idw – Informationsdienst Wissenschaft

Nachrichten, Termine, Experten

Grafik: idw-Logo
Grafik: idw-Logo

idw - Informationsdienst
Wissenschaft

Science Video Project
idw-Abo

idw-News App:

AppStore

Google Play Store



Instanz:
Teilen: 
09.06.2020 10:35

Phishing-Kampagnen und ihre Fallstricke

Monika Landgraf Strategische Entwicklung und Kommunikation - Gesamtkommunikation
Karlsruher Institut für Technologie

    Gefälschte E-Mails sind der meistgenutzte Weg von Cyberkriminellen, um sich vertrauliche Daten zu erschleichen oder Schadprogramme einzuschleusen. Manche Unternehmen versuchen, die Resistenz ihrer Mitarbeitenden gegen solche Angriffe mit Hilfe von Phishing-Kampagnen zu prüfen und vermeintlich zu verbessern. Dabei werden den Angestellten bewusst simulierte Phishing-Mails geschickt. Der Bericht der Wissenschaftlerinnen des Karlsruher Instituts für Technologie (KIT) und der Ruhr Universität Bochum beleuchtet Phishing-Kampagnen unter den Aspekten „Security, Recht und Faktor Mensch“.

    Gefälschte E-Mails sind der meistgenutzte Weg von Cyberkriminellen, um sich vertrauliche Daten zu erschleichen oder Schadprogramme einzuschleusen. Manche Unternehmen versuchen, die Resistenz ihrer Mitarbeitenden gegen solche Angriffe mit Hilfe von Phishing-Kampagnen zu prüfen und vermeintlich zu verbessern. Dabei werden den Angestellten bewusst simulierte Phishing-Mails geschickt. Der Bericht der Wissenschaftlerinnen des Karlsruher Instituts für Technologie (KIT) und der Ruhr Universität Bochum beleuchtet Phishing-Kampagnen unter den Aspekten „Security, Recht und Faktor Mensch“.

    Sie geben sich den Anschein von Glaubwürdigkeit: gefälschte E-Mails, deren Absender sich als bekannte Dienstleister, Kollegen oder Vorgesetzte ausgeben. Ihr Ziel: arglose Empfängerinnen und Empfänger dazu zu verleiten, auf einen Link zu klicken, um in der Folge Kontodaten und Passwörter abzufischen oder Schadprogramme aufzuspielen. Es genügt, dass ein einzelner Angestellter einem Phishing-Angriff Glauben schenkt, um großen Schaden zu verursachen. Um zu testen, wie ihre Mitarbeiterinnen und Mitarbeiter auf Phishing-Mails reagieren, nutzen manche Firmen und Institutionen Phishing-Kampagnen externer Dienstleister. Mit Wissen der Unternehmensleitung werden fingierte Phishing-Mails an die Angestellten geschickt.

    „Die Kampagnen haben das Ziel, Mitarbeiterinnen und Mitarbeiter bewusst zu täuschen, um sie vor realen Gefahren zu schützen und ein Problembewusstsein zu schaffen, aber es herrschen oft Unsicherheiten darüber, was rechtlich, sicherheitstechnisch und ethisch vertretbar ist“, so die Wissenschaftlerinnen. Diese drei Aspekte beleuchten die beiden Professorinnen Melanie Volkamer, Leiterin der Forschungsgruppe SECUSO – Security, Usability and Society am KIT, und Franziska Boehm vom Zentrum für Angewandte Rechtswissenschaft des KIT gemeinsam mit der Bochumer Professorin für Human-Centred Security am Horst-Görtz-Institut für IT Sicherheit, M. Angela Sasse. Ihr online frei zugänglicher Forschungsbericht beschreibt verschiedene Gestaltungsformen und -ziele von Phishing-Kampagnen und damit verbundene Fragen im Kontext von IT- und Informationssicherheit, Fragen zum Arbeitnehmer- und Datenschutz sowie Fragen der Vertrauenskultur und der Selbstwirksamkeit von Angestellten. Er nimmt die Aussagekraft und Fallstricke der Kampagnen in den Blick und bietet Information unter anderem für IT- und Informationssicherheitsbeauftragte.

    „Phishing-Kampagnen bringen eine Reihe von Sicherheitsproblemen mit sich, und sie beeinflussen die Vertrauens- und Fehlerkultur in einem Unternehmen stark; auch rechtlich ist einiges zu berücksichtigen“, sagt Boehm, die neben ihrer Professur am KIT auch Bereichsleiterin für Immaterialgüterrechte in verteilten Informationsinfrastrukturen (IGR) am FIZ Karlsruhe – Leibniz-Institut für Informationsinfrastruktur ist. „Eine Kampagne zu starten ohne die Angestellten vorher darüber aufzuklären, ist schlicht unfair und trägt nicht zum Vertrauen in die Leitung bei“, sagt Sasse, die am Exzellenzcluster Cyber-Sicherheit im Zeitalter großskaliger Angreifer, kurz CASA, forscht und Abschlüsse in Arbeitspsychologie und Informatik hat. Zu erfahren, dass man auf Phishing-Nachrichten hereingefallen ist, wirke sich schlecht auf die Selbstwirksamkeit aus: „Die Angestellten merken, dass sie keine Kontrolle über die Situation haben und reagieren mit Resignation, sie bemühen sich nicht einmal mehr, Phishing-Nachrichten zu erkennen“, stellen die Autorinnen fest.

    „Wenn die Mitarbeiter aber wissen, dass die Kampagne läuft, sind sie vielleicht neugierig und klicken eine Mail an, in der Annahme, da kann nichts passieren, die Mail ist ja fingiert. Da aber weiterhin echte Phishing-Mails im Umlauf sind, wird das Schutzniveau herabgesetzt“, sagt Volkamer, die am Kompetenzzentrum für angewandte Sicherheitstechnologie (KASTEL) Karlsruhe forscht, einem von deutschlandweit drei Kompetenzzentren für Cybersicherheit. Verstärkt wird das Problem, wenn ein Mitarbeiter merkt, dass er doch einen gefährlichen Link angeklickt hat und sich nicht traut, dies zu melden. Im Unternehmen sollte deshalb vor Start einer Phishing-Kampagne bereits eine Meldepflicht von IT-Sicherheitsvorfällen etabliert sein, betont die Informatikerin.

    Bei einer angekündigten Kampagne sei zu erwarten, dass die Mitarbeitenden weitaus mehr Nachrichten kritisch hinterfragen und übervorsichtig sind, dadurch könne sich der Zeit- und Leistungsdruck erhöhen, was sich ebenfalls negativ auf das Vertrauen in die Geschäftsleitung auswirke. „Security wird meist ohnehin als lästig und störend empfunden, aus unserer Sicht ist es ein großes Problem von Phishing-Kampagnen, dass sie das Thema noch negativer belegen, denn letztlich greift dabei die Leitung ihre Angestellten an“, sagt Sasse. Die Autorinnen raten Unternehmen, die ihre IT-Sicherheit stärken wollen, Zeit und Geld in erster Linie in eine Verbesserung der technischen Sicherheitsmaßnahmen zu investieren und erst dann die Angestellten zu schulen, welche Phishing-Nachrichten sie trotz der aktuellsten Sicherheitssoftware und des neuesten Betriebssystems noch erreichen können und wie sie diese erkennen.

    Originalpublikation:

    Melanie Volkamer (KIT, SECUSO, KASTEL), M. Angela Sasse (RUB, CASA), Franziska Boehm (KIT, FIZ): Phishing-Kampagnen zur Mitarbeiter-Awareness. Analyse aus verschiedenen Blickwinkeln: Security, Recht und Faktor Mensch.

    https://publikationen.bibliothek.kit.edu/1000119662

    Weitere Materialien:

    Zum Bericht: https://publikationen.bibliothek.kit.edu/1000119662

    Weiterer Kontakt:

    Carola Mensch, Redakteurin/Pressereferentin, Tel.: +49 721 608-21170, E-Mail: carola.mensch@kit.edu

    Als „Die Forschungsuniversität in der Helmholtz-Gemeinschaft“ schafft und vermittelt das KIT Wissen für Gesellschaft und Umwelt. Ziel ist es, zu den globalen Herausforderungen maßgebliche Beiträge in den Feldern Energie, Mobilität und Information zu leisten. Dazu arbeiten rund 9.300 Mitarbeiterinnen und Mitarbeiter auf einer breiten disziplinären Basis in Natur-, Ingenieur-, Wirtschafts- sowie Geistes- und Sozialwissenschaften zusammen. Seine 24.400 Studierenden bereitet das KIT durch ein forschungsorientiertes universitäres Studium auf verantwortungsvolle Aufgaben in Gesellschaft, Wirtschaft und Wissenschaft vor. Die Innovationstätigkeit am KIT schlägt die Brücke zwischen Erkenntnis und Anwendung zum gesellschaftlichen Nutzen, wirtschaftlichen Wohlstand und Erhalt unserer natürlichen Lebensgrundlagen. Das KIT ist eine der deutschen Exzellenzuniversitäten.

    Diese Presseinformation ist im Internet abrufbar unter: http://www.sek.kit.edu/presse.php


    Bilder

    Öffnen oder nicht? Die Absender von Phishing-Mails geben sich oft als bekannte Dienstleister oder Kollegen aus. (Foto: Amadeus Bramsiepe, KIT)
    Öffnen oder nicht? Die Absender von Phishing-Mails geben sich oft als bekannte Dienstleister oder Ko ...
    Amadeus Bramsiepe, KIT
    Amadeus Bramsiepe, KIT


    Anhang
    attachment icon Phishing-Kampagnen und ihre Fallstricke

    Merkmale dieser Pressemitteilung:
    Journalisten
    Gesellschaft, Informationstechnik, Medien- und Kommunikationswissenschaften, Wirtschaft
    überregional
    Forschungs- / Wissenstransfer, Forschungsprojekte
    Deutsch


     

    Hilfe

    Die Suche / Erweiterte Suche im idw-Archiv
    Verknüpfungen

    Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.

    Klammern

    Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).

    Wortgruppen

    Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.

    Auswahlkriterien

    Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).

    Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).