Phishing – Wenn E-Mails zur Bedrohung werden

Die meisten Cyberangriffe beginnen mit einer E-Mail.  

Mit diesem eindringlichen Satz warnt das Bundesamt für Verfassungsschutz die deutsche Wirtschaft und Wissenschaft vor den Gefahren des sogenannten Phishings. Betroffene werden auf vermeintlich sichere – oft auch bekannte - Webseiten geführt und geben dort ihre Logindaten ein. Meist mit verheerenden Folgen. „Angreifer hacken nicht, sie loggen sich ein“ ist ein Satz, den man immer wieder in der Branche hört und Phishing ermöglicht diesen Angreifern genau das. Der Begriff „password fishing“ trifft es ziemlich genau: Cyberkriminelle werfen ihre Angel aus – mit gefälschten E-Mails, SMS, Messenger-Nachrichten oder sogar Anrufen. Irgendjemand wird schon anbeißen.  

In diesem Beitrag klären wir Sie auf, welche Formen Phishing annehmen kann, wie Sie sich und Ihre Mitarbeitenden vorbereiten und schützen können und was im Ernstfall zu tun ist. 

Was ist Phishing? 

Phishing ist eine Form des Social Engineerings, der Manipulation von Menschen, um sie dazu zu bringen, sensible Informationen preiszugeben, Geld zu überweisen oder schädliche Software auszuführen.  

Oft geschieht das über: 

• Emails, die auf gefälschte Webseiten verlinken 

• Anhänge, die Schadsoftware enthalten 

• SMS oder Messenger Nachrichten, die einen Notfall fingieren 

Die Nachrichten wirken glaubwürdig, missbrauchen oft Logos und Signaturen von bekannten Unternehmen oder beziehen sich gezielt auf aktuelle Themen. Auch die Absender sind oft nicht auf den ersten Blick als Angreifer zu erkennen.  

Typisches Merkmal ist das Ansprechen von Emotionen: Phishingnachrichten versuchen die Empfängerinnen und Empfänger unter Druck zu setzen („Handeln Sie sofort!“), Angst zu machen („Ihr Konto wurde gesperrt“) oder die Neugier anzusprechen („Bist du das auf dem Foto im Anhang?“). 

Welche Formen kann Phishing annehmen? 

Es gibt viele verschiedene Arten von Phishing und die technische Entwicklung bringt ständig neue Betrugsmaschen hervor. Neben dem Phishing mit der Gießkanne, bei dem gefälschte Mails an teils zufällig gewählte Mailadressen verschickt werden, die irgendwo veröffentlicht wurde, sind die häufigsten Varianten 

• Spear Phishing: Gezielte Angriffe auf Personen innerhalb eines Unternehmens, die gut recherchiert und personalisiert sind 

• Smishing & Vishing: Phishing per SMS/Messenger, Telefonanruf und Videotelefonie 

• Whaling: Eine besondere Form des Spear Phishing, die sich gezielt an Führungskräfte und Entscheidungsträgerinnen richtet 

• Business E-Mail Compromise (BEC): Gefälschte interne Nachrichten, bspw. Von der IT-Abteilung oder der Geschäftsleitung, mit Zahlungs- oder Handlungsaufforderungen 

Was können Unternehmen tun?

1. Awareness schaffen 
   Informieren Sie sich und Ihre Mitarbeitenden über die realen Gefahren des Phishings und bilden Sie sich weiter: Beispielsweise mit den kostenlosen Schulungsangeboten und Webinaren der DAB oder Informationsmaterialien des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Klicken Sie niemals auf Links oder Anhänge, die Ihnen in irgendeiner Weise verdächtig vorkommen. Fördern Sie gleichzeitig eine offene Fehlerkultur – Melden statt Ignorieren.  

2. Technische Schutzmaßnahmen 
   Verwenden Sie aktuelle Sicherheitssoftware auf all Ihren Geräten - Antivirus Programme und Spam Filter im Mailpostfach sind Pflichtprogramm! Halten Sie jegliche Software stets aktuell, indem Sie Updates durchführen. Überprüfen Sie Nutzerkonten und Berechtigungen und entfernen Sie solche, die nicht (mehr) gebraucht werden.  Aktivieren Sie überall die Multi-Faktor-Authentifizierung (MFA), halten Sie sich an die Regeln für sichere Passwörter und erstellen Sie Backups.  

3. Unterstützung holen 
   Sie sind nicht allein, selbst wenn Sie keine Kolleginnen und Kollegen um sich haben! Die DAB unterstützt Sie im kostenlosen Orientierungsgespräch „Quick-Check IT-Sicherheit“ dabei, erste Schritte und Maßnahmen einzuleiten, um die Sicherheit in Ihrem Unternehmen zu erhöhen. Gemeinsam analysieren wir den IT-Sicherheits-Reifegrad Ihres Unternehmens, besprechen die weitere Vorgehensweise und beantworten Ihre Fragen. Sollten Sie darüber hinaus praktische Unterstützung benötigen, verweisen wir gerne auf unser Netzwerk aus IT-Dienstleistern.

Was tun im Ernstfall?

Sollte der Ernstfall eintreten und Sie oder Mitarbeitende eine Phishingnachricht bekommen, melden Sie diese als Spam in Ihrem Mailpostfach/Messengerdienst. Das trainiert den Algorithmus und Sie tun sich und der Allgemeinheit einen größeren Dienst, als wenn Sie die Nachricht nur löschen.  

Sollte der Fall eingetreten sein, und jemand hat auf einen boshaften Link geklickt oder einen schädlichen Anhang heruntergeladen, gehen Sie wie folgt vor: 

1. Ruhe bewahren 
   Nehmen Sie das betroffene Gerät vom Netz aber schalten Sie es nicht aus. Sichern Sie die Nachricht etwa durch einen Screenshot in dem Inhalt und Absender zu erkennen sind.   

2. Erste Hilfe 
   Informieren Sie Ihre interne IT-Abteilung oder wenden Sie sich an die kostenfreie Cyberhotline der DAB um den Vorfall einzuordnen. Unter 0800 360 30 60 (Mo. - Fr. 9-17 Uhr) erhalten Sie Erste Hilfe und ggf. eine Vermittlung an passende Expertinnen und Experten.  

3. Betroffene Konten sperren oder Passwörter ändern 
   Wenn Login-Daten eingegeben wurden, müssen diese umgehend geändert und oder die zugehörigen Konten gesperrt werden. Sollten Sie ein und dasselbe Passwort mehrmals verwendet haben, gilt dies auch an diesen Stellen. 

4. Überprüfen und Informieren 
   Bei einem Infektionsverdacht sollten Sie manuell einen Virenscan durchführen. Informieren Sie alle Kolleginnen und Kollegen über den Vorfall um diese zu warnen und zu sensibilisieren.  

5. Behörden einschalten 
   Bei einer Verschlüsselung Ihrer Systeme oder dem Abfließen von Kundendaten, Erpressung und anderen strafrechtlich relevanten Vorfällen zögern Sie nicht und melden Sie den Vorfall der Zentralen Ansprechstelle Cybercrime (ZAC) des LKA Berlin.  

Fazit

Phishing-Angriffe sind raffiniert und können jede und jeden treffen. Umso wichtiger ist es, vorbereitet zu sein: Durch Aufklärung, Schutzmaßnahmen und klare Verhaltensweisen. Bleiben Sie aufmerksam. Sichern Sie Ihr Unternehmen – und geben Sie Angreifern keine Chance.  

Sie wollen sich konkret absichern oder haben Fragen? Vereinbaren Sie gleich jetzt ein kostenfreies Orientierungsgespräch mit den Expertinnen und Experten der DAB zum Thema IT-Sicherheit!