Du Bist die Firewall

Du Bist die Firewall

Wie schütze ich mich gegen Social Engineering & Phishing?

Lernen Sie die Tricks der kriminellen Angreifer kennen, um gegen Social Engineering-Angriffe gewappnet zu sein und Ihr Unternehmen sicherer zu machen.

Nahezu 9 von 10 Unternehmen wurden bereits Opfer von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl, dabei entstand ein Schaden von rund 223 Mrd. Euro (Quelle: bitkom). Während im Jahr 2013 nur 17% aller Cyberangriffe eine Social-Engineering-Komponente enthielten, wird heute die überwiegende Mehrheit aller Angriffe durch Social Engineering – die gezielte Manipulation von Mitarbeitern, um Zugang zu sensiblen Informationen zu erhalten oder Schadsoftware auf Firmenrechnern zu platzieren – vorbereitet.

Diese Seite bietet Ihnen Ansatzpunkte, sich gegen Social Engineering-Angriffe zu wappnen: Welche Arten von Social Engineering gibt es? Was ist das Ziel der Angreifer? Wie wird konkret vorgegangen? Wie erkenne ich eine Phishing-E-Mail? Wie erkenne ich das Ziel eines Links? Auf diese Fragen finden Sie hier eine Antwort.

Viel Spaß – und bleiben Sie wachsam!

Du bist die Firewall deines Unternehmens!

Inhaltsübersicht

Basiswissen Phishing & Social Engineering. Lesezeit: 12 Minuten.

Der Begriff Social Engineering beschreibt zwischenmenschliche Techniken zur Beeinflussung anderer, mit deren Hilfe ein bestimmtes Ziel erreicht werden soll. Wird Social Engineering mit negativen Absichten vereint, kann es für schadhafte Zwecke eingesetzt werden. Bei Social Engineering-Angriffen werden alltägliche soziale Interaktionen (z.B. ein Telefongespräch oder eine E-Mail) genutzt. Der Angreifer versucht, die Zielperson dazu zu bringen, bestimmten Aufforderungen zu folgen und so Zugang zu Informationen oder Firmennetzwerken zu erlangen.
Da der Schutz durch technische Sicherheitssysteme immer schwieriger zu umgehen ist, gewinnt Social Engineering an Beliebtheit: Oft ist es technisch unmöglich, solche Angriffe zu erkennen. Daher ist es unabdingbar, dass jeder Mitarbeiter dem Thema IT-Security Aufmerksamkeit schenkt und sich möglicher Bedrohungen bewusst ist.
Sind Social Engineering-Angriffe erfolgreich, dann liegt das meist nicht an absichtlich böswilligem Verhalten der Mitarbeiter. Angreifer nutzen verschiedene psychologische Tricks und soziale Normen, um Situationen zu schaffen, die im ersten Moment als nicht gefährlich wahrgenommen werden. Die folgende Tabelle listet verschiedene menschliche Verhaltensmuster auf und verdeutlicht, wie diese bei Social Engineering-Angriffen ausgenutzt werden.

Verhalten

Szenario

mögliche Reaktion

mögliches Risiko

Vorurteile / Erwartungen
Ein Techniker verlangt Zutritt zum Serverraum.
Der Zutritt wird selbstverständlich gewährt.
Die Technikerkleidung stammt aus der Kostümkiste, Kriminelle können ungestört sensible Daten abgreifen.
Autoritätshörigkeit
Der Chef weist aus dem Urlaub eine dringende Zahlung an ein neues Partnerunternehmen an.
Der Anweisung wird schnell Folge geleistet.
Kriminelle haben öffentlich zugängliche Informationen ausgenutzt, um die Identität möglichst realistisch vorzutäuschen („Chef-Masche“).
Neugierde
Sie finden einen USB-Stick auf dem Parkplatz. Wem er wohl gehört?
Der USB-Stick wird ausgelesen, um den Besitzer zu identifizieren.
Der USB-Stick beinhaltet Schadsoftware, die (unbemerkt) den Rechner und das System infiziert.
Automatismen
Wie jeden Morgen sind Sie dabei, Ihre E-Mails zu beantworten…
…und klicken auf den Link in einer gut gemachten Phishing-E-Mail.
Der Link leitet auf eine kriminelle Fake-Website und lädt automatisch Schadsoftware nach.
Angst
Ein Hinweis von Amazon landet in Ihrem Postfach: Sollten Sie Ihr Konto nicht innerhalb von wenigen Tagen verifizieren, wird eine Bearbeitungsgebühr fällig.
Das Konto wird verifiziert – dies geschieht unbemerkt auf einer geklonten Login-Seite.
Kriminelle verfügen über Ihre Zugangsdaten und haben so Zugriff auf Ihr Konto.
Hilfsbereitschaft
Ein angeblicher Bekannter einer Kollegin wendet sich per E-Mail wegen eines Problems an Sie und sendet einen Dateianhang.
Die Datei wird geöffnet – vielleicht weiß man Rat.
Die Datei beinhaltet Schadsoftware, die (unbemerkt) den Rechner und das System infiziert.
In Kombination mit Zeitdruck und der Aufforderung zu Verschwiegenheit kommen Kriminelle unter Nutzung dieser Verhaltensmuster oft schnell an ihr Ziel.

Der Begriff Phishing ist an das englische Wort fishing (engl. für Angeln, Fischen) angelehnt und bezeichnet einen meist per E-Mail durchgeführten Betrugsversuch. Bildlich gesprochen geht es um das Angeln von Passwörtern, wodurch persönliche Daten missbraucht oder der Inhaber eines Bankkontos geschädigt werden sollen. Außerdem werden häufig Spionagesoftware, Verschlüsselungstrojaner oder andere für das Computersystem schädliche Dateien versendet.
Sie erhalten beispielsweise eine echt wirkende E-Mail von einem bekannten Unternehmen (Amazon, PayPal, Google, etc.), oder sogar von ihrem eigenen Kollegen oder Chef. Für gezielte Phishing-Angriffe (Spear Phishing) sammeln Täter oftmals im Vorfeld nützliche Informationen auf sozialen Netzwerken, Jobportalen oder der Unternehmenswebsite, um das Angriffsszenario möglichst realistisch zu gestalten. Phishing-E-Mails fordern oft dazu auf, Login-Daten zu aktualisieren, wichtige Zahlungen auszuführen oder Kreditkarteninformationen einzugeben. Außerdem enthalten sie immer öfter auch schädliche Dateien oder führen über beigefügte Links zu automatischen Downloads von Schadsoftware.

 
 
Beispiel Phishing-E-MailBeispiel Spear-Phishing-E-Mail
 
 
Fällt man auf eine Phishing-E-Mail herein, kann das weitreichende Folgen mit sich bringen. Die folgende Liste nennt einige Beispiele, wie Privatpersonen und insbesondere Unternehmen von Phishing geschädigt wurden.
 
 

Schaden

Beispiel

Verlust von Login-Daten
Während des US-Wahlkampfs 2016 erlangten Angreifer mit einer täuschend echten Accountwarnung von Google Zugang zum E-Mail-Account des Wahlkampfmanagers von Hillary Clinton. Die so erhaltenen Informationen schädigten die Präsidentschaftskandidatin massiv.
Überweisungen an unbekannten Dritten
Der deutsche Automobilzulieferer Leoni AG wurde 2016 mit der sogenannten Chef-Masche von Kriminellen in mehreren Runden um 40 Millionen Euro erleichtert.
Ausfall von IT-Systemen
Mittels Verschlüsselungstrojanern können ganze Unternehmen oder öffentliche Einrichtungen über Tage und Wochen hinweg lahm gelegt werden. Oft handelt es sich um Ransomware (d.h. die Verschlüsselung ist mit einer Lösegeldforderung verbunden), wie z.B. Locky, WannaCry oder GoldenEye. 2016 wurde die IT des Lukaskrankenhaus in Neuss Opfer eines Ransomware-Angriffs. Dies hatte zur Folge, dass Operationen verschoben und Notfälle abgelehnt werden mussten.
Verlust von Daten
Allein im Jahr 2016 Jahr wurden IBM Security zufolge über vier Milliarden Datensätze erbeutet.
Forderung von Lösegeldzahlungen
Nach Verschlüsselung der Daten auf dem Rechner und dem System verlangen Cyberkriminelle anschließend eine Lösegeldforderung – falls keine Backups durchgeführt wurden, sind sonst die Daten verloren und Systeme nicht benutzbar. Und auch die Einspielung von Backups kostet Zeit und Geld und fordern wertvolle Arbeitszeit der Kollegen.
Wirtschaftsspionage
Es ist allgemein und öffentlich bekannt, dass eine Vielzahl ausländischer Staaten aktiv und ständig Wirtschaftsspionage betreibt. Sie beauftragen professionelle Hackergruppen, die Tag für Tag gezielte Cyberattacken ausführen. Angriffe reichen von der Platzierung von Spionagesoftware, bis hin zum Einsatz Schadsoftware.
Physikalische Schäden
Erfolgreiche Angriffe können zu Ausfällen ganzer Anlagen führen. 2014 wurde in Deutschland beispielsweise ein Hochofen stark beschädigt, da eine eingeschleuste Schadsoftware verhinderte, dass er ordnungsgemäß heruntergefahren werden konnte.
Verletzungen des Datenschutzes
Täglich kommt es durch Phishing-Attacken zu großen Datenschutzverstößen. Identitätsdiebstahl ist nur ein Beispiel, neben der Weitergabe von sensiblen Unternehmensdaten, Passwörtern oder interner Dokumente.
 
Im Folgenden zeigen wir Ihnen verschiedene Möglichkeiten auf, wie Sie sich und Ihr Unternehmen vor Phishing- und Social Engineering-Angriffen schützen können.

Die oberste Regel ist hierbei, stets skeptisch und wachsam zu sein. Wirkt eine Nachricht verdächtig, sollte der Absender über einen bekannten Weg direkt auf die E-Mail angesprochen werden. Meistens genügt dafür schon ein kurzer Anruf oder eine Anfrage im internen Kurznachrichtendienst. Es gibt dabei keine dumme Frage: Wenn zehn Fehlalarme helfen, einen Angriff zu verhindern, spart das der IT-Abteilung viel Zeit und Ärger.
Manchmal fallen Phishing-E-Mails schon durch ihren Absender als gefälscht auf: Angreifer nutzen Absenderadressen wie z.B. @amazon-versand.de statt @amazon.de oder @it-seal.de-index.de statt @it-seal.de, um Legitimität vorzutäuschen. Jedoch ist in den meisten Fällen die Absenderadresse einer E-Mail so einfach zu fälschen wie die eines Briefs – auch ein vermeintlich legitimer Absender bietet demnach keine Sicherheit!

Folgende Punkte lassen oft erkennen, dass es sich um eine betrügerische Nachricht handelt:

Auffälligkeiten

Erklärung

Ungewöhnlicher Schreibstil, trügerischer Betreff, Grammatik- und Orthografiefehler
Schreibt der Kollege nicht eigentlich offener und lockerer? Seien Sie skeptisch!
Zum Teil fallen gefälschte E-Mails durch Grammatikfehler oder unsinnige Wörter auf, da die Nachrichten häufig mit einem Online-Übersetzungsdienst übersetzt werden.
Fehlender Name / ungewöhnliche Ansprache
Eine Bank oder ein Partnerunternehmen würde Sie niemals mit „Sehr geehrter Herr Kunde“ ansprechen.
Dringender Handlungsbedarf wird erzeugt
Sie werden aufgefordert, schnell zu handeln – manchmal ist dies sogar mit einer Drohung verbunden. Hier sollten Sie ebenfalls stutzig werden. Holen Sie sich eine zweite Meinung von einem Kollegen oder rufen Sie direkt beim Absender an und fragen Sie nach.
Aufforderung zur Eingabe von Daten
Passwörter, PIN und TANs werden niemals telefonisch von Kollegen, von Ihrem Lieblings-Online-Versandhaus oder einer Bank abgefragt; dies zählt zu den wichtigsten Sicherheitsregeln.
Aufforderung zur Öffnung einer Datei / Aktivierung des Bearbeitungsmodus
In unerwarteten E-Mails sollten Sie keinesfalls Dateien herunterladen oder öffnen, denn diese können Schadsoftware enthalten und Ihren Computer infizieren.
Eingefügte HTML Links oder Formulare
Hyperlinks sollten immer überprüft werden, bevor sie angeklickt werden. Hierbei ist genau darauf zu achten, wohin der Link führt. Eine ausführliche Erklärung, wie Sie das Ziel eines Links überprüfen, finden Sie im nächsten Abschnitt.
 

Hyperlinks sind Textteile, die beim Anklicken das damit verknüpfte Ziel aufrufen. Dabei handelt es sich meistens um eine Webseite. Während in manchen Phishing-E-Mails Teile des Texts verlinkt sind (z.B. „…finden Sie hier.“), ist oft auch ein ganzer Link dargestellt. Hinter beiden Elementen kann sich jedoch ein anderes Link-Ziel verbergen. Um dieses zu erkennen, bewegen Sie die Maus über den Link, ohne zu klicken. Nun wird im Fenster des betreffenden Programms unten links oder unter der Maus das echte Ziel angezeigt. Auf Mobilgeräten wird das echte Ziel sichtbar, wenn der Link für zwei Sekunden berührt gehalten wird.
Untersuchen Sie das Link-Ziel genau: Den relevanten Teil eines Links findet man im sogenannten „Wer-Bereich“. Liest man vom http(s):// zum nächsten „/“, befindet er sich um den letzten Punkt herum vor dem „/“. Der Rest des Links ist vollständig vernachlässigbar. In den folgenden Beispielen ist der Wer-Bereich fett markiert.
Sicheres Beispiel:   https://www.google.de/services führt auf google.de.
Phishing-Beispiel:   https://www.google.de.myaccounts.biz/services führt auf myaccounts.biz.

Schauen Sie sich die folgenden Links an und achten Sie auf den Wer-Bereich: Welche Links sind echt, und welche gefälscht?

 
Wer-Bereich in der URL
 
Hier kommen Sie zur Auflösung – aber prüfen Sie den Link, bevor Sie klicken!
Falls Sie sich unsicher sind, was das Ziel eines Links angeht, können Sie diesen auf www.virustotal.com prüfen lassen.

Phishing-Angriffe funktionieren besonders dann gut, wenn sie möglichst realistisch gestaltet sind. Dazu benötigt der Angreifer Informationen über seine Zielperson. Beim sogenannten Spear Phishing nutzen Kriminelle öffentlich einsehbare Daten auf sozialen Medien wie Facebook oder Instagram, auf Jobportalen wie Xing oder Linkedin, auf Nachrichtenseiten oder auf der Unternehmenswebsite. Daher lautet die erste und wichtigste Empfehlung: Datensparsamkeit. Überprüfen Sie, welche Informationen Sie wem preisgeben. Besonders interessant sind dabei Kontakte, die Position im Unternehmen oder Interessen. Wählen Sie z.B. Ihre Datenschutzeinstellungen auf Xing so, dass Ihre Kontakte nicht öffentlich einsehbar sind.
Des Weiteren sind regelmäßige Updates unumgänglich, um z.B. Angriffen über Browser- oder Plugin-Schwachsstellen vorzubeugen. In veralteten Versionen können Sicherheitslücken bestehen, die es für Angreifer sehr einfach machen, Ihren Rechner zu infizieren. Bei vielen Betriebssystemen werden Updates erst beim Neustart installiert. Schalten Sie Ihren Rechner daher nicht nur auf Stand-By, sondern schalten Sie ihn regelmäßig ganz aus.
In der Vergangenheit ist vor allem das Browser-Plugin Adobe Flash Player wiederholt durch Sicherheitslücken aufgefallen. Es wird zum Anzeigen bestimmter Inhalte auf Webseiten benötigt. Bei verschiedenen Angriffen wurden Rechner allein durch den Besuch einer Webseite unbemerkt infiziert. Wählen Sie die Einstellungen daher so, dass der Flash Player standardmäßig deaktiviert ist und nur nach Ihrer Zustimmung ausgeführt wird.
Hören Sie auf Ihr Bauchgefühl! In einer Phishing-E-Mail gibt es oft kleine Unstimmigkeiten, die im Alltagsstress oder aufgrund von Automatismen häufig übersehen werden. Sobald auch nur ein kleines Fragezeichen aufkommt, überprüfen Sie die E-Mail genauer. Sie haben gelernt, gefälschte Links zu erkennen. Dateianhängen können Sie vor dem Öffnen von Ihrem Virenscanner prüfen lassen. Laden Sie dazu die Datei herunter und wählen Sie nach einem Rechtsklick die entsprechende Option aus. Besondere Vorsicht ist bei MS Office-Dokumenten mit Makros geboten (z.B. .docm): Diese können beim Aktivieren der Makros Schadcode nachladen und werden üblicherweise nicht von Virenscannern erkannt. Aktivieren Sie Makros daher nur, wenn der Ursprung des Dokuments absolut vertrauenswürdig ist. Auch .zip-Dateien werden von Kriminellen aktuell häufig verwendet. Hier kann schon das Öffnen die Ausführung von Schadsoftware zur Folge haben.Wenn Sie sich nicht sicher sind: Fragen Sie nach. Beim Absender, bei der IT-Abteilung oder bei Kollegen. 

Wir empfehlen das fünfminütige Aufklärvideo Online-Betrug – Gefahren erkennen und abwehren.
Lizenz: CC BY-SA 4.0: https://creativecommons.org/licenses/by-sa/4.0
Ein Film von: Design & Animation MotionEnsemble, Idee / Konzept: Prof. Dr. Melanie Volkamer (secuso.org) & Alexander Lehmann (alexanderlehmann.net), Stimme Florian Maerlender (www.maerlender.eu)

Falls Sie das Gefühl haben, auf einen Phishing-Angriff hereingefallen zu sein, sollten Sie schnell reagieren. Umso länger Sie warten, desto größer ist unter Umständen der potentielle Schaden. Die richtige Reaktion hängt von der Art des Fehler ab.
Wenn Sie Ihr Passwort durch Eingabe auf einer gefälschten Login-Seite weitergegeben haben, sollten Sie dieses Passwort sofort ändern oder das Konto sperren lassen.
Wenn Sie möglicherweise Schadsoftware heruntergeladen haben, sollten Sie sofort das Netzwerkkabel herausziehen und die Verbindung des Rechners vom W-LAN trennen.
In jedem Fall sollten Sie unverzüglich die IT-Abteilung über den Vorfall informieren.

Viele Phishing-E-Mails sind für Virenscanner und Firewalls nur schwer als solche zu erkennen, da sie häufig keine Schadsoftware als Dateianhang enthalten, sondern diese erst nachladen. Dies geschieht über einen eingefügten Link, der beim Anklicken durch einen sogenannten „Drive-by-Download“ ohne weiteres Zutun das Herunterladen einer Datei initiiert. Angriffe wie die Chef-Masche kommen sogar ganz ohne Schadsoftware aus: Die angeblich von einem Mitglied des Managements geforderte Zahlungsanweisung besteht aus reinem Text, und ist daher unmöglich technisch zu erkennen.
Deshalb steht der Mensch als Schwachstelle bei Cyber-Kriminellen immer öfter im Fokus des Angriffs, denn er kann die größte Sicherheitslücke einer Organisation darstellen. Ist er jedoch gewappnet, bietet er gleichzeitig ein großes Potential, um ein hohes Sicherheitsniveau zu erreichen. Daher ist es so wichtig, dass jeder Mitarbeiter für das Thema Phishing sensibilisiert wird, Angriffe dieser Art sicher erkennt und weiß, wie man sich professionell verhält.
Hierfür bietet die IT-Seal GmbH mit dem Security Awareness Training die Möglichkeit, das Unternehmen für Phishing zu sensibilisieren. Dieses misst zum einen den Sicherheitsstandard gegenüber Social Engineering-Angriffen im Unternehmen, und ermöglicht es zum anderen, das Wissen und Sicherheitsbewusstsein der Mitarbeiter auf einen aktuellen Stand zu bringen. Allen Teilnehmern wird bei jedem „falschen“ Klick auf unsere Phishing-E-Mails durch einen sogenannten teachable moment unmittelbar und mit geringem Aufwand aufgezeigt, Phishing-Angriffe zu erkennen und professionell zu handhaben.
Wir empfehlen sowohl Privatanwendern als auch Unternehmen gleichermaßen die folgenden Tools:
  • Mit dem kostenfreien Lernkonzept NoPhish können die Grundregeln der Phishing-Erkennung spielerisch erlernt werden. Es ist sowohl als Online-Plattform als auch als iOS- und Android-App verfügbar. Mehr Informationen dazu finden Sie in unserem Blogeintrag zu NoPhish. NoPhish wurde entwickelt von SECUSO, einer Forschungsgruppe des KIT.
  • Wenn Sie Thunderbird als E-Mail Client verwenden, können Sie das Add-On Torpedo herunterladen. Dieses Tool hilft Ihnen beim Erkennen schädlicher Links. Auch hierzu haben wir einen Blogeintrag veröffentlicht. Torpedo wurde entwickelt von SECUSO, einer Forschungsgruppe des KIT.
  • PassSec+ für Mozilla Firefox erkennt unverschlüsselte Webseiten und warnt Sie bei der Eingabe von Login-Daten. Vor vielen Angriffen, bei denen Login-Daten abgegriffen werden sollen, sind Sie so geschützt. PassSec+ wurde entwickelt von SECUSO, einer Forschungsgruppe des KIT.
  • Falls Ihr Bauchgefühl Sie warnt: Auf www.virustotal.com können Sie Links prüfen lassen, falls Sie sich nicht sicher sind, was das echte Ziel des Links angeht. Auch Dateien können hier geprüft werden – hier ist jedoch Umsicht geboten bei datenschutzrelevanten Dateien.
  • Nutzen Sie verschiedene Passwörter für verschiedene Konten und ändern Sie diese regelmäßig – sonst haben potentielle Angreifer im schlimmsten Fall gleich überall Zugriff. Ein Passwortmanager (z.B. KeePass oder KeePassXC) kann helfen, den Überblick zu bewahren: Damit brauchen Sie sich lediglich ein einziges Masterpasswort zu merken.

Hinter IT-Seal (Social Engineering Analysis Labs) stecken IT-Sicherheitsexperten für den Aufbau einer nachhaltigen Sicherheitskultur. Wir helfen Unternehmen und ihren Mitarbeitern dabei, die Gefahren und Schäden durch Social Engineering-Angriffe auf ein Minimum zu reduzieren. Hierzu werden respektvolle aber effektive und authentische Angriffssimulationen durchgeführt. So wird zum einen der Sicherheitsstandard des Unternehmens messbar gemacht, zum anderen lernen alle Teilnehmer im sicheren Rahmen, mit Cyber-Angriffen umzugehen. Die Simulation von Angriffen erfolgt meist per E-Mail und beinhaltet unterschiedliche Schwierigkeitsgrade. Der Arbeits- und Datenschutz der teilnehmenden Mitarbeiter steht für uns stets im Vordergrund. In unseren Phishing-Auswertungen berichten wir nur über gruppenbezogenes Verhalten – das individuelle Verhalten wird zu keinem Zeitpunkt kommuniziert.

Wir verfolgen ein Full Service-Konzept und bieten mit unserer innovativen Awareness Engine bedarfsgerechtes Training: Teilnehmer, die Phishing-Angriffe schon sicher erkennen, werden nicht in ihrem Arbeitsalltag gestört. Klickt ein Mitarbeiter jedoch auf eine unserer Phishing-E-Mails, so wird ihm direkt am Beispiel dieser E-Mail aufgezeigt, wie er sie als solche hätte enttarnen können. Somit erhält jeder Teilnehmer genauso viel Training wie nötig, aber so wenig wie möglich.

Ziel ist es, Unternehmen dabei zu unterstützen eine aktiv gelebte Sicherheitskultur zu etablieren, die auf nachhaltig sensibilisierten Mitarbeitern basiert, die ihre Verantwortung für das Unternehmen kennen und wahrnehmen. Alle ziehen an einem Strang und erhöhen so die Sicherheit ihres Unternehmens.

Das klingt interessant? Testen Sie unsere kostenfreie Phishing-Simulation: Als Teilnehmer unserer Demo erhalten Sie innerhalb von zwei Werktagen vier Phishing-E-Mails. Falls Sie (aus Versehen oder aus Neugier) auf einen enthaltenen Link klicken, landen Sie auf unserer Erklärseite.

 Jetzt testen

  • Security Awareness messbar gemacht mit unserem ESI®: Der Employee Security Index ist ein wissenschaftlicher Benchmark zur Messung des IT-Sicherheitsbewusstseins (Security Awareness) in Organisationen. Er ermöglicht darüber hinaus eine Vergleichbarkeit. Welche Abteilung oder Branche ist wie sensibilisiert? Wo werden noch Maßnahmen benötigt? Mit dem ESI®, einer Kennzahl der Informationssicherheit, wird dies sichtbar.
  • Wappnung gegen Spear-Phishing durch Kriminelle: Um die Mitarbeitenden bestmöglich für Angriffe von Cyber-Kriminellen zu sensibilisieren, haben wir die patentierte Spear-Phishing-Engine entwickelt. Diese sammelt öffentlich zugängliche Informationen aus Beruflichen Netzwerken (Open Source Intelligence, kurz OSINT) und erstellt darauf basierend realistische Spear-Phishing-Simulationen mit personalisierter Ansprache und authentischen Inhalten. Wir wollen, dass Mitarbeitende mit realitätsnahen und vertrauenserweckenden Nachrichten für den Ernstfall trainieren können. Wir betreiben kein generisches “Massen-Phishing”.
  • Unser Mitgründer und CEO David Kelm ist ein versierter Social-Engineering-Experte: David Kelm beschäftigt sich seit 2012 dem Thema Social Engineering (Mitarbeitermanipulation durch Kriminelle). Für seine wissenschaftlichen Erkenntnisse rund um den “Faktor Mensch” in der IT-Sicherheit gewann Kelm den „Best-Student-Award” des Bundesamts für Sicherheit in der Informationstechnik (BSI). Er ist davon überzeugt, dass Mitarbeitende mit dem richtigen Lernansatz zur “menschlichen Firewall” ihres Unternehmens werden können – anstatt dessen Sicherheit zu gefährden.
  • Unsere Arbeit basiert auf wissenschaftlichen Erkenntnissen: Unsere Maßnahmen für die Mitarbeitersensibilisierung gegen Spear Phishing sowie deren Erfolgsmessung basieren auf erfolgreicher Forschung. Mit David Kelm hat unser Start-up, das eine Ausgründung der TU-Darmstadt ist, darüber hinaus einen versierten Experten für Social Engineering, insbesondere Spear Phishing, an seiner Spitze.
  • Datenschutz und Mitarbeiterfreundlichkeit Hand in Hand:  Da wir Mitarbeitende sensibilisieren, aber nicht anschwärzen wollen, achten wir darauf, dass sie bei der Auswertung stets anonym bleiben. Wir evaluieren den Erfolg unserer Maßnahmen nur gruppenbasiert und unsere Datenverarbeitung erfolgt natürlich DSGVO-konform.
  • Made in Germany: Die IT-Seal GmbH ist ein deutsches Unternehmen, das hauptsächlich auf den deutschen Markt spezialisiert ist. Hier ansässige Geschäftskunden bekommen somit von uns DSGVO-konforme Dienstleistungen, die auch in sonstiger Hinsicht die hier geltenden gesetzlichen Bestimmungen einhalten. Schon bei der Entwicklung unserer Lösungen stehen für uns Mitarbeiter- und Datenschutz im Vordergrund (“security & privacy by design”).
  • Die deutschlandweit erste lokale Cyber-Security-Kampagne: Mit “Bleib wachsam, Darmstadt!” haben wir mit der Wissenschaftsstadt Darmstadt und der Digitalstadt Darmstadt eine bisher einmalige Initiative ins Leben gerufen, die Bürgerinnen und Bürgern ein kostenloses IT-Sicherheitstraining bietet und sie für Phishing sensibilisiert.
  • Mehrfach ausgezeichnet: Für unsere Maßnahmen rund um Mitarbeitersensibilisierung und unsere Ideen für deren Mess- und Vergleichbarkeit haben wir folgende Preise gewonnen:
            – 1. Platz als „Bestes Cybersecurity Startup Deutschlands“ auf der it-sa
           – 1. Platz beim europaweiten Social Engineering-Wettbewerb des TREsPASS_Projects
           – „Top 10 der besten Cyber Security Startups Europas“ beim SBA-Research-Wettbewerb
           – „Best Student Award“ des Bundesamts für Sicherheit in der Informationstechnik (Preisträger: Unser Mitgründer und Ideengeber David Kelm)
 
Mehr zu uns finden Sie auf „Warum IT-Seal?“ Haben Sie Fragen? Wir freuen uns, von Ihnen zu hören!

Kontakt

Wir wollen helfen, das digitale Deutschland schrittweise sicherer zu machen.

In Zeiten der Digitalisierung ist es essentiell, sichere Inhalte von betrügerischen Inhalten unterscheiden zu können. Wie das funktioniert, wird leider viel zu selten vermittelt, obwohl wir täglich E-Mails und Kurznachrichten erhalten. Gemeinsam wollen wir verhindern, dass Bürger:innen Opfer von Cyberkriminalität werden. Mit allgemeinverständlichen Erklärungen und Tipps soll jeder die Möglichkeit bekommen, die eigene digitale Selbstverteidigung zu stärken.

Aus diesem Grund, sind wir dabei, die ursprüngliche „Bleib wachsam, Darmstadt!“ Initiative zu überarbeiten und in neuer Form zu re-launchen. Damit sie für alle Bürger:innen Deutschlands bereit ist.

IT-Sicherheitstraining für Privatpersonen:

Haben Sie Interesse an einem kostenfreien IT-Sicherheitstraining für sich, für Ihre Freunde und Familie? Dann melden Sie sich gerne bei Bleib wachsam, Darmstadt! an, eine Kampagne für alle Bundesbürger:innen.

WIE SCHÜTZE ICH MICH GEGEN SOCIAL ENGINEERING & PHISHING?

Lernen Sie die Tricks der kriminellen Angreifer kennen, um gegen Social Engineering-Angriffe gewappnet zu sein und Ihr Unternehmen sicherer zu machen.

Allein in Deutschland wurde jedes zweite Unternehmen bereits Opfer von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl, dabei entstand ein Schaden von rund 43 Mrd. Euro (Quelle: bitkom). 19% der Angriffe fielen in den Bereich „Social Engineering“ – die gezielte Manipulation von Mitarbeitern, um Zugang zu sensiblen Informationen zu erhalten oder Schadsoftware auf Firmenrechnern zu platzieren.

Die Bleib Wachsam-Kampagne von IT-Seal bietet Ihnen ein Werkzeug, sich gegen Social Engineering-Angriffe zu wappnen: Welche Arten von Social Engineering gibt es? Was ist das Ziel der Angreifer? Wie wird konkret vorgegangen? Wie erkenne ich eine Phishing-E-Mail? Wie erkenne ich das Ziel eines Links? Auf diese Fragen finden Sie hier eine Antwort.

Viel Spaß – und bleiben Sie wachsam!

Du bist die Firewall deines Unternehmens!

INHALTSÜBERSICHT

Basiswissen Phishing & Social Engineering. Lesezeit: 12 Minuten.

Der Begriff Social Engineering beschreibt zwischenmenschliche Techniken zur Beeinflussung anderer, mit deren Hilfe ein bestimmtes Ziel erreicht werden soll. Wird Social Engineering mit negativen Absichten vereint, kann es für schadhafte Zwecke eingesetzt werden. Bei Social Engineering-Angriffen werden alltägliche soziale Interaktionen (z.B. ein Telefongespräch oder eine E-Mail) genutzt. Der Angreifer versucht, die Zielperson dazu zu bringen, bestimmten Aufforderungen zu folgen und so Zugang zu Informationen oder Firmennetzwerken zu erlangen.
Da der Schutz durch technische Sicherheitssysteme immer schwieriger zu umgehen ist, gewinnt Social Engineering an Beliebtheit: Oft ist es technisch unmöglich, solche Angriffe zu erkennen. Daher ist es unabdingbar, dass jeder Mitarbeiter dem Thema IT-Security Aufmerksamkeit schenkt und sich möglicher Bedrohungen bewusst ist.
Sind Social Engineering-Angriffe erfolgreich, dann liegt das meist nicht an absichtlich böswilligem Verhalten der Mitarbeiter. Angreifer nutzen verschiedene psychologische Tricks und soziale Normen, um Situationen zu schaffen, die im ersten Moment als nicht gefährlich wahrgenommen werden. Die folgende Tabelle listet verschiedene menschliche Verhaltensmuster auf und verdeutlicht, wie diese bei Social Engineering-Angriffen ausgenutzt werden.

Verhalten

Szenario

mögliche Reaktion

mögliches Risiko

Vorurteile / Erwartungen
Ein Techniker verlangt Zutritt zum Serverraum.
Der Zutritt wird selbstverständlich gewährt.
Die Technikerkleidung stammt aus der Kostümkiste, Kriminelle können ungestört sensible Daten abgreifen.
Autoritätshörigkeit
Der Chef weist aus dem Urlaub eine dringende Zahlung an ein neues Partnerunternehmen an.
Der Anweisung wird schnell Folge geleistet.
Kriminelle haben öffentlich zugängliche Informationen ausgenutzt, um die Identität möglichst realistisch vorzutäuschen („Chef-Masche“).
Neugierde
Sie finden einen USB-Stick auf dem Parkplatz. Wem er wohl gehört?
Der USB-Stick wird ausgelesen, um den Besitzer zu identifizieren.
Der USB-Stick beinhaltet Schadsoftware, die (unbemerkt) den Rechner und das System infiziert.
Automatismen
Wie jeden Morgen sind Sie dabei, Ihre E-Mails zu beantworten…
…und klicken auf den Link in einer gut gemachten Phishing-E-Mail.
Der Link leitet auf eine kriminelle Fake-Website und lädt automatisch Schadsoftware nach.
Angst
Ein Hinweis von Amazon landet in Ihrem Postfach: Sollten Sie Ihr Konto nicht innerhalb von wenigen Tagen verifizieren, wird eine Bearbeitungsgebühr fällig.
Das Konto wird verifiziert – dies geschieht unbemerkt auf einer geklonten Login-Seite.
Kriminelle verfügen über Ihre Zugangsdaten und haben so Zugriff auf Ihr Konto.
Hilfsbereitschaft
Ein angeblicher Bekannter einer Kollegin wendet sich per E-Mail wegen eines Problems an Sie und sendet einen Dateianhang.
Die Datei wird geöffnet – vielleicht weiß man Rat.
Die Datei beinhaltet Schadsoftware, die (unbemerkt) den Rechner und das System infiziert.
In Kombination mit Zeitdruck und der Aufforderung zu Verschwiegenheit kommen Kriminelle unter Nutzung dieser Verhaltensmuster oft schnell an ihr Ziel.

Der Begriff Phishing ist an das englische Wort fishing (engl. für Angeln, Fischen) angelehnt und bezeichnet einen meist per E-Mail durchgeführten Betrugsversuch. Bildlich gesprochen geht es um das Angeln von Passwörtern, wodurch persönliche Daten missbraucht oder der Inhaber eines Bankkontos geschädigt werden sollen. Außerdem werden häufig Spionagesoftware, Verschlüsselungstrojaner oder andere für das Computersystem schädliche Dateien versendet.
Sie erhalten beispielsweise eine echt wirkende E-Mail von einem bekannten Unternehmen (Amazon, PayPal, Google, etc.), oder sogar von ihrem eigenen Kollegen oder Chef. Für gezielte Phishing-Angriffe (Spear Phishing) sammeln Täter oftmals im Vorfeld nützliche Informationen auf sozialen Netzwerken, Jobportalen oder der Unternehmenswebsite, um das Angriffsszenario möglichst realistisch zu gestalten. Phishing-E-Mails fordern oft dazu auf, Login-Daten zu aktualisieren, wichtige Zahlungen auszuführen oder Kreditkarteninformationen einzugeben. Außerdem enthalten sie immer öfter auch schädliche Dateien oder führen über beigefügte Links zu automatischen Downloads von Schadsoftware.

 
 
Beispiel Phishing-E-MailBeispiel Spear-Phishing-E-Mail
 
 
Fällt man auf eine Phishing-E-Mail herein, kann das weitreichende Folgen mit sich bringen. Die folgende Liste nennt einige Beispiele, wie Privatpersonen und insbesondere Unternehmen von Phishing geschädigt wurden.
 
 

Schaden

Beispiel

Verlust von Login-Daten
Während des US-Wahlkampfs 2016 erlangten Angreifer mit einer täuschend echten Accountwarnung von Google Zugang zum E-Mail-Account des Wahlkampfmanagers von Hillary Clinton. Die so erhaltenen Informationen schädigten die Präsidentschaftskandidatin massiv.
Überweisungen an unbekannten Dritten
Der deutsche Automobilzulieferer Leoni AG wurde 2016 mit der sogenannten Chef-Masche von Kriminellen in mehreren Runden um 40 Millionen Euro erleichtert.
Ausfall von IT-Systemen
Mittels Verschlüsselungstrojanern können ganze Unternehmen oder öffentliche Einrichtungen über Tage und Wochen hinweg lahm gelegt werden. Oft handelt es sich um Ransomware (d.h. die Verschlüsselung ist mit einer Lösegeldforderung verbunden), wie z.B. Locky, WannaCry oder GoldenEye. 2016 wurde die IT des Lukaskrankenhaus in Neuss Opfer eines Ransomware-Angriffs. Dies hatte zur Folge, dass Operationen verschoben und Notfälle abgelehnt werden mussten.
Verlust von Daten
Allein im Jahr 2016 Jahr wurden IBM Security zufolge über vier Milliarden Datensätze erbeutet.
Forderung von Lösegeldzahlungen
Nach Verschlüsselung der Daten auf dem Rechner und dem System verlangen Cyberkriminelle anschließend eine Lösegeldforderung – falls keine Backups durchgeführt wurden, sind sonst die Daten verloren und Systeme nicht benutzbar. Und auch die Einspielung von Backups kostet Zeit und Geld und fordern wertvolle Arbeitszeit der Kollegen.
Wirtschaftsspionage
Es ist allgemein und öffentlich bekannt, dass eine Vielzahl ausländischer Staaten aktiv und ständig Wirtschaftsspionage betreibt. Sie beauftragen professionelle Hackergruppen, die Tag für Tag gezielte Cyberattacken ausführen. Angriffe reichen von der Platzierung von Spionagesoftware, bis hin zum Einsatz Schadsoftware.
Physikalische Schäden
Erfolgreiche Angriffe können zu Ausfällen ganzer Anlagen führen. 2014 wurde in Deutschland beispielsweise ein Hochofen stark beschädigt, da eine eingeschleuste Schadsoftware verhinderte, dass er ordnungsgemäß heruntergefahren werden konnte.
Verletzungen des Datenschutzes
Täglich kommt es durch Phishing-Attacken zu großen Datenschutzverstößen. Identitätsdiebstahl ist nur ein Beispiel, neben der Weitergabe von sensiblen Unternehmensdaten, Passwörtern oder interner Dokumente.
 
Im Folgenden zeigen wir Ihnen verschiedene Möglichkeiten auf, wie Sie sich und Ihr Unternehmen vor Phishing- und Social Engineering-Angriffen schützen können.

Die oberste Regel ist hierbei, stets skeptisch und wachsam zu sein. Wirkt eine Nachricht verdächtig, sollte der Absender über einen bekannten Weg direkt auf die E-Mail angesprochen werden. Meistens genügt dafür schon ein kurzer Anruf oder eine Anfrage im internen Kurznachrichtendienst. Es gibt dabei keine dumme Frage: Wenn zehn Fehlalarme helfen, einen Angriff zu verhindern, spart das der IT-Abteilung viel Zeit und Ärger.
Manchmal fallen Phishing-E-Mails schon durch ihren Absender als gefälscht auf: Angreifer nutzen Absenderadressen wie z.B. @amazon-versand.de statt @amazon.de oder @it-seal.de-index.de statt @it-seal.de, um Legitimität vorzutäuschen. Jedoch ist in den meisten Fällen die Absenderadresse einer E-Mail so einfach zu fälschen wie die eines Briefs – auch ein vermeintlich legitimer Absender bietet demnach keine Sicherheit!

Folgende Punkte lassen oft erkennen, dass es sich um eine betrügerische Nachricht handelt:

Auffälligkeiten

Erklärung

Ungewöhnlicher Schreibstil, trügerischer Betreff, Grammatik- und Orthografiefehler
Schreibt der Kollege nicht eigentlich offener und lockerer? Seien Sie skeptisch!
Zum Teil fallen gefälschte E-Mails durch Grammatikfehler oder unsinnige Wörter auf, da die Nachrichten häufig mit einem Online-Übersetzungsdienst übersetzt werden.
Fehlender Name / ungewöhnliche Ansprache
Eine Bank oder ein Partnerunternehmen würde Sie niemals mit „Sehr geehrter Herr Kunde“ ansprechen.
Dringender Handlungsbedarf wird erzeugt
Sie werden aufgefordert, schnell zu handeln – manchmal ist dies sogar mit einer Drohung verbunden. Hier sollten Sie ebenfalls stutzig werden. Holen Sie sich eine zweite Meinung von einem Kollegen oder rufen Sie direkt beim Absender an und fragen Sie nach.
Aufforderung zur Eingabe von Daten
Passwörter, PIN und TANs werden niemals telefonisch von Kollegen, von Ihrem Lieblings-Online-Versandhaus oder einer Bank abgefragt; dies zählt zu den wichtigsten Sicherheitsregeln.
Aufforderung zur Öffnung einer Datei / Aktivierung des Bearbeitungsmodus
In unerwarteten E-Mails sollten Sie keinesfalls Dateien herunterladen oder öffnen, denn diese können Schadsoftware enthalten und Ihren Computer infizieren.
Eingefügte HTML Links oder Formulare
Hyperlinks sollten immer überprüft werden, bevor sie angeklickt werden. Hierbei ist genau darauf zu achten, wohin der Link führt. Eine ausführliche Erklärung, wie Sie das Ziel eines Links überprüfen, finden Sie im nächsten Abschnitt.
 

Hyperlinks sind Textteile, die beim Anklicken das damit verknüpfte Ziel aufrufen. Dabei handelt es sich meistens um eine Webseite. Während in manchen Phishing-E-Mails Teile des Texts verlinkt sind (z.B. „…finden Sie hier.“), ist oft auch ein ganzer Link dargestellt. Hinter beiden Elementen kann sich jedoch ein anderes Link-Ziel verbergen. Um dieses zu erkennen, bewegen Sie die Maus über den Link, ohne zu klicken. Nun wird im Fenster des betreffenden Programms unten links oder unter der Maus das echte Ziel angezeigt. Auf Mobilgeräten wird das echte Ziel sichtbar, wenn der Link für zwei Sekunden berührt gehalten wird.
Untersuchen Sie das Link-Ziel genau: Den relevanten Teil eines Links findet man im sogenannten „Wer-Bereich“. Liest man vom http(s):// zum nächsten „/“, befindet er sich um den letzten Punkt herum vor dem „/“. Der Rest des Links ist vollständig vernachlässigbar. In den folgenden Beispielen ist der Wer-Bereich fett markiert.
Sicheres Beispiel:   https://www.google.de/services führt auf google.de.
Phishing-Beispiel:   https://www.google.de.myaccounts.biz/services führt auf myaccounts.biz.

Schauen Sie sich die folgenden Links an und achten Sie auf den Wer-Bereich: Welche Links sind echt, und welche gefälscht?

 
Wer-Bereich in der URL
 
Hier kommen Sie zur Auflösung – aber prüfen Sie den Link, bevor Sie klicken!
Falls Sie sich unsicher sind, was das Ziel eines Links angeht, können Sie diesen auf www.virustotal.com prüfen lassen.

Phishing-Angriffe funktionieren besonders dann gut, wenn sie möglichst realistisch gestaltet sind. Dazu benötigt der Angreifer Informationen über seine Zielperson. Beim sogenannten Spear Phishing nutzen Kriminelle öffentlich einsehbare Daten auf sozialen Medien wie Facebook oder Instagram, auf Jobportalen wie Xing oder Linkedin, auf Nachrichtenseiten oder auf der Unternehmenswebsite. Daher lautet die erste und wichtigste Empfehlung: Datensparsamkeit. Überprüfen Sie, welche Informationen Sie wem preisgeben. Besonders interessant sind dabei Kontakte, die Position im Unternehmen oder Interessen. Wählen Sie z.B. Ihre Datenschutzeinstellungen auf Xing so, dass Ihre Kontakte nicht öffentlich einsehbar sind.
Des Weiteren sind regelmäßige Updates unumgänglich, um z.B. Angriffen über Browser- oder Plugin-Schwachsstellen vorzubeugen. In veralteten Versionen können Sicherheitslücken bestehen, die es für Angreifer sehr einfach machen, Ihren Rechner zu infizieren. Bei vielen Betriebssystemen werden Updates erst beim Neustart installiert. Schalten Sie Ihren Rechner daher nicht nur auf Stand-By, sondern schalten Sie ihn regelmäßig ganz aus.
In der Vergangenheit ist vor allem das Browser-Plugin Adobe Flash Player wiederholt durch Sicherheitslücken aufgefallen. Es wird zum Anzeigen bestimmter Inhalte auf Webseiten benötigt. Bei verschiedenen Angriffen wurden Rechner allein durch den Besuch einer Webseite unbemerkt infiziert. Wählen Sie die Einstellungen daher so, dass der Flash Player standardmäßig deaktiviert ist und nur nach Ihrer Zustimmung ausgeführt wird.
Hören Sie auf Ihr Bauchgefühl! In einer Phishing-E-Mail gibt es oft kleine Unstimmigkeiten, die im Alltagsstress oder aufgrund von Automatismen häufig übersehen werden. Sobald auch nur ein kleines Fragezeichen aufkommt, überprüfen Sie die E-Mail genauer. Sie haben gelernt, gefälschte Links zu erkennen. Dateianhängen können Sie vor dem Öffnen von Ihrem Virenscanner prüfen lassen. Laden Sie dazu die Datei herunter und wählen Sie nach einem Rechtsklick die entsprechende Option aus. Besondere Vorsicht ist bei MS Office-Dokumenten mit Makros geboten (z.B. .docm): Diese können beim Aktivieren der Makros Schadcode nachladen und werden üblicherweise nicht von Virenscannern erkannt. Aktivieren Sie Makros daher nur, wenn der Ursprung des Dokuments absolut vertrauenswürdig ist. Auch .zip-Dateien werden von Kriminellen aktuell häufig verwendet. Hier kann schon das Öffnen die Ausführung von Schadsoftware zur Folge haben.Wenn Sie sich nicht sicher sind: Fragen Sie nach. Beim Absender, bei der IT-Abteilung oder bei Kollegen. 

Wir empfehlen das fünfminütige Aufklärvideo Online-Betrug – Gefahren erkennen und abwehren.
Lizenz: CC BY-SA 4.0: https://creativecommons.org/licenses/by-sa/4.0
Ein Film von: Design & Animation MotionEnsemble, Idee / Konzept: Prof. Dr. Melanie Volkamer (secuso.org) & Alexander Lehmann (alexanderlehmann.net), Stimme Florian Maerlender (www.maerlender.eu)

https://www.youtube.com/watch?v=XeslAkZIuwY

Falls Sie das Gefühl haben, auf einen Phishing-Angriff hereingefallen zu sein, sollten Sie schnell reagieren. Umso länger Sie warten, desto größer ist unter Umständen der potentielle Schaden. Die richtige Reaktion hängt von der Art des Fehler ab.
Wenn Sie Ihr Passwort durch Eingabe auf einer gefälschten Login-Seite weitergegeben haben, sollten Sie dieses Passwort sofort ändern oder das Konto sperren lassen.
Wenn Sie möglicherweise Schadsoftware heruntergeladen haben, sollten Sie sofort das Netzwerkkabel herausziehen und die Verbindung des Rechners vom W-LAN trennen.
In jedem Fall sollten Sie unverzüglich die IT-Abteilung über den Vorfall informieren.

Viele Phishing-E-Mails sind für Virenscanner und Firewalls nur schwer als solche zu erkennen, da sie häufig keine Schadsoftware als Dateianhang enthalten, sondern diese erst nachladen. Dies geschieht über einen eingefügten Link, der beim Anklicken durch einen sogenannten „Drive-by-Download“ ohne weiteres Zutun das Herunterladen einer Datei initiiert. Angriffe wie die Chef-Masche kommen sogar ganz ohne Schadsoftware aus: Die angeblich von einem Mitglied des Managements geforderte Zahlungsanweisung besteht aus reinem Text, und ist daher unmöglich technisch zu erkennen.
Deshalb steht der Mensch als Schwachstelle bei Cyber-Kriminellen immer öfter im Fokus des Angriffs, denn er kann die größte Sicherheitslücke einer Organisation darstellen. Ist er jedoch gewappnet, bietet er gleichzeitig ein großes Potential, um ein hohes Sicherheitsniveau zu erreichen. Daher ist es so wichtig, dass jeder Mitarbeiter für das Thema Phishing sensibilisiert wird, Angriffe dieser Art sicher erkennt und weiß, wie man sich professionell verhält.
Hierfür bietet die IT-Seal GmbH mit der Awareness Academy die Möglichkeit, im Unternehmen ein Phishing Awareness-Training durchzuführen. Dieses misst zum einen den Sicherheitsstandard gegenüber Social Engineering-Angriffen im Unternehmen, und ermöglicht es zum anderen, das Wissen und Sicherheitsbewusstsein der Mitarbeiter auf einen aktuellen Stand zu bringen. Allen Teilnehmern wird bei jedem „falschen“ Klick auf unsere Phishing-E-Mails durch einen sogenannten teachable moment unmittelbar und mit geringem Aufwand aufgezeigt, Phishing-Angriffe zu erkennen und professionell zu handhaben.
Wir empfehlen sowohl Privatanwendern als auch Unternehmen gleichermaßen die folgenden Tools:
  • Mit dem kostenfreien Lernkonzept NoPhish können die Grundregeln der Phishing-Erkennung spielerisch erlernt werden. Es ist sowohl als Online-Plattform als auch als iOS- und Android-App verfügbar. Mehr Informationen dazu finden Sie in unserem Blogeintrag zu NoPhish. NoPhish wurde entwickelt von SECUSO, einer Forschungsgruppe des KIT.
  • Wenn Sie Thunderbird als E-Mail Client verwenden, können Sie das Add-On Torpedo herunterladen. Dieses Tool hilft Ihnen beim Erkennen schädlicher Links. Auch hierzu haben wir einen Blogeintrag veröffentlicht. Torpedo wurde entwickelt von SECUSO, einer Forschungsgruppe des KIT.
  • PassSec+ für Mozilla Firefox erkennt unverschlüsselte Webseiten und warnt Sie bei der Eingabe von Login-Daten. Vor vielen Angriffen, bei denen Login-Daten abgegriffen werden sollen, sind Sie so geschützt. PassSec+ wurde entwickelt von SECUSO, einer Forschungsgruppe des KIT.
  • Falls Ihr Bauchgefühl Sie warnt: Auf www.virustotal.com können Sie Links prüfen lassen, falls Sie sich nicht sicher sind, was das echte Ziel des Links angeht. Auch Dateien können hier geprüft werden – hier ist jedoch Umsicht geboten bei datenschutzrelevanten Dateien.
  • Nutzen Sie verschiedene Passwörter für verschiedene Konten und ändern Sie diese regelmäßig – sonst haben potentielle Angreifer im schlimmsten Fall gleich überall Zugriff. Ein Passwortmanager (z.B. KeePass) kann helfen, den Überblick zu bewahren: Damit brauchen Sie sich lediglich ein einziges Masterpasswort zu merken.

IT-Seal Logo

Hinter IT-Seal (Social Engineering Analysis Labs) stecken IT-Sicherheitsexperten für den Aufbau einer nachhaltigen Sicherheitskultur. Wir helfen Unternehmen und ihren Mitarbeitern dabei, die Gefahren und Schäden durch Social Engineering-Angriffe auf ein Minimum zu reduzieren. Hierzu werden respektvolle aber effektive und authentische Angriffssimulationen durchgeführt. So wird zum einen der Sicherheitsstandard des Unternehmens messbar gemacht, zum anderen lernen alle Teilnehmer im sicheren Rahmen, mit Cyber-Angriffen umzugehen. Die Simulation von Angriffen erfolgt meist per E-Mail und beinhaltet unterschiedliche Schwierigkeitsgrade. Der Arbeits- und Datenschutz der teilnehmenden Mitarbeiter steht für uns stets im Vordergrund. In unseren Phishing-Auswertungen berichten wir nur über gruppenbezogenes Verhalten – das individuelle Verhalten wird zu keinem Zeitpunkt kommuniziert.

Wir verfolgen ein Full Service-Konzept und bieten mit unserer innovativen Awareness Engine bedarfsgerechtes Training: Teilnehmer, die Phishing-Angriffe schon sicher erkennen, werden nicht in ihrem Arbeitsalltag gestört. Klickt ein Mitarbeiter jedoch auf eine unserer Phishing-E-Mails, so wird ihm direkt am Beispiel dieser E-Mail aufgezeigt, wie er sie als solche hätte enttarnen können. Somit erhält jeder Teilnehmer genauso viel Training wie nötig, aber so wenig wie möglich.

Ziel ist es, Unternehmen dabei zu unterstützen eine aktiv gelebte Sicherheitskultur zu etablieren, die auf nachhaltig sensibilisierten Mitarbeitern basiert, die ihre Verantwortung für das Unternehmen kennen und wahrnehmen. Alle ziehen an einem Strang und erhöhen so die Sicherheit ihres Unternehmens.

Das klingt interessant? Testen Sie unsere kostenfreie Phishing-Simulation: Als Teilnehmer unserer Demo erhalten Sie innerhalb von zwei Werktagen vier Phishing-E-Mails. Falls Sie (aus Versehen oder aus Neugier) auf einen enthaltenen Link klicken, landen Sie auf unserer Erklärseite.

 Jetzt testen

  • Security Awareness messbar gemacht mit unserem ESI®: Der Employee Security Index ist ein wissenschaftlicher Benchmark zur Messung des IT-Sicherheitsbewusstseins (Security Awareness) in Organisationen. Er ermöglicht darüber hinaus eine Vergleichbarkeit. Welche Abteilung oder Branche ist wie sensibilisiert? Wo werden noch Maßnahmen benötigt? Mit dem ESI®, einer Kennzahl der Informationssicherheit, wird dies sichtbar.
  • Wappnung gegen Spear-Phishing durch Kriminelle: Um die Mitarbeitenden bestmöglich für Angriffe von Cyber-Kriminellen zu sensibilisieren, haben wir die patentierte Spear-Phishing-Engine entwickelt. Diese sammelt öffentlich zugängliche Informationen aus Beruflichen Netzwerken (Open Source Intelligence, kurz OSINT) und erstellt darauf basierend realistische Spear-Phishing-Simulationen mit personalisierter Ansprache und authentischen Inhalten. Wir wollen, dass Mitarbeitende mit realitätsnahen und vertrauenserweckenden Nachrichten für den Ernstfall trainieren können. Wir betreiben kein generisches “Massen-Phishing”.
  • Unser Mitgründer und CEO David Kelm ist ein versierter Social-Engineering-Experte: David Kelm beschäftigt sich seit 2012 dem Thema Social Engineering (Mitarbeitermanipulation durch Kriminelle). Für seine wissenschaftlichen Erkenntnisse rund um den “Faktor Mensch” in der IT-Sicherheit gewann Kelm den „Best-Student-Award” des Bundesamts für Sicherheit in der Informationstechnik (BSI). Er ist davon überzeugt, dass Mitarbeitende mit dem richtigen Lernansatz zur “menschlichen Firewall” ihres Unternehmens werden können – anstatt dessen Sicherheit zu gefährden.
  • Unsere Arbeit basiert auf wissenschaftlichen Erkenntnissen: Unsere Maßnahmen für die Mitarbeitersensibilisierung gegen Spear Phishing sowie deren Erfolgsmessung basieren auf erfolgreicher Forschung. Mit David Kelm hat unser Start-up, das eine Ausgründung der TU-Darmstadt ist, darüber hinaus einen versierten Experten für Social Engineering, insbesondere Spear Phishing, an seiner Spitze.
  • Datenschutz und Mitarbeiterfreundlichkeit Hand in Hand:  Da wir Mitarbeitende sensibilisieren, aber nicht anschwärzen wollen, achten wir darauf, dass sie bei der Auswertung stets anonym bleiben. Wir evaluieren den Erfolg unserer Maßnahmen nur gruppenbasiert und unsere Datenverarbeitung erfolgt natürlich DSGVO-konform.
  • Made in Germany: Die IT-Seal GmbH ist ein deutsches Unternehmen, das hauptsächlich auf den deutschen Markt spezialisiert ist. Hier ansässige Geschäftskunden bekommen somit von uns DSGVO-konforme Dienstleistungen, die auch in sonstiger Hinsicht die hier geltenden gesetzlichen Bestimmungen einhalten. Schon bei der Entwicklung unserer Lösungen stehen für uns Mitarbeiter- und Datenschutz im Vordergrund (“security & privacy by design”).
  • Die deutschlandweit erste lokale Cyber-Security-Kampagne: Mit “Bleib wachsam, Darmstadt!” haben wir mit der Wissenschaftsstadt Darmstadt und der Digitalstadt Darmstadt eine bisher einmalige Initiative ins Leben gerufen, die Bürgerinnen und Bürgern ein kostenloses IT-Sicherheitstraining bietet und sie für Phishing sensibilisiert.
  • Mehrfach ausgezeichnet: Für unsere Maßnahmen rund um Mitarbeitersensibilisierung und unsere Ideen für deren Mess- und Vergleichbarkeit haben wir folgende Preise gewonnen:
            – 1. Platz als „Bestes Cybersecurity Startup Deutschlands“ auf der it-sa
           – 1. Platz beim europaweiten Social Engineering-Wettbewerb des TREsPASS_Projects
           – „Top 10 der besten Cyber Security Startups Europas“ beim SBA-Research-Wettbewerb
           – „Best Student Award“ des Bundesamts für Sicherheit in der Informationstechnik (Preisträger: Unser Mitgründer und Ideengeber David Kelm)
 
Mehr zu uns finden Sie auf „Warum IT-Seal?“ Haben Sie Fragen? Wir freuen uns, von Ihnen zu hören!

Kontakt

IT-Sicherheitstraining für Privatpersonen:

Haben Sie Interesse an einem kostenfreien IT-Sicherheitstraining für sich, für Ihre Freunde und Familie? Dann melden Sie sich gerne bei Bleib wachsam, Darmstadt! an, eine Kampagne für alle Bundesbürger:innen.

Erfahrungen & Bewertungen zu IT-Seal GmbH
IT-Seal bietet IT-Security made in Germany.