Phishing-Mails gehören zu den wichtigsten Komponenten einer Cyber-Security-Strategie. Wie der tägliche Kampf dagegen gewonnen werden kann, zeigt unser Beispiel anschaulich.
Ingrid, die engagierte IT-Sicherheitsverantwortliche unserer Gemeindewerke, hat kürzlich ein wichtiges Awarenesstraining für alle 50 Mitarbeitenden durchgeführt. Das Ziel war klar: Sensibilisierung gegenüber Phishing-Mails. Doch die Lawine an Rückmeldungen, die sie nun erhält, hätte sie sich in ihren kühnsten Träumen nicht vorgestellt. Statt auf ihrem geliebten Fahrrad die Abende zu geniessen, verbringt sie die Zeit damit, Mails zu sichten.
Nach dem Training fühlten sich alle Mitarbeiter verpflichtet, Ingrid jede verdächtige Mail weiterzuleiten. So viele, dass Ingrid inzwischen an ihre Grenzen stösst. Sie steht vor einem Dilemma:
Option a: „Bitte schickt mir diese Mails nicht mehr, das ist eh alles Spam!“
Option b: „Macht das weiterhin, das ist gut… und ich sehe schnell, was gut/böse ist.“
Entschlossen, die IT-Sicherheit hochzuhalten, entschied sich Ingrid für Option b. Doch schnell zeigte sich eine unerwartete Nebenwirkung: Die Anzahl und Vielfalt der Phishing-Mails, insbesondere sogenannter „Chain Phishing“-Mails, nahm deutlich zu.
Besonders problematisch wird es, wenn die Kollegen aus der Planungsabteilung Mails mit Bildanhängen erhalten, die irgendwie verdächtig aussehen. Diese Mails stammen oft von grossen Accounts, was die Unsicherheit noch verstärkt. Die Planer sind besorgt, und Ingrid steht ebenfalls vor einem Rätsel. An wen kann sie sich in solchen Fällen wenden? Wie kann sie sicherstellen, dass diese Mails wirklich in Ordnung sind?
Hier sind einige Tipps, wie Ingrid das Problem angehen könnte:
- Etablierung eines klaren Prozesses: Ingrid könnte einen strukturierten Prozess einführen, um verdächtige Mails zu bewerten. Dies könnte beinhalten, dass die Mitarbeiter eine kurze Vorprüfung durchführen und nur besonders heikle Fälle an Ingrid weiterleiten.
- Einsatz von automatisierten Tools: Der Einsatz von Anti-Phishing-Software könnte die manuelle Prüfung entlasten. Solche Tools können verdächtige Merkmale automatisch erkennen und die Mails kategorisieren.
- Zusammenarbeit mit einem externen IT-Sicherheitsexperten: Ein externer Berater könnte bei der Einschätzung schwieriger Fälle unterstützen und zusätzliche Sicherheit bieten.
- Schulung von Schlüsselpersonen: Ingrid könnte besonders gefährdete Abteilungen, wie die Grafikabteilung, intensiver schulen und ihnen Tools an die Hand geben, um Phishing-Mails besser zu erkennen.
- Regelmässige Updates und Kommunikation: Regelmässige Updates zu neuen Phishing-Methoden und kontinuierlicher Austausch innerhalb des Teams könnten das Bewusstsein schärfen und die Mitarbeiter besser vorbereiten.
Fazit: Ingrids Entscheidung, den Mitarbeitern weiterhin die Möglichkeit zu geben, verdächtige Mails zu melden, war richtig. Doch um die Flut an Mails in den Griff zu bekommen und weiterhin effizient zu arbeiten, bedarf es einer Kombination aus Schulung, Technologie und klarem Prozessmanagement. Nur so kann Ingrid ihre Abende bald wieder auf dem Fahrrad verbringen, statt vor dem Bildschirm.
Haben Sie Fragen zu digitaler Transformation und Cyber Security? Benötigen Sie Hilfe bei der Identifikation von Phishing Mails? xseed.works begleitet EVU und KNU von der Digitalstrategie bis zur Umsetzung und der Evaluation von geeigneten Lösungen.
Peter Grupp freut sich über Ihre Kontaktaufnahme unter: