[Partner Content – cyberunity] Phishing-Awareness Spezialisten: Hüter des Vertrauens in einer digitalen Welt

Hinweis: Dieser Inhalt wurde ursprünglich von unserem strategischen Cybersecurity-Karrierepartner Cyberunity AG in dessen Blog veröffentlicht, das Copyright liegt bei Cyberunity AG.

Geschrieben von Joshua Bucheli, KI-Ethik Forscher und Fellow beim ForHumanity Center, in Zusammenarbeit mit IT-Security Manager Kai Dorner und Peter Kosel, Gründer von cyberunity

In den letzten Jahren haben YouTuber wie kitboga und Jim Browning eine Online-Faszination für die Entlarvung von Callcenter-Betrügereien entwickelt, ein Zeitvertreib, der als „Scambaiting“ bekannt geworden ist. Indem sie sich als gefährdete IT-Benutzer ausgeben, ködern diese Cyber-Bürgerwehrler bösartige Akteure, die sich als IT-Support ausgeben, um den Spieß umzudrehen, ihre Phishing-Betrügereien zu entlarven und dabei Millionen von Zuschauern zu gewinnen.

Diese Viral-Videos sind zwar komisch, aber nicht zum Lachen – sie zeigen, wie leicht man auf Phishing-Betrügereien hereinfallen kann, und sie verdeutlichen, wie wichtig es ist, das Bewusstsein dafür zu schärfen, wie man vertrauenswürdige Parteien erkennt.

Vertrauen ist der Grundstein, auf dem alle unsere sozialen und auch digitalen Interaktionen basieren. Wir vertrauen dem E-Banking mit unseren Finanzen, Apps mit unseren Passwörtern, Systemen mit unserer Infrastruktur und Clouds mit unseren Daten. Phishing“-Angriffe sind eine Form des Social Engineering, die dieses Vertrauen ausnutzt und damit eine der grössten Bedrohungen für die Datensicherheit darstellt.

Wo steht das Thema Phishing heute?

Im Gegensatz zu technischen Cyberangriffen, bei denen Verschlüsselungen mit Brute-Force-Ansätzen geknackt oder Exploits zur Ausnützung von Schwachstellen verwendet werden, ist Phishing eine subtilere Angelegenheit. Es funktioniert nach dem gleichen Grundsatz wie das gewöhnliche Angeln: man wirft köder aus und schaut wer anbeisst. Das Ziel ist es, Benutzerdaten oder Zugriff auf Systeme zu ergaunern, indem eine legitime Website imitiert wird. Da es auf dem einfachen Prinzip der Täuschung beruht, ist es zu einem Hauptbestandteil des Arsenals von Cyber-Kriminellen geworden. Kriminelle auf der ganzen Welt.

„Hacker locken Benutzer entweder auf eine gefälschte Anmeldeseite und ködern sie, ihre sensiblen Daten einzugeben, oder sie verleiten sie, auf Links zu klicken, die Malware oder Ransomware auf ihre Geräte herunterladen. Solche Angriffe können den Hackern nicht nur Zugang zu einem System oder sensiblen Daten verschaffen, sondern sie können auch jemanden von diesen Systemen und Daten aussperren, bis ein Lösegeld gezahlt wird“. – erklärt Kai Dorner, IT Security Manager.

Was Phishing unter den Cyberangriffen einzigartig macht, ist die Tatsache, dass es auf Social Engineering – die Manipulation der Sozialpsychologie – setzt, um Menschen auszunutzen.

Wer sich für mehr Details über Social Engineering interessiert, kann sich Kai’s Anti-Phishing-Modell ansehen, die sechs Prinzipien der Überzeugung auf den Seiten 8-10 seiner Dissertation nachlesen oder hier mehr über die Feinheiten des ‚Hacking Human‘ erfahren .

Wohin geht die Reise beim Phishing?

Wie der Obama-Depfake des Komikers und Regisseurs Jordan Peele zeigt, führt das Aufkommen immer fortschrittlicherer Technologien zur Gesichts- und Stimmerkennung dazu, dass die Raffinesse von Phishing-Angriffen neue Dimensionen erreicht. Je weiter diese Technologien fortschreiten, desto schwieriger wird es, die Vertrauenswürdigkeit von Inhalten zu beurteilen, was „Vishing“ (Voice Phishing) und andere Varianten des Phishings noch gefährlicher macht.

Die Unternehmen beginnen zu begreifen, dass solche Probleme ihre Aufmerksamkeit verdienen. Es gibt jedoch einen Unterschied zwischen Wissen und Bewusstsein, und im Moment ist das Bewusstsein dafür, was Phishing mit sich bringt, noch begrenzt – das verderbliche Gefühl „Warum sollte sich jemand für mich interessieren?“ ist noch allzu verbreitet.

Während einige Branchen, vor allem der Finanzsektor, bei der Umsetzung von Anti-Phishing-Strategien die Nase vorn haben, müssen die meisten Unternehmen noch erkennen, wie wichtig selbst kleine Schritte wie Mitarbeiter-Workshops oder Mini-Sensibilisierungskampagnen für ihren Ruf und die Sicherheit ihrer Arbeitsplätze sind, meint Kai.

„Ein Auge zuzudrücken ist immer noch viel zu häufig, und es ist das Schlimmste, was ein Unternehmen in der heutigen Zeit tun kann. Selbst etwas so Einfaches wie das Thema bei einem Kaffee mit Kollegen anzusprechen, kann lohnende Ergebnisse bringen – schließlich kann ein dynamischer Gedankenaustausch effektiver sein, als sich ausschließlich auf webbasierte Schulungen zu verlassen.“

Phishing-Spezialisten – Harte Fähigkeiten und Qualifikationen

Phishing-Angriffe nutzen das Vertrauen aus – der Schutz vor solchen Angriffen wird daher in erster Linie eine Frage der Sensibilisierung sein. Unternehmen werden zunehmend CISOs, ISOs und Operational Risk Officers benötigen, die ihnen helfen können, zwischen legitimen und bösartigen Dritten zu unterscheiden und die im Sinne von ICS auch ihre Mitarbeiter darin schulen können.

Dies erfordert Cybersecurity-Anwärter mit soliden analytischen Fähigkeiten, einer breiten Kombination von IT-, Cybersecurity- und Betrugserkennungs-Know-how sowie der Fähigkeit, diese Fähigkeiten an Kollegen weiterzugeben.

„Arbeitgeber sind auf Personen angewiesen, die verstehen, wie Server aufgebaut, betrieben und gewartet werden und wie Mail-Filter mutmaßliche Phishing-Angriffe erkennen – Personen mit soliden Grundlagen in Netzwerktechnik und Cloud- und Systemarchitektur“, rät Kai.

Je größer das Unternehmen ist, desto wahrscheinlicher ist es, dass es diese Fragen auf einer umfassenderen internen Basis behandeln will. Für diejenigen, die an solchen Positionen interessiert sind, sind große Unternehmen ein guter Ort, um nach Jobs zu suchen. In den meisten anderen Fällen geht es um Beratung. Sicherheitsberatungsfirmen bieten spezialisierte Stellen in verschiedenen Nischen der Phishing- und Cybersicherheit an.

Praktische Erfahrung in der Implementierung von Phishing-bezogenen Cybersecurity-Strategien wie Multi-Faktor-Authentifizierung, VPN- und Proxy-Dienste, Firewalls, Datenverschlüsselung, Anpassung von Filtern und die Durchführung von Schwachstellenanalysen und Penetrationstests sind weitere Fähigkeiten, die Phishing-Awareness-Spezialisten in ihren Bewerbungen hervorheben sollten.

Was die Zertifikate betrifft, so ist jede professionelle Ausbildung, die Kenntnisse in den Bereichen Betrugserkennung, ethisches Hacken oder Cybersicherheit im Allgemeinen nachweist, wie z.B. CISSP, CISM, CCAP, CEH und die PhishMe-Zertifizierung von Cofense, von zusätzlichem Wert.

Vertrautheit mit internationalen Implementierungsstandards und Richtlinien wie den NIST-Frameworks, dem BSI IT-Grundschutz-Kompendium, dem COBIT-Framework der ISACA, dem (ISC)² Body of Knowledge, dem MITRE ATT&CK Enterprise Framework oder ISO/IEC 27001 ist ebenfalls von Vorteil.

Kai betont jedoch, dass praktische Erfahrung weitaus wertvoller ist als jedes Zertifikat – „die Türen zu einer Karriere im Bereich Phishing-Awareness stehen praktisch jedem offen, der eine Leidenschaft für das Thema und einschlägige Erfahrungen vorweisen kann“.

Persönlichkeit – über technisches Know-How hinaus:

Wie bei den meisten anderen Karrierewegen im Bereich der Cybersicherheit sind harte Fähigkeiten nicht die einzigen Zutaten für das Erfolgsrezept. Um ein effektiver Phishing-Spezialist zu sein, bedarf es einer besonderen Art von Persönlichkeit.

Unternehmen brauchen hochgradig soziale ‚Awareness-Typen‘, die ein Händchen dafür haben, eine Botschaft zu verbreiten – Teamplayer mit der nötigen Neugier, Geduld und Kommunikationsfähigkeit, um Konfliktfälle produktiv zu bewältigen. Idealerweise bringen diese Personen auch Gewohnheiten mit, die denen von Sicherheitsscouts ähneln – den Eifer, ihre Fähigkeiten ständig weiterzuentwickeln, um mit der sich ständig weiterentwickelnden Welt der Technik Schritt zu halten.

Kai rundet seinen Bericht über wichtige Soft Skills mit den folgenden Ratschlägen ab: „Im Bereich der Aufklärungskampagnen ist die Fähigkeit, sich in die Lage eines anderen hineinzuversetzen, von entscheidender Bedeutung, um sicherzustellen, dass das Wissen nicht nur vermittelt, sondern auch verinnerlicht wird – Empathie wird daher eines der mächtigsten Werkzeuge im Repertoire eines effektiven Phishing-Aufklärungsspezialisten sein.“

Peter Kosel, Gründer, Talent Community Manager und Pionier des KNOW YOUR TALENTS-Rekrutierungsansatzes bei cyberunity, fasst die Sache wie folgt zusammen:

„Wir müssen sehr darauf achten, dass diese neue Sorge um die Cybersicherheit nicht zu einer Besessenheit wird. Übervorsichtigkeit kann zu einem Hindernis für gute Geschäfte werden, und das tut niemandem gut. Wenn wir uns von der Angst überwältigen ließen, würden wir alle unsere Geräte abschalten – dann wäre zwar alles sicher, aber so ziemlich jeder wäre arbeitslos. Die Kunst besteht darin, die Frage der Phishing-Sensibilisierung so anzugehen, dass sie sowohl für Unternehmen von Vorteil ist als auch von Kunden und Mitarbeitern als nachhaltiger und existenziell wichtiger Mehrwert gesehen wird – und das wird nur geschehen, wenn Arbeitgeber die Bedeutung des Aufbaus und der Pflege von Beziehungen zu erfahrenen Personen erkennen: Cybersicherheit bedeutet: KENNE DEINE LEUTE.“

Wo steht das Thema Phishing heute?

Wohin geht die Reise beim Phishing?

Phishing-Spezialisten – Harte Fähigkeiten und Qualifikationen

Persönlichkeit – über technisches Know-How hinaus:

5 beste Dokumentarfilme zur Cybersicherheit, die Sie 2021 unbedingt sehen müssen

Zusammenstellung von Cybersecurity-Experten: 4 Expertenmeinungen zur Cybersicherheit für kleine Unternehmen

[SwissCyberSecurity .net feature] Dies sind die Finalisten für die Swiss CISO Awards 2024

[Partner Content – cyberunity] Führungspersönlichkeiten in der Informationssicherheit: Wegbereiter für ein umfassendes Sicherheitsmanagement