Vorsicht, Phishing! Das Wichtigste in fünf Punkten

Kein Büroalltag ohne E-Mails. Der virtuelle Briefverkehr ist schnell und unkompliziert – und leider nicht ganz ungefährlich. Schon mal was von „Phishing“ gehört? Unsere TA-Experten Michael Pohl (Leitung IT-Infrastruktur), Mario Krüger (Lotus Notes Domino Administration, MDM) und Alexander Ramthun (Lotus Notes Administration, MDM) erklären, was „Phishing“ eigentlich ist, wie man sich als Unternehmen schützen kann und was es mit Angeln zu tun hat.

Plötzlich ist alles weg. Passwörter, Kreditkartendaten, Internetbanking-Zugänge. Ein Horrorszenario für jedes Unternehmen. Dabei hat ein Mitarbeiter nur auf eine Mail reagiert, die beim ersten Lesen plausibel klang. Genau das wollten die Angreifer erreichen. Ihr simpler Trick: Unter einem Vorwand fragen sie sensible Daten ab. Als Köder versenden sie „Phishing-Mails“, in denen oftmals ein Link enthalten ist, der direkt auf die täuschend echte Kopie einer bekannten Website führt. Wer dem Link folgt, zappelt schon fast am Haken. Denn die Internetseite fordert dazu auf, private oder, noch schlimmer, Firmendaten einzugeben. Wer das tut, spielt sie den Angreifern direkt in die Hände. 

„Gephisht“ wird allerdings auf mehreren Wegen. „Es gibt unzählige weitere Methoden, mit denen Angreifer vorgehen. Manche geben sich sogar als Vorgesetzter aus, der dringend Zugang zum Firmenkonto braucht oder eine direkte Überweisung ohne Umwege anfordert“, sagt Michael Pohl, Leitung IT-Infrastruktur bei TA Triumph-Adler. Das größte Risiko dabei: der eigene Mitarbeiter. „Indem Angreifer die Unwissenheit und das Vertrauen von Mitarbeitern ausnutzen, machen sich diese oftmals unwissentlich zu ihren Helfern.“

„Phishing“: Nicht jedes Unternehmen ist vorbereitet 

Die Gefahr ist gegenwärtig: 62 Prozent der deutschen Unternehmen wurden in den vergangenen zwei Jahren mindestens einmal Opfer eines E-Mail-Betrugs (im weltweiten Durchschnitt 75 Prozent). Das zeigt eine aktuelle Studie des Cybersecurity-Unternehmens Proofpoint. Ein Drittel (32 Prozent) der deutschen Befragten gaben zudem an, dass ihr Unternehmen mehrfach Ziel eines derartigen Angriffs wurde. Und trotzdem: Zwar sehen deutsche Unternehmen (77 Prozent) E-Mail-Betrug als bedeutende Bedrohung an, vernachlässigen aber überdurchschnittlich oft Schutzmaßnahmen.

Das Problem: Gegen die „Schwachstelle Mensch“ hilft keine Firewall. Wer die größten Gefahren und gängigsten Tricks der Angreifer jedoch kennt, kann sich besser schützen. 

Die 5 wichtigsten Punkte auf einen Blick:

1. Definition: „Phishing“ ist ein zusammengesetztes Wort aus den englischen Begriffen „password“ und „fishing“. Übersetzt steht es für das „Abfischen“ von Zugangsdaten, wozu Passwörter, PINs, persönliche Daten und Unternehmensinformationen zählen.

2. Methoden: Phishing ist nicht gleich Phishing. Je nach anvisiertem Opfer werden unterschiedliche Techniken verwendet. Die häufigsten Maschen: 

  • Spear-Phishing: Maßgeschneiderte E-Mail-Angriffe, die unter Nutzung persönlicher Daten auf eine bestimmte Gruppe oder einzelne Personen gerichtet sind.
  • Whaling: Eine Form des Spear-Phishings, das auf Führungskräfte innerhalb einer Organisation abzielt.
  • Vishing (oder Voice-Phishing): Hier werden finanzielle oder persönliche Details über das Telefon erfragt. Eine häufige Masche der Betrüger ist es, sich als Mitarbeiter einer Behörde auszugeben und so das Opfer einzuschüchtern. 
  • Smishing (oder SMS-Phishing): Die Betrüger nutzen Textnachrichten, um Mobiltelefone mit Malware zu infizieren oder Menschen dazu zu verleiten, sensible Informationen preiszugeben.

​3Merkmale: Laut den TA-Experten gibt es besonders bei Phishing-E-Mails einige Punkte, die erkennen lassen, dass ein Betrüger seine Angel ausgeworfen hat. Ganz typisch sind kryptische Absenderadressen, fehlerhaftes Deutsch, dringender Handlungsbedarf und die Aufforderung, persönliche Daten einzugeben oder eine Datei zu öffnen. Achten sollte man außerdem auf:

  • Angreifer nutzen oft eine Subdomain einer völlig anderen Domain, die der eines bekannten Unternehmens ähnelt. Beispiel: Ein Angreifer kontrolliert eine beliebige Domain, z. B. az-web08.net. Er präpariert dann eine Subdomain amazon.az-web08.net, auf der dann die Phishing-Seiten angezeigt werden, und suggeriert den Benutzern so, dass sie auf einer Seite von Amazon sind. Die Regel unserer Experten: ganz genau hinschauen, um die Unterschiede zu erkennen.

4. Risiken und Maßnahmen: Unternehmen riskieren durch Phishing-Attacken den Diebstahl vertraulicher Informationen, Systemschäden und den Zusammenbruch ihrer Internetdienste (Denial of Service). Im schlimmsten Fall werden Finanzdaten komprimiert, es droht ein finanzieller Verlust. „Ganz zu schweigen von den persönlichen Folgen für die Mitarbeiter“, sagt Michael Pohl. „Hier ist Schadensbegrenzung statt Standpauke angesagt, damit Mitarbeiter keine Scheu haben, in solchen Fällen direkt mit ihrem Vorgesetzten zu sprechen.“ Wichtig: Vorfall melden und den PC sofort vom Netzwerk nehmen, damit sich Malware nicht ausbreiten kann. „Es gibt zahlreiche Unterarten von Malware – das sind Programme wie zum Beispiel Viren und Trojaner, die dazu entwickelt wurden, Benutzern Schaden zuzufügen. Alle arbeiten anders und haben verschiedene Aufgaben. Ein Ziel haben sie jedoch gemein: Unternehmen zu schaden.“

5. Prävention: Mittlerweile gibt es für E-Mail-Fächer Anti-Spam-Programme. Rutscht trotzdem mal eine verdächtige Mail durch den Spamfilter: einfach mit der Maus über den fragwürdigen Link gehen, um den Ziel-Link vor dem Klick zu sehen. Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) riet jüngst im Manager Magazin, Firmenrechner zudem möglichst nicht untereinander, sondern nur mit zentralen Servern zu verbinden. Der Grund: Wenn sich einmal jemand Zugang zu einem PC verschafft hat, kann er sich theoretisch vom Rechner der Poststelle bis zur Entwicklungsabteilung vorarbeiten. 

Fazit: Spamfilter, Virenscanner, E-Mails nach Schad-Codes untersuchen – jede Unternehmens-IT versucht, Risiken möglichst zu minimieren, ominöse Anhänge zu blockieren und Warnungen an die Empfänger zu schicken. Laut unseren TA-Experten ist das jedoch „nur“ die rein technische Vorkehrung. Besonders wichtig ist es außerdem, seine Mitarbeiter zu sensibilisieren. 

Das könnte Sie auch interessieren: