Phishing-Anfälligkeit

14. Februar 2015 14:29; Akt: 14.02.2015 14:29 Print

Bank testet Mitarbeiter mit Fake-E-Mail

von Barbara Ortutay, AP - Nach dem Motto «Aus Fehlern wird man klug» lassen immer mehr US-Finanzunternehmen ihre Mitarbeiter auf gefälschte Phishing-Mails hereinfallen.

storybild

Bei vielen Mitarbeitern reicht ein Fake-Mail, um sie nachhaltig zu schulen. (Bild: Keystone/AP/Mark Lennihan)

Zum Thema
Fehler gesehen?

«Ups! Die E-Mail, auf die Sie gerade reagiert haben, war eine falsche Phishing-Mail.» Wenn die Angestellten einer Bank in Tennessee das lesen, sind sie schon in die Falle getappt: Ihr Unternehmen tastet ab, ob die Mitarbeiter möglichen Hacker-Angriffen Paroli bieten oder noch Nachholbedarf haben.

Dazu nutzt Pinnacle Financial Partners ein Projekt der Sicherheitstechnologiefirma Wombat. Mit den Phishing-Fakes sollen die Mitarbeiter spürbar und eindrücklich sensibilisiert werden. Seit Beginn des Aufklärungsprojekts seien die erfolgreichen echten Phishing-Versuche um 25 Prozent gesunken, sagt Kommunikationschef Randy Withrow. Etwa einmal im Vierteljahr stellt die Bank die Mitarbeiter auf die Probe.

Effektiver Test

Wer den Link einer solchen Sensibilisierungsmail öffnet, liest weiter: «Keine Sorge. Dies wurde Ihnen geschickt, um Sie zu lehren, wie man wirklichen Angriffen entgeht. Bitte geben Sie Ihre Erfahrung nicht an Kollegen weiter, damit diese auch selbst dazu lernen können.» Häufig ist schon die erste Lektion erfolgreich. Die Mitarbeiter nähmen es «sehr persönlich», wenn sie auf diese Mails hereinfielen, sagt Withrow. Sie fragten sich, wie ihnen das passieren konnte.

Gut für die Bank, wenn es sich nur um Tests handelt. Sonst hätte der angeklickte Link am Ende des Textes den Nutzer auf eine Seite geführt, über die Passwörter und andere Daten abgefischt werden. Phishing – also Versuche, mit gefälschten E-Mails, Webseiten oder Kurznachrichten an persönliche Daten eines Nutzers zu kommen – ist nach Erkenntnissen des Telekommunikations- und Technologiekonzerns Verizon sehr effektiv. 18 Prozent aller Nutzer folgten dem gefährlichen Link in Mails.

Fake E-Mail von Obama

Dabei nimmt Phishing nicht nur im Umfang zu, auch die Hintermänner denken sich immer cleverere Methoden aus. Die Hacker würden immer raffinierter, um glaubwürdig zu wirken und die Opfer anzusprechen, erklärt Patrick Peterson, Geschäftsführer der Sicherheitsfirma Agari. Da werden etwa vom Lieblingsgeschäft Karten zum Valentinstag angeboten oder es wird auf eine vermeintliche Botschaft von Präsident Barack Obama zur Ebola-Krise verlinkt.

Immer mehr Unternehmen in den USA setzen daher auf Sensibilisierungsprogramme, wie sie Wombat oder die Software-Firma PhishMe anbieten. Während früher ein «Computerfreak im Hinterzimmer» für die Datensicherheit verantwortlich gewesen sei, sei diese in den vergangenen Jahren zur Chefsache geworden, sagt PhishMe-Mitbegründer Rohyt Belani. Auch die Angreifer und ihre Absichten hätten sich gewandelt – vom Witzbold zu kriminellen Organisationen oder gar Staaten.

Training reicht nicht

Gleichzeitig sei das Bild vom schwachen und anfälligen Internet-Nutzer entstanden, der naturgemäss auf Phishing hereinfalle. Dagegen wehrt sich Belani. Er fordert vielmehr bessere Aufklärung und Ausbildung der Nutzer. «Wir haben Poster in den Gängen aufgehängt», sagt der Sicherheitsexperte, «oder Bildschirmschoner eingerichtet.» Die Wirkung sei aber gering gewesen.

Die Forderungen von Agari-Chef Patrick Peterson gehen noch weiter. Ein Training mit falschen Phishing-Mails sei sicherlich eine gute Vorsichtsmassnahme, meint er. Doch sie träfen nicht den Kern der Sache. Peterson setzt sich daher für eine Art Identifikationssystem für E-Mails ein, um es Hackern unmöglich zu machen, sich als Freund oder Geschäftspartner des Empfängers zu tarnen.

Eine solche Lösung ist noch nicht in Sicht. Bei den Angestellten von Pinnacle Financial Partners in Nashville werden ebenso wie bei den Mitarbeitern von Twitter und zahlreichen anderen Unternehmen also auch künftig Testmails auflaufen.

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • F.I. am 14.02.2015 13:58 via via Mobile Report Diesen Beitrag melden

    As usual...

    Arbeite bei einer schweizer Grossbank. Dort wird das schon seit Jahren gemacht... Für mich nix neues.

    einklappen einklappen
  • Maggs am 14.02.2015 14:36 via via Mobile Report Diesen Beitrag melden

    Erstaunlich....

    Dass das überhaupt einen Artikel Wert ist, erstaunt mich sehr. In grösseren Unternehmen ist das Gang und Gäbe

  • post am 14.02.2015 14:03 via via Mobile Report Diesen Beitrag melden

    die schweizerische post

    Gab es bei der post auch schon.

Die neusten Leser-Kommentare

  • Timo am 15.02.2015 22:18 via via Mobile Report Diesen Beitrag melden

    Bei uns auch test phishing mails!

    Unsere Firma tut dies auch und wir sind keine Bank. Ist zwar etwas nervtötend, aber anscheinend gibts bei uns Leute, die nichts besseres zutun haben als andere Mitarbeiter mit Spam mails zuzumüllen.

  • Vince am 15.02.2015 12:47 via via Mobile Report Diesen Beitrag melden

    Warnschuss

    Jeder weiss, dass die entscheidende Fehlerquelle nicht in der Hardware oder Software zu finden ist. Sondern in der Meatware vor dem PC auf dem Bürostuhl. Gut dass es von der Firma einmal einen Warnschuss vor den Bug gibt, für denjenigen, der es einfach nicht checkt.

  • Gelegenlicher PC - Anwender am 15.02.2015 07:53 via via Mobile Report Diesen Beitrag melden

    Gute Sache

    Wer hats erfunden? Ist doch völlih egal! Bin der Meinung, dass dies eine gute Sache ist wenns sporadisch durchgeführt wird. Es sensibilisiert. Übrigens, diejenigen welche so ein Mail geöffnet haben sollten eigentlich dankbar sein und sich ihrem Fehlverhalten bewusst werden! Gute Sache.

  • Rezow am 15.02.2015 00:17 via via Mobile Report Diesen Beitrag melden

    Kantonsinformatiker

    Wenn die informatikabteilung eines Betriebs oder einer Verwaltung effizient genug wäre, könnte dies gar nicht passieren. IT interen Schulung und erkennen der eigenen Sicherheitslücken, verhindert schlimmstes. Doch den kleinen Mitarbeitenden an den Pranger stellen, geht nicht.

  • oliver am 14.02.2015 23:45 Report Diesen Beitrag melden

    Schweizer Software kann das auch...

    kann jeder selber machen mit dieser schweizer Software: