trainings

    Wir bieten ein umfangreiches Portfolio an IT-Schulungen und Weiterbildungen, um Ihre Fachkräfte auszubilden. Ob Administratoren, die wir bei der Einarbeitung in ein neues Tool unterstützen oder Fachinformatiker, denen wir zur Grundbefähigung zur Durchführung von Schwachstellenanalysen verhelfen - wir unterstützen Sie! Gerne bereiten wir Ihnen ein Angebot für eine Unternehmensspezifische Weiterbildung vor!

    Mitarbeiter Awareness Schulungen

    Es heißt, die Mitarbeitenden sind das schwächste Glied in der Kette der IT-Sicherheitsverteidiung.

    Auch wenn diese Ansicht durchaus diskutabel ist, ist der Mehrwert von Schulungen zur Steigerung des Bewusstseins der Mitarbeitenden für die Gefahren aus dem Cyberraum unbestritten.

    Wir helfen Ihnen, ein nachhaltig wirksames Mitarbeiter-Awareness-Programm auf- und umzusetzen.

     

    Live Hacking

    Das Event mit dem WOW-Effekt!

    Mitarbeitende zu sensibilisieren ist nicht immer einfach. Besonders für Laien, für die IT und IT-Sicherheit ein sehr abstraktes Feld ist, ist es oftmals schwer, die Anweisungen nachvollziehen zu können.

    Wir unterstützen Sie, indem wir ein auf Sie zugeschnittenes Live Hacking Event erstellen, in das wir Ihre Mitarbeitenden aktiv mit einbinden.

     

    Cyber Range

    Auf unseren Cyber Ranges können Ihre IT-Fachkräfte den Ernstfall trainieren, ohne die eigenen Produktionssysteme zu gefährden.

    Sie haben keine eigenen Testumgebungen? Kein Problem!

    Wir bereiten gerne individuell zugeschnittene Umgebungen vor, auf der Sie Hackerangriffe live mitverfolgen und die Verteidigung trainieren können.

     

     

    IT-Security Trainings

    Wir bieten ein umfangreiches Portfolio an IT-Schulungen und Weiterbildungen, um Ihre Fachkräfte auszubilden.

    Ob Administratoren, die wir bei der Einarbeitung in ein neues Tool unterstützen oder Fachinformatiker, denen wir zur Grundbefähigung zur Durchführung von Schwachstellenanalysen verhelfen - wir unterstützen Sie!

    Gerne bereiten wir Ihnen ein Angebot für eine Unternehmensspezifische Weiterbildung vor!

     

    WordPress Cookie Hinweis von Real Cookie Banner