Spear Phishing 2.0: Wie automatisierte Angriffe Organisationen vor neue Herausforderungen stellen

Franz, Anjuli ; Benlian, Alexander (2024)
Spear Phishing 2.0: Wie automatisierte Angriffe Organisationen vor neue Herausforderungen stellen.
In: HMD : Praxis der Wirtschaftsinformatik, 2020, 57 (3)
doi: 10.26083/tuprints-00023996
Article, Secondary publication, Publisher's Version

Text
s40702-020-00613-y.pdf
Copyright Information: CC BY 4.0 International - Creative Commons, Attribution.
Download (1MB)

Item Type:

Article

Type of entry:

Secondary publication

Title:

Spear Phishing 2.0: Wie automatisierte Angriffe Organisationen vor neue Herausforderungen stellen

Language:

German

Date:

18 June 2024

Place of Publication:

Darmstadt

Year of primary publication:

2020

Place of primary publication:

Wiesbaden

Publisher:

Springer Vieweg

Journal or Publication Title:

HMD : Praxis der Wirtschaftsinformatik

Volume of the journal:

Issue Number:

DOI:

10.26083/tuprints-00023996

Corresponding Links:

Origin:

Secondary publication DeepGreen

Abstract:

Vom ursprünglichen „Phishing = Passwort + Fishing“ wandelt sich das Angriffsmuster durch neue Technologien zum boomenden Geschäftsmodell der cyberkriminellen Szene. Schadsoftware wie „Emotet“ zeigt, dass automatisierte Spear Phishing-Angriffe Realität geworden sind und immense Schäden verursachen. Der Mitarbeiter rückt damit in den Fokus von IT-Sicherheitsmaßnahmen. Das Ziel dieses Beitrags ist es, einen Rundumblick zur aktuellen und zukünftigen Bedrohungslage durch Spear Phishing zu geben und konkrete Handlungsempfehlungen abzuleiten. Zur Messung der Security Awareness im organisatorischen Umfeld wird die Kennzahl „Employee Security Index“ vorgestellt, welche das Sicherheitsbewusstsein von Mitarbeitern gegenüber Phishing-Angriffen standardisiert messbar macht. Es wurde ein Feldexperiment in einer deutschen Organisation durchgeführt, um die Verwundbarkeit der Belegschaft gegenüber Spear Phishing und die Wirksamkeit verschiedener Trainingsmaßnahmen zu untersuchen. Die erhobenen Daten werden mithilfe des „Employee Security Index“ bewertet. Insgesamt verdeutlichen die Ergebnisse, dass neben technischen und organisatorischen Schutzmaßnahmen sowohl eine Schulung der Mitarbeiter als auch ein Umdenken nutzerverbundener Prozesse unabdingbar ist.

Alternative Abstract:

Alternative Abstract

Language

From the original “Phishing = Password + Fishing”, new technology allows attack patterns to change and make Phishing a booming business of the cybercriminal scene. Malware, such as “Emotet”, shows that automated Spear Phishing attacks have become reality and cause immense damage. This puts the employee in the focus of IT security measures. The aim of this paper is to provide an overview of the current and future threat posed by Spear Phishing and to derive guidance for IT security management. We introduce the “Employee Security Index”, an index to measure security awareness against Phishing attacks in the organizational environment in a standardized way. A field experiment was conducted in a German organization in order to investigate the vulnerability of its workforce to Spear Phishing and the effectiveness of various training measures. The data collected is evaluated using the “Employee Security Index”. Overall, the results of this paper make it clear that, in addition to technical and organizational protective measures, both employee training and a rethinking of user-related processes are indispensable.

English

Uncontrolled Keywords:

Spear Phishing, Security Awareness, Social Engineering, Emotet, Faktor Mensch, Employee Security Index

Status:

Publisher's Version

URN:

urn:nbn:de:tuda-tuprints-239968

Additional Information:

An Erratum to this article was published on 20 September 2021

In: Faktor Mensch

Classification DDC:

000 Generalities, computers, information > 004 Computer science
300 Social sciences > 330 Economics