PHISHING: METHODEN, GEFAHREN UND WAS MAN TUN KANN

Vorsicht, Phishing! Das Wichtigste in fünf Punkten
#IT-Sicherheit #Effizienz #Wirtschaft #Digitalisierung

Kein Büroalltag ohne E-Mails. Der virtuelle Briefverkehr ist schnell und unkompliziert – und leider nicht ganz ungefährlich. Schon mal was von „Phishing“ gehört? Unsere TA-Experten Michael Pohl (Leitung IT-Infrastruktur), Mario Krüger (Lotus Notes Domino Administration, MDM) und Alexander Ramthun (Lotus Notes Administration, MDM) erklären, was „Phishing“ eigentlich ist, wie man sich als Unternehmen schützen kann und was es mit Angeln zu tun hat.

Plötzlich ist alles weg. Passwörter, Kreditkartendaten, Internetbanking-Zugänge. Ein Horrorszenario für jedes Unternehmen. Dabei hat ein Mitarbeiter nur auf eine Mail reagiert, die beim ersten Lesen plausibel klang. Genau das wollten die Angreifer erreichen. Ihr simpler Trick: Unter einem Vorwand fragen sie sensible Daten ab. Als Köder versenden sie „Phishing-Mails“, in denen oftmals ein Link enthalten ist, der direkt auf die täuschend echte Kopie einer bekannten Website führt. Wer dem Link folgt, zappelt schon fast am Haken. Denn die Internetseite fordert dazu auf, private oder, noch schlimmer, Firmendaten einzugeben. Wer das tut, spielt sie den Angreifern direkt in die Hände. 

„Gephisht“ wird allerdings auf mehreren Wegen. „Es gibt unzählige weitere Methoden, mit denen Angreifer vorgehen. Manche geben sich sogar als Vorgesetzter aus, der dringend Zugang zum Firmenkonto braucht oder eine direkte Überweisung ohne Umwege anfordert“, sagt Michael Pohl, Leitung IT-Infrastruktur bei TA Triumph-Adler. Das größte Risiko dabei: der eigene Mitarbeiter. „Indem Angreifer die Unwissenheit und das Vertrauen von Mitarbeitern ausnutzen, machen sich diese oftmals unwissentlich zu ihren Helfern.“

„Phishing“: Nicht jedes Unternehmen ist vorbereitet 

Die Gefahr ist gegenwärtig: 62 Prozent der deutschen Unternehmen wurden in den vergangenen zwei Jahren mindestens einmal Opfer eines E-Mail-Betrugs (im weltweiten Durchschnitt 75 Prozent). Das zeigt eine aktuelle Studie des Cybersecurity-Unternehmens Proofpoint. Ein Drittel (32 Prozent) der deutschen Befragten gaben zudem an, dass ihr Unternehmen mehrfach Ziel eines derartigen Angriffs wurde. Und trotzdem: Zwar sehen deutsche Unternehmen (77 Prozent) E-Mail-Betrug als bedeutende Bedrohung an, vernachlässigen aber überdurchschnittlich oft Schutzmaßnahmen.

Das Problem: Gegen die „Schwachstelle Mensch“ hilft keine Firewall. Wer die größten Gefahren und gängigsten Tricks der Angreifer jedoch kennt, kann sich besser schützen. 

Die 5 wichtigsten Punkte auf einen Blick:

1. Definition: „Phishing“ ist ein zusammengesetztes Wort aus den englischen Begriffen „password“ und „fishing“. Übersetzt steht es für das „Abfischen“ von Zugangsdaten, wozu Passwörter, PINs, persönliche Daten und Unternehmensinformationen zählen.

2. Methoden: Phishing ist nicht gleich Phishing. Je nach anvisiertem Opfer werden unterschiedliche Techniken verwendet. Die häufigsten Maschen: 

  • Spear-Phishing: Maßgeschneiderte E-Mail-Angriffe, die unter Nutzung persönlicher Daten auf eine bestimmte Gruppe oder einzelne Personen gerichtet sind.
  • Whaling: Eine Form des Spear-Phishings, das auf Führungskräfte innerhalb einer Organisation abzielt.
  • Vishing (oder Voice-Phishing): Hier werden finanzielle oder persönliche Details über das Telefon erfragt. Eine häufige Masche der Betrüger ist es, sich als Mitarbeiter einer Behörde auszugeben und so das Opfer einzuschüchtern. 
  • Smishing (oder SMS-Phishing): Die Betrüger nutzen Textnachrichten, um Mobiltelefone mit Malware zu infizieren oder Menschen dazu zu verleiten, sensible Informationen preiszugeben.

​3Merkmale: Laut den TA-Experten gibt es besonders bei Phishing-E-Mails einige Punkte, die erkennen lassen, dass ein Betrüger seine Angel ausgeworfen hat. Ganz typisch sind kryptische Absenderadressen, fehlerhaftes Deutsch, dringender Handlungsbedarf und die Aufforderung, persönliche Daten einzugeben oder eine Datei zu öffnen. Achten sollte man außerdem auf:

  • Angreifer nutzen oft eine Subdomain einer völlig anderen Domain, die der eines bekannten Unternehmens ähnelt. Beispiel: Ein Angreifer kontrolliert eine beliebige Domain, z. B. az-web08.net. Er präpariert dann eine Subdomain amazon.az-web08.net, auf der dann die Phishing-Seiten angezeigt werden, und suggeriert den Benutzern so, dass sie auf einer Seite von Amazon sind. Die Regel unserer Experten: ganz genau hinschauen, um die Unterschiede zu erkennen.

4. Risiken und Maßnahmen: Unternehmen riskieren durch Phishing-Attacken den Diebstahl vertraulicher Informationen, Systemschäden und den Zusammenbruch ihrer Internetdienste (Denial of Service). Im schlimmsten Fall werden Finanzdaten komprimiert, es droht ein finanzieller Verlust. „Ganz zu schweigen von den persönlichen Folgen für die Mitarbeiter“, sagt Michael Pohl. „Hier ist Schadensbegrenzung statt Standpauke angesagt, damit Mitarbeiter keine Scheu haben, in solchen Fällen direkt mit ihrem Vorgesetzten zu sprechen.“ Wichtig: Vorfall melden und den PC sofort vom Netzwerk nehmen, damit sich Malware nicht ausbreiten kann. „Es gibt zahlreiche Unterarten von Malware – das sind Programme wie zum Beispiel Viren und Trojaner, die dazu entwickelt wurden, Benutzern Schaden zuzufügen. Alle arbeiten anders und haben verschiedene Aufgaben. Ein Ziel haben sie jedoch gemein: Unternehmen zu schaden.“

5. Prävention: Mittlerweile gibt es für E-Mail-Fächer Anti-Spam-Programme. Rutscht trotzdem mal eine verdächtige Mail durch den Spamfilter: einfach mit der Maus über den fragwürdigen Link gehen, um den Ziel-Link vor dem Klick zu sehen. Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) riet jüngst im Manager Magazin, Firmenrechner zudem möglichst nicht untereinander, sondern nur mit zentralen Servern zu verbinden. Der Grund: Wenn sich einmal jemand Zugang zu einem PC verschafft hat, kann er sich theoretisch vom Rechner der Poststelle bis zur Entwicklungsabteilung vorarbeiten. 

Fazit: Spamfilter, Virenscanner, E-Mails nach Schad-Codes untersuchen – jede Unternehmens-IT versucht, Risiken möglichst zu minimieren, ominöse Anhänge zu blockieren und Warnungen an die Empfänger zu schicken. Laut unseren TA-Experten ist das jedoch „nur“ die rein technische Vorkehrung. Besonders wichtig ist es außerdem, seine Mitarbeiter zu sensibilisieren. 

Gesetzeskonforme Informationssicherheit

Die digitale Transformation bedeutet für Unternehmen auch neue Herausforderungen in der Informationssicherheit. Kundenbedürfnisse ändern sich, die Zahl der Hackerangriffe nimmt zu, und neue gesetzliche Regelungen müssen beachtet werden. Viele Verantwortliche sind unsicher, ob ihre Strukturen, Prozesse, Technologien und Services auf dem neuesten Stand sind und wie sie die Informationssicherheit gesetzeskonform gestalten sollen. 

Informationssicherheit ist dabei auch in hohem Maße vom jeweiligen digitalen Status quo im Unternehmen abhängig. Eine erste Einschätzung, welchen digitalen Reifegrad Ihr Unternehmen hat, liefert Ihnen der Digi-Check erfahren: 26 Fragen, 10 Minuten – und Sie wissen Bescheid. 

Durch unsere Kooperation mit der Bundesdruckerei bündeln wir für Sie wichtige Kompetenzen. Dadurch können wir Ihnen auf den folgenden drei Feldern umfassende Unterstützung anbieten:

1.    ISMS – Awareness-Schulung & Reifegradfeststellung

ISMS steht für Informationssicherheits-Management-System. Es definiert die Regeln in Ihrem Unternehmen, nach denen Informationssicherheit gesteuert, kontrolliert und verbessert wird. In unseren Beratungsworkshops klären wir mit Ihnen alle wichtigen Fragen dazu.

Erfahren Sie mehr.

2. genua  der IT-Sicherheitsspezialist für höchste Ansprüche

Wenn es um die Absicherung sensibler Schnittstellen, die Vernetzung hochkritischer Infrastrukturen und verschlüsselte Datenkommunikation geht, ist die genua gmbh, gegründet vor über 25 Jahren und seit 2015 ein Unternehmen der Bundesdruckerei-Gruppe, Partner mit höchster Kompetenz.

Erfahren Sie mehr.

Warum die Anforderungen an die IT-Sicherheit stetig steigen, welche gesetzlichen Rahmenbedingungen zusätzlichen Handlungsdruck erzeugen und wie Sie die Herausforderungen meistern können, lesen Sie in unserer Broschüre.