Spear Phishing 2.0: Wie automatisierte Angriffe Organisationen vor neue Herausforderungen stellen
Spear Phishing 2.0: Wie automatisierte Angriffe Organisationen vor neue Herausforderungen stellen
Vom ursprünglichen „Phishing = Passwort + Fishing“ wandelt sich das Angriffsmuster durch neue Technologien zum boomenden Geschäftsmodell der cyberkriminellen Szene. Schadsoftware wie „Emotet“ zeigt, dass automatisierte Spear Phishing-Angriffe Realität geworden sind und immense Schäden verursachen. Der Mitarbeiter rückt damit in den Fokus von IT-Sicherheitsmaßnahmen. Das Ziel dieses Beitrags ist es, einen Rundumblick zur aktuellen und zukünftigen Bedrohungslage durch Spear Phishing zu geben und konkrete Handlungsempfehlungen abzuleiten. Zur Messung der Security Awareness im organisatorischen Umfeld wird die Kennzahl „Employee Security Index“ vorgestellt, welche das Sicherheitsbewusstsein von Mitarbeitern gegenüber Phishing-Angriffen standardisiert messbar macht. Es wurde ein Feldexperiment in einer deutschen Organisation durchgeführt, um die Verwundbarkeit der Belegschaft gegenüber Spear Phishing und die Wirksamkeit verschiedener Trainingsmaßnahmen zu untersuchen. Die erhobenen Daten werden mithilfe des „Employee Security Index“ bewertet. Insgesamt verdeutlichen die Ergebnisse, dass neben technischen und organisatorischen Schutzmaßnahmen sowohl eine Schulung der Mitarbeiter als auch ein Umdenken nutzerverbundener Prozesse unabdingbar ist.
From the original “Phishing = Password + Fishing”, new technology allows attack patterns to change and make Phishing a booming business of the cybercriminal scene. Malware, such as “Emotet”, shows that automated Spear Phishing attacks have become reality and cause immense damage. This puts the employee in the focus of IT security measures. The aim of this paper is to provide an overview of the current and future threat posed by Spear Phishing and to derive guidance for IT security management. We introduce the “Employee Security Index”, an index to measure security awareness against Phishing attacks in the organizational environment in a standardized way. A field experiment was conducted in a German organization in order to investigate the vulnerability of its workforce to Spear Phishing and the effectiveness of various training measures. The data collected is evaluated using the “Employee Security Index”. Overall, the results of this paper make it clear that, in addition to technical and organizational protective measures, both employee training and a rethinking of user-related processes are indispensable.