karriere.at testet Phishing-Awareness der Mitarbeiter

Social Engineering Assessment von A1 Digital prüft Gefährdungspotenzial von Phishing-E-Mails und -Anrufen bei Österreichs bekanntestem Karriereportal.

karriere.at ist mit monatlich bis zu 4,9 Millionen Besuchen Österreichs größtes Karriereportal. 80 Prozent der Österreicher kennen karriere.at. Der Marktführer im Online-Recruiting verbindet passende Kandidaten mit den besten Arbeitgebern. Jobsuchende finden auf karriere.at erfolgreich passende Stellen und Unternehmen und können sich zudem selbst von Arbeitgebern entdecken lassen. Interessierte erhalten darüber hinaus auf Firmenprofilen Einblicke in die Arbeitswelt von Firmen. Die Stelleninserate erreichen tausende Jobsuchende und decken den individuellen Recruitingbedarf der Unternehmen einfach und bequem ab. Das 2004 gegründete, inhabergeführte Unternehmen beschäftigt knapp 190 Mitarbeiter in Linz und Wien.

Das Handling von tausenden aktuellen Jobangeboten stellt karriere.at immer wieder vor die Herausforderung, diese sensiblen Daten und Dienste bestmöglich zu schützen. Dementsprechend groß wird das Thema Sicherheit bei karriere.at geschrieben. Um den Sensibilisierungsgrad der Mitarbeiter für eine potenzielle Gefährdung zu testen und das Bewusstsein für das Gefahrenpotenzial zu schärfen, hat sich karriere.at für eine Social Engineering Kampagne entschieden. Mit der Durchführung des Social Engineering Assessments wurde die A1 Digital International GmbH beauftragt, die mit ihrem Offensity Security Monitoring bereits die Web-Server des Karriereportals auf eventuelle Schwachstellen scannt.

Im Rahmen des zweigleisigen Social Engineering Ansatzes wurde eine große Personengruppe in Nutzergruppen gestaffelt und mit einer E-Mail-Kampagne konfrontiert, die das Ziel hatte, über gefälschte Webseiten sensible Daten (speziell Nutzernamen und Passwörter) abzugreifen. Dazu richtete A1 Digital eine Phishing Webseite für das Sammeln von Anmeldedaten ein und versandte eine Phishing-E-Mail an die von karriere.at bereitgestellten E-Mail-Adressen der Zielgruppe. Festgestellt werden sollte die Reaktion der Mitarbeiter auf die E-Mail, um daraus die Phishing Awareness der betreffenden Mitarbeiter ableiten und verbessern zu können.

Parallel dazu wurden bei vier High Value Targets – höherrangige Mitarbeiter oder Personen, die sensible Kundeninformationen besitzen – Phishing-Anrufe getätigt. Die gefälschten Telefonanrufe verfolgten das Ziel, firmeninterne Informationen oder Kundeninformationen zu beschaffen, indem sich ein A1 Digital-Mitarbeiter als Mitarbeiter oder Kunde ausgab. Abschließend wertete A1 Digital die beim Social Engineering Assessment gewonnenen Daten aus und stellte das Ergebnis mit Handlungsempfehlungen für weitere Schritte, die die identifizierten Risiken möglichst zeitnah minimieren sollen, in Form eines PDF-Dokuments zur Verfügung.

„Nur wer seinen Sicherheitsstatus kennt, kann sich und seine Mitarbeiter sinnvoll gegen echte Phishing Angriffe schützen und wirksame Gegenmaßnahmen einleiten. Im Rahmen des auf unser Unternehmen zugeschnittenen und realistischen Social Engineering Ansatzes hat uns A1 Digital nicht nur eine außergewöhnlich gute Datenbasis geliefert, sondern auch detaillierte Analysen und Actionable Items für die Management Ebene zur Verfügung gestellt, die in entsprechende Schulungen unserer Mitarbeiter münden“, zeigt sich Christoph Grabmer, Head of SysOps bei karriere.at, mit dem Ergebnis des Social Engineering Assessments sehr zufrieden.

„Nur wer seinen Sicherheitsstatus kennt, kann sich und seine Mitarbeiter sinnvoll gegen echte Phishing Angriffe schützen und wirksame Gegenmaßnahmen einleiten! Im Rahmen des auf unser Unternehmen zugeschnittenen und realistischen Social Engineering Ansatzes hat uns A1 Digital nicht nur eine außergewöhnlich gute Datenbasis geliefert, sondern auch detaillierte Analysen und Actionable Items für die Management Ebene zur Verfügung gestellt, die in entsprechende Schulungen unserer Mitarbeiter münden.“

Christoph Grabmer, Head of System Operations bei karriere.at