KnowBe4-Kommentar zum BSI-Lagebild 2020: Cyberkriminelle nutzen vermehrt HTTPS-Links für Phishing

Jelle_Wieringa_neu_klein

Jelle Wieringa, Security Awareness Advocate bei KnowBe4

„Der Einsatz von HTTPS-Links in Phishing-Nachrichten entwickelt sich hierbei immer mehr zum Standard. Hypertext Transfer Protocol Secure (HTTPS) steht für eine verschlüsselte sowie gegen Manipulation geschützte Datenübertragung und verstärkt insofern den Eindruck von Vertrauenswürdigkeit und Seriosität von Phishing-Seiten“, heißt es im aktuellen Lagebild IT-Sicherheit 2020 des BSI auf Seite 19. Dies ist, wie auch im Report dargestellt, dem Trend geschuldet, dass führende Browser-Anbieter Webseiten ohne HTTPS-Verschlüsselung als potentiell gefährlich einstufen und daher vor dem Besuch warnen.

Generell nimmt die Gefahr von Phishing eher zu, denn die E-Mails werden immer besser, weisen weniger Rechtschreib- und Grammatikfehler auf und machen sich die Unsicherheit über die COVID-19 Pandemie zu Nutze, wie auch schon in unserem aktuellen Phishing Report für das Q3 ausgewiesen.

Besorgniserregend ist vor allem, dass laut einem Report des Europäischen Zentrums für Cyberkriminalität von 2019, Phishing-Angriffe mittlerweile zum Bestandteil von 65 Prozent aller in Europa gemeldeten Cyberangriffe geworden sind. Keine Angriffsmethode wird häufiger als Angriffsvektor genutzt.

Zu einem vergleichbaren Ergebnis kommt auch der Europäische Zahlungsverkehrsausschuss. Er geht davon aus, dass Phishing- und Social Engineering-Angriffe in den kommenden Jahren sogar noch weiter zunehmen werden. Außerdem rechnet er mit einer Verschiebung des Angriffsfokus. Weg von einfachen Internetnutzern, Einzelhändlern und Fachkräften, hin zu Führungskräften und ihren Angestellten.

Unternehmen sollten in den Aufbau einer „menschlichen Firewall“ investieren. Dafür müssen alle Mitarbeiter mit einem fortgeschrittenen New School-Security Awareness-Training und darin enthaltenen regelmäßig durchgeführten simulierten Phishing-Tests geschult werden. Mitarbeiter werden dann trainiert Phishing E-Mails zu erkennen. Mitarbeiter können außerdem ein Plug-In namens „Phish-Alert-Button“ in ihr Outlook installieren. Dies ist ein Knopf, bei dem die Betroffenen merkwürdig aussehende und von unbekannten Absendern stammende E-Mails direkt und einfach an ihre IT-Abteilung melden können.