Ivanti Studie deckt auf: Immer mehr Unternehmen verlieren wegen Fachkräftemangel den Kampf gegen Phishing-Angriffe. Ein Lösungsansatz.

Die IT-Fachkräfte "phishen im Müden". Das ist das Ergebnis einer Studie der Automatisierungsplattform Ivanti, die kürzlich veröffentlicht wurde. Gemäß der Umfrage, auf der die Ivanti-Studie basiert, berichten 80 % der befragten IT-Profis von einem deutlichen Anstieg von Phishing-Versuchen im vergangenen Jahr 2020. Ebenfalls besorgniserregende 74 % der befragten Unternehmen gaben an, dass sie innerhalb der letzten Monate Opfer eines Phishing-Angriffs geworden sind. Auffällig an der Studie ist vor allem, dass IT-Fachkräfte stärker als jede andere Gruppe innerhalb eines Unternehmens Ziel von Phinshing-Angriffen wurden. Ganze 74 % der befragten IT-Profis gerieten ins Visier der Cyberkriminellen – weit mehr als jede andere Gruppe. Dass Phishing längst raffinierter ist als die bekannten „E-Mails der verstorbenen Tante aus Papua-Neuguinea“, deckt die Ivanti-Studie schonungslos auf. 47 % der befragten IT-Fachkräfte haben zugegeben, dass sie bereits auf einen solchen Cyberangriff hereingefallen sind. Die Gründe für die Zunahme an erfolgreichen Phishing-Angriffen: Unachtsamkeit, Fachkräftemangel und überlastete ITler. Wir zeigen einen Lösungsansatz, um der gefährlichen Misere zu entkommen.

Phishing, Smishing, Vishing – Die Angriffe werden immer ausgefeilter

Phishing ist eine englischsprachige Wortneuschöpfung des Begriffes „fishing“, zu Deutsch „Angeln“. Das Kunstwort setzt sich zusammen aus „password harvesting“ (Passwörter sammeln) und „fishing“ – beim Phishing werden also Köder ausgelegt, um nach Passwörtern zu angeln. Typisch für Phishing-Angriffe sind perfekt nachgeahmte Internetseiten vertrauenswürdiger Unternehmen, beispielsweise von Banken. Auf den gefälschten Seiten wir der Besucher aufgefordert, seine Login-Daten oder TAN für Onlinebanking einzugeben. Die so gesammelten Daten landen allerdings dann nicht bei der Bank – sondern bei Cyberkriminellen, die damit in aller Ruhe das Konto plündern. Damit möglichst viele User auf derartige „Angebote“ hereinfallen, wird „geangelt“ – in Form von massenhaft oder auch zielgerichtet (Spear-Phishing) versendeten E-Mails. Ebenfalls beliebt sind die sogenannten Man-in-the-Middle-Angriffe. Hier für klinken sich die Phishing Betrüger mittels eines Schadprogramms in die Kommunikation zwischen Kunde und Anbieter ein – und greifen so unbemerkt die gewünschten Daten ab.

Ergänzt wird das Portfolio an Betrugsversuchen durch Smishing, einem Neologismus aus SMS und Phishing. Für Smishing werden gefälschte SMS versendet, zumeist mit dem Hinweis auf ein versendetes Paket. Die SMS enthält einen Link, der direkt zu einer Schadsoftware oder einer Phishing-Seite führt.

Während Phishing und Smishing recht unpersönliche Kommunikationswege nutzen, geht es beim Vishing direkt an den zwischenmenschlichen Kontakt. Vishing ist die Abkürzung für Voice Phishing – übersetzen lässt sich dieses Kunstwort mit „Telefonbetrug“. Insbesondere durch den gestiegenen Anteil an Homeoffice im vergangenen Jahr hat Vishing an Relevanz zugelegt. Die Opfer werden durch den Anruf eines vermeintlichen Vorgesetzten überrumpelt – und geben vertrauliche Informationen, persönliche Daten und Kennwörter heraus.

Warum ist Phishing so erfolgreich – und warum ist der Kampf dagegen so erfolglos?

Der aktuelle Phishing-Trend zeigt, dass zunehmend Nutzer mobiler Endgeräte ins Visier genommen werden. In einer aktuellen Studie von Aberdeen lässt sich erkennen, dass Cyberangriffe auf Mobilgeräte deutlich erfolgreicher sind als vergleichbare Angriffe auf Server. Für diesen Erfolg zeichnen sich zwei Dinge verantwortlich: Mangelhafte Technologie und mangelnde Achtsamkeit der Mitarbeiter. Ein nicht ausreichendes Bewusstsein für potenzielle Cybergefahren der Mitarbeiter, die häufiger als jemals zuvor remote auf Unternehmensdaten zugreifen, ist für 34 % der in der Ivanti-Studie befragten Unternehmen der Hauptgrund für erfolgreiche Phishing-Angriffe. Dabei bieten so gut wie alle Unternehmen, nämlich satte 96 %, ihren Mitarbeitern Schulungen an, um umfassend über Phishing-Angriffe, Ransomware und Co. zu informieren. Leider wird dieses Angebot nicht in der Breite angenommen. Nur ein Drittel der Unternehmen konnte bestätigen, dass ein Großteil ihrer Mitarbeiter an den Schulungen teilgenommen hat.

Der Fachkräftemangel verstärkt das Problem

Mehr als die Hälfte der in der Ivanti-Studie befragten Unternehmen leiden unter Personalmangel – vor allem im Bereich der IT-Fachkräfte. Eine repräsentative Umfrage der Bitkom ist sogar noch dramatischer: Hier konstatieren sieben von zehn Unternehmen einen Mangel an IT-Fachkräften. Für die verfügbaren IT-Experten in den Unternehmen heißt das: Mehr Arbeit bei weniger Zeit. Erfolgreich durchgeführte Cyberangriffe werden so langsamer erkannt, unzureichend bekämpft und gleichzeitig treten Phishing-Angriffe häufiger auf. Ein echter Teufelskreis, der sich da am Horizont der Digitalisierung zusammenbraut. Eine mögliche Lösung des Problems bringt Derek E. Brink, Vice President and Research Fellow bei Aberdeen Strategy & Research, ins Spiel. „Die Reduzierung des Risikos von Phishing-Angriffen ist ein Wettlauf mit der Zeit, in mehr als einer Hinsicht. IT-Profis in Unternehmen müssen nicht nur den Angreifern einen Schritt voraus sein, die ständig neue Angriffe entwickeln, sondern auch ihren eigenen Anwendern – die erschreckend schnell auf bösartige Links klicken“, so Brink. „Während viele Unternehmen in Schulungsinitiativen zum Sicherheitsbewusstsein investiert haben, sollten sie auch fortschrittliche Automatisierung, künstliche Intelligenz und maschinelle Lerntechnologien priorisieren und anwenden. Damit lassen sich Phishing-Bedrohungen schneller und konsequenter identifizieren, verifizieren und beheben.“

Automatisierung, KI und Machine Learning – Hilfreiche Maßnahmen, aber nicht kurzfristig verfügbar

Derek E. Brink hat zweifelsfrei Recht. Eine weitestgehend automatisierte Cybersecurity, leistungsstarke künstliche Intelligenz und eine IT, die selbstständig den Umgang mit neuen Cybergefahren und dessen Bekämpfung erlernt, sind probate Maßnahmen im Kampf gegen Cyberkriminalität – und eine Alternative zur zeitintensiven Suche nach IT-Fachkräften. Allerdings sind die genannten Maßnahmen eines nicht: kurzfristig verfügbar. Ein Unternehmen, das sich heute für eine Automatisierung ihrer Cybersecurity entscheidet, steht vor einem Prozess, der sich Monate oder Jahre hinziehen kann. Alternativen sind also gefragt – vor allem solche, die kurzfristig, ohne Mehraufwand und möglichst auch ohne zusätzliche IT-Fachkräfte verfügbar sind.

Managed IT Security Services: Die Lösung im Kampf gegen den Fachkräftemangel?

Managed IT Security Services stellen eine leistungsstarke Alternative dar, wenn Unternehmen zeitnah ihre Fähigkeiten im Kampf gegen Cyberkriminalität erhöhen wollen – oder müssen. Denn nur weil ausgeschriebene IT Security Jobs unbesetzt bleiben und IT-Fachkräfte auf dem Markt nicht verfügbar sind, bedeutet dies nicht, dass ein Unternehmen auf Schutz vor Phishing, Ransomware und Datendiebstahl verzichten muss. Unter Managed IT Security Services versteht man eine durch externe Dienstleister bereitgestellte, maßgeschneiderte Sicherheitslösung. Managed IT Security Services sind rund um die Uhr aktiv, dienen extern gehostet als zusätzlicher Security Layer im Bereich der Cyber Defense und entlasten so die unternehmensinternen Fachkräfte.

Active Cyber Defense – Eine schlanke, kostengünstige und sichere Lösung

Ein umfassendes, ganzheitliches Security Information und Event Management, kurz SIEM, gilt als eine der sichersten Maßnahmen, um ein Unternehmen vor Cyberkriminalität zu schützen. Doch auch für ein SIEM braucht es IT-Fachkräfte – und gerade in diesem Bereich bleiben aktuell die meisten IT Security Jobs unbesetzt. Hier steht jedoch eine Managed Security Service Lösung bereit, die nicht nur effizient, sondern auch überaus schlank, kostengünstig und sicher ist. Mit dem Active Cyber Defense Service von secion erhalten Unternehmen rund um die Uhr und 365 Tage im Jahr eine proaktive Lösung zur Angriffsabwehr. Der Managed IT Security Service beschränkt sich dabei nicht nur auf die Überwachung der Netzwerke und der Identifizierung und Meldung ungewöhnlicher Aktivitäten. Vielmehr stellen die IT-Spezialisten ein eigenes SOC Team, dass die gemeldeten Anomalien auswertet und Handlungsempfehlungen gibt. Ein weiterer großer Vorteil dieses Managed IT Security Services: Es ist schnell verfügbar! Während bei SIEM Projekten zeitintensive Konfigurations- und Anpassungsphasen eher die Regel als die Ausnahme darstellen, wird der Active Cyber Defense Service - abhängig von der Größe des Unternehmens - in gerade einmal drei bis sieben Tagen implementiert.

Mit Managed IT Security Services den eigenen IT-Fachkräften mehr Luft verschaffen

Neben den Vorteilen in Sachen Cybersicherheit bieten Managed IT Security Services noch einen weiteren Pluspunkt: Sie entlasten das unternehmensinterne IT-Security Team von einigen Aufgaben. Dadurch können sich die Inhouse-Experten umfassender und gründlicher den Aufgaben widmen, die gerade in der aktuellen Phishing-Hochphase dringend zu erledigen sind – man denke hier unter anderem an Schulungen der Mitarbeiter. Auch bedeutet weniger Stress zumeist mehr Achtsamkeit – so dass vielleicht die nächsten Phishing-Links nicht geklickt, sondern von vornherein direkt gelöscht werden.