Um zu testen, wie hoch die Gefahrensituation für das eigene Unternehmen ist, verschickte der Softwareanbieter Gitlab in einem Phishing-Selbstversuch 50 Mails an seine durchaus IT-affinen Mitarbeiter*.
In dieser Mail wurden die Mitarbeiter* dazu aufgefordert, sich auf einer dafür erstellten authentisch wirkenden Login-Seite für ein Update einzuloggen. Vorab hatten die verantwortlichen Sicherheitsexperten* dafür lediglich die Domain gitlab.company registriert. Nichts, was viel Zeit und Aufwand in Anspruch nimmt und ganz der Vorgehensweise von Cyberkriminellen entspricht.
Und obwohl das IT-Unternehmen sowohl in Schulungen, als auch in einem internen Handbuch deutlich auf diese Gefahren hingewiesen hatte, meldeten sich 17 von 50 Mitarbeitern* mit ihren Daten für das Update an.
Ein Ergebnis, das einmal mehr zeigt, wie leicht Mitarbeiter* durch ein vertrautes Layout getäuscht werden können und wie notwendig eine klar definierte und beständig weiterentwickelte Security-Strategie ist, zu der auch das Beheben von Sicherheitslücken in der Rechte- und Rollenvergabe sowie regelmäßige Schulungen der Mitarbeiter* gehören. Warum nicht selbst die nächste Schulung mal in Form eines solchen Selbstversuchs durchführen? Das Ergebnis wird vermutlich ernüchternd sein, aber auch nachhaltiger sensibilisieren als Powerpoint-Charts.
*w/m/d