THE YOOTH - stock.adobe.com

Wie man Smishing in Sicherheitsschulungen einbindet

Smishing stellt eine große Bedrohung für Unternehmens-Smartphones dar. Nutzer wissen sich jedoch möglicherweise nicht, wie es im Vergleich zu E-Mail-Phishing zu bewerten ist.

Da immer mehr Mitarbeiter über ihre Mobiltelefone auf Unternehmensdaten zugreifen, muss die IT-Abteilung ihre Sicherheitsschulungen anpassen, um die Bedrohungen für diese Geräte zu berücksichtigen.

Eine Variante des Phishing ist das sogenannte SMS-Phishing oder Smishing, bei dem statt E-Mails SMS-Nachrichten verwendet werden. Wie bei E-Mail-basierten Phishing-Angriffen besteht das Ziel dieser Nachrichten darin, die Empfänger dazu zu verleiten, sensible Informationen preiszugeben oder auf schädliche Links zu klicken.

In den letzten Jahren hat sich Smishing zu einem wichtigen Angriffsvektor entwickelt. Ein Grund, warum diese Art von Social-Engineering-Angriffen für Cyberkriminelle so attraktiv ist, ist das mangelnde Bewusstsein der Nutzer. Zwar haben viele Unternehmen viel Geld investiert, um ihren Mitarbeitern beizubringen, wie sie Phishing-Versuche erkennen können, die Gefahr durch Smishing wurde jedoch weitgehend ignoriert. Um die Sicherheit von Unternehmen in der heutigen Bedrohungslandschaft zu gewährleisten, müssen IT-Teams die Nutzer darin schulen, Smishing-Betrugsversuche zu unterbinden.

Warum ist Smishing eine Bedrohung für die Unternehmenssicherheit?

Man könnte versucht sein, Smishing-Angriffe als Cyberbedrohung zu betrachten, die nur das Smartphone eines Endanwenders betrifft. Diese Art von Angriffen kann jedoch Konsequenzen für das Unternehmen haben, selbst wenn sie auf ein persönliches Gerät abzielen. Hacker entwickeln Smishing-Angriffe zum Beispiel häufig, um die Anmeldedaten von Benutzern zu stehlen. Wenn ein Benutzer als Reaktion auf einen solchen Versuch seine Arbeitsanmeldedaten eingibt, könnte dies dem Angreifer Zugriff auf das Unternehmensnetzwerk verschaffen.

Natürlich gibt es viele verschiedene Arten von Smishing-Angriffen, und sie zielen nicht immer auf den Diebstahl von Anmeldedaten ab. Einige Angriffe versuchen, Malware auf den Mobilgeräten der Benutzer zu installieren. Wenn ein Benutzer von einem infizierten Gerät aus auf das Unternehmensnetzwerk zugreift, könnte die Malware auf dem Gerät den Angreifern eine Hintertür in das Netzwerk verschaffen. Dies ist eine besonders besorgniserregende Möglichkeit für jedes Unternehmen, das ein BYOD-Programm hat.

Der Problem mit Smishing gegenüber anderen Phishing-Methoden

Neben der mangelnden Sensibilisierung der Nutzer ist Smishing aus mehreren Gründen eine besonders gefährliche Form des Phishings. Smishing ist tendenziell effektiver als E-Mail-Phishing, da SMS-Nachrichten eine höhere Öffnungsrate als E-Mails haben.

Einige Benutzer halten Textnachrichten möglicherweise auch für glaubwürdiger als E-Mails. Da Spam-E-Mails weit verbreitet sind, beschäftigen sich die meisten Benutzer nicht mit Nachrichten, die auch nur im Entferntesten gefälscht oder unwichtig aussehen. Da Spam-SMS hingegen weniger verbreitet sind, sind Benutzer möglicherweise eher bereit, einer fragwürdigen Textnachricht zu vertrauen. E-Mails sind in der Regel auch länger als Textnachrichten, sodass mehr Raum für Fehler und andere Warnsignale besteht, die Benutzer entdecken können.

Ein weiteres Problem sind die möglichen Schutzmaßnahmen. Mit herkömmlichen Cybersicherheitstools kann die IT-Abteilung Smishing nicht abwehren. Im Gegensatz zu E-Mails werden Smishing-SMS direkt vom Absender an den Empfänger gesendet. Sie müssen nicht zuerst das Netzwerk des Arbeitgebers des Empfängers passieren. Mit anderen Worten: Es ist für Unternehmen unmöglich, SMS-Nachrichten zu filtern, die an die persönlichen Geräte der Endanwender gesendet werden.

Es gibt jedoch Apps, die Smishing-Angriffe nachträglich erkennen können. Mit diesen Tools können IT-Teams alle Angriffsmuster identifizieren, die auf Mitarbeiter abzielen, und entsprechend reagieren. Da Smishing-Angriffe häufig Mitarbeiter eines Unternehmens zum Ziel haben, richten einige IT-Abteilungen eine spezielle Telefonnummer ein. An diese können Benutzer verdächtige Textnachrichten weiterleiten. So können Administratoren die Benutzer auf aktuelle Smishing-Kampagnen aufmerksam machen. Diese Taktiken sind zwar hilfreich, bieten jedoch keine systematische Prävention.

Schulung von Endanwendern zum Schutz vor Smishing-Angriffen

Um den Mangel an wirksamen Präventionsinstrumenten auszugleichen, sollten Unternehmen Smishing-Schulungen in ihre umfassenderen Programme zur Sensibilisierung für Cybersicherheit integrieren.

Sicherheitsadministratoren können Hinweise zu Smishing als Teil von Phishing- oder Mobilfunk-Sicherheitsmodulen einbauen. Die Schulungen sollten folgende Informationen umfassen:

  • Beispiele für Smishing-Textnachrichten: Gehen Sie auf Warnsignale ein, zum Beispiel Anfragen nach Bankkontodaten oder anderen sensiblen Informationen, Rechtschreib- oder Grammatikfehler, dringliche Formulierungen, ungewöhnliche Telefonnummern und verkürzte URLs.
  • Wie man auf eine verdächtige Textnachricht reagiert: Unterrichten Sie die Benutzer, wie sie feststellen können, ob eine Nachricht betrügerisch ist, und wie sie den Vorfall melden können.
  • Was tun, wenn ein Smishing-Angriff erfolgreich war: Erläutern Sie die Schritte, die Benutzer befolgen sollten, wenn sie feststellen, dass sie auf einen Smishing-Betrug hereingefallen sind. Erklären Sie, wie sie das IT-Team erreichen können und welche Maßnahmen dieses ergreifen könnte, zum Beispiel das Gerät unter Quarantäne stellen und nach Malware scannen.
  • Bewährte Verfahren zur Verhinderung von Phishing und anderen Bedrohungen: Stellen Sie sicher, dass die Mitarbeiter die wichtigsten Grundsätze der Cybersicherheit im Allgemeinen verstehen. Benutzer sollten wissen, wie sie Unternehmens- und personenbezogene Daten auf ihren Geräten schützen können.

Testen Sie das Sicherheitsbewusstsein Ihrer Mitarbeiter mit Smishing-Simulationen!

Unternehmen können die Inhalte von Sicherheitsbewusstseinstrainings durch Phishing-Simulationen vertiefen. Hierzu senden Unternehmen harmlose, aber realistische Phishing-Nachrichten an ihre Benutzer. Die IT-Abteilung kann dann verfolgen, ob Benutzer auf Links in diesen Nachrichten klicken und so die Anfälligkeit der Anwender für Cyberangriffe sowie die Veränderung dieser Anfälligkeit im Laufe der Zeit messen. Um das Verständnis der Benutzer für Smishing im Besonderen zu testen, können Unternehmen Smishing-Simulationen durchführen.

Die rechtliche Lage im DACH-Raum

Die rechtliche Lage im DACH-Raum

Phishing-/Smishing-Simulationen sind als Awareness-Maßnahme zulässig, wenn sie datenschutz- und arbeitsrechtlich einwandfrei umgesetzt werden. Generelle Grundsätze sind:

  • Transparenz
  • offene und positive Sicherheitskultur
  • Datenminimierung
  • kurze Speicherfristen
  • keine Bloßstellung oder arbeitsrechtlichen Konsequenzen

In Deutschland sollten sie auf eine arbeitsbezogene Datenverarbeitung gestützt werden, da Einwilligungen wegen des Abhängigkeitsverhältnisses meist ungeeignet sind. Der Betriebsrat sollte frühzeitig eingebunden werden, um Zweck, Ablauf, Auswertung (vorzugsweise aggregiert) sowie Löschfristen in einer Vereinbarung festzulegen.

In Österreich sind kontrollierende Maßnahmen nur mit Betriebsvereinbarung beziehungsweise ohne Betriebsrat mit individueller Zustimmung zulässig.

In der Schweiz dürfen Systeme nicht primär der Verhaltenskontrolle dienen. Die Mitarbeitenden sind zu informieren und es ist eine Interessenabwägung erforderlich.

Das Einrichten einer internen Smishing-Kampagne ist relativ einfach. Zunächst muss ein Angriffsszenario entwickelt werden, das einen realen Smishing-Vorfall nachahmt. Dies könnte zum Beispiel ein gefälschter Link zur Sendungsverfolgung, eine Anfrage zum Zurücksetzen des Passworts oder ein Link zu Dokumenten aus der Personalabteilung sein. Sobald das IT-Team eine solche Nachricht erstellt hat, kann es ein internes oder externes Tool verwenden, um die Smishing-Nachricht an die Telefone der Mitarbeiter zu senden. An diesem Punkt muss nur noch abgewartet werden, ob jemand auf den eingebetteten Link klickt.

Damit diese Art von Schulung optimal wirkt, ist es wichtig, denjenigen, die auf den Smishing-Link klicken, sofort Feedback zu geben. Unternehmen können den Benutzern eine Folge-Nachricht senden, um ihnen mitzuteilen, dass sie den gefälschten Smishing-Versuch nicht erkannt haben.

Die IT-Abteilung sollte regelmäßig Smishing-Simulationen durchführen und sicherstellen, dass die Nachrichten so vielfältig sind, dass sie für die Benutzer nicht vorhersehbar werden. Wenn die Nachrichten immer dem gleichen Muster folgen oder das Unternehmen sie immer zur gleichen Zeit versendet, werden die Benutzer wahrscheinlich misstrauisch. Trainingssimulationen können nur dann effektiv sein, wenn die Benutzer glauben, dass die Nachrichten authentisch sind und aus der Außenwelt stammen.

Verfolgen Sie außerdem, welche Benutzer den Smishing-Test nicht bestehen, idealerweise mit Echtzeit-Berichten. Mit der Zeit sollten sich Muster herausbilden, welche Benutzer am anfälligsten für Smishing-Angriffe sind. Die Beobachtung dieser Anfälligkeitstrends kann IT-Teams dabei helfen, ihre Sicherheitsschulungen besser auszurichten.

Erfahren Sie mehr über Mobile Management