Phishing Schutz gegen Cyberangriffe

Eine sehr beliebte Methode bei Cyberkriminellen, um schnell an Geld zu kommen, sind Phishing Angriffe. Dabei werden Nutzern sensible Passwörter, zum Beispiel Zugangsdaten für das Online-Banking, sowie eine Transaktionsnummer entlockt, nur um dann wenig später das Konto leerzuräumen. Betroffen sind durch solche Phishing Attacken nicht nur Privatanwender, sondern immer häufiger auch Unternehmen. Hacker nutzen oftmals Schwachstellen in der IT-Sicherheit von kleinen mittelständischen Zuliefererunternehmen aus, um über diesen Weg an sensible Daten von großen Konzernen heranzukommen. Für Betroffene ist es bitter, wenn sie Opfer eines solchen perfiden Angriffs werden. Denn dadurch entstehen nicht nur finanzielle Schäden, sondern auch Vertrauensverluste zwischen den Geschäftspartnern. Umso wichtiger ist es daher, dass man sich gegen Phishing Angriffe mit präventiven Phishing Schutz Maßnahmen wehrt.

Was ist Phishing? Phishing Definiton

Das Wort Phishing ist ein Kunstwort, das sich aus der Abkürzung für Password Harvesting (dt. Passworte sammeln) und Fishing (dt. Angeln) zusammensetzt. Gemeint ist damit also im wahrsten Sinne des Wortes das Angeln nach Passwörtern. Eine Phishing-Attacke hat oft das Ziel, ein Bankkonto zu plündern oder für andere Zwecke die Identität des Opfers zu stehlen. Manchmal wird per Phishing auch Schadsoftware auf einem Rechner installiert.

Phishing setzt dabei immer auf die Gutgläubigkeit des Nutzers, denn nur mit dessen “Mithilfe” gelingt die Phishing-Attacke. Ist ein Nutzer – dank Phishing Training – argwöhnisch, schlägt die Attacke dagegen oftmals fehl.

Schutz vor Phishing Angriff - Security Awareness - IT Sicherheit am PC

Wie erfolgt eine Phishing Attacke auf ein Unternehmen?

Häufig sind Phishing Angriffe auf Unternehmen sehr gezielt, sodass Mitarbeiter zum Teil mit ihrem Namen persönlich angesprochen werden, wodurch die E-Mail mehr Authentizität erhält. Bei diesem Vorgehen spricht man nicht mehr von Phishing, sondern von Spear-Phishing (Angeln mit einem Speer), weil man sich das oder die Opfer gezielt aussucht.

Die Täter schicken an einen oder mehrere Mitarbeiter eine gefälschte Mail, die zum Beispiel vom Firmenchef oder Vorgesetzten persönlich kommt. Dieser fordert aus plausiblen, fingierten Gründen eine umgehende Reaktion, beispielsweise eine schnelle Transaktion per Firmenkreditkarte. In diesem Fall sind Mitarbeiter besonders gefährdet, die selbst über eine Firmenkreditkarte verfügen oder in der Finanzbuchhaltung beschäftigt sind. Durch ihren direkten Zugang zum Zahlungssystem, wird dir Gefahr des unwissentlichen preisgebens von Zugangsdaten zum Online-Banking-Portal erhöht.

Eine andere Variante ist nicht die der schnellen Kontoplünderung, sondern des Identitätsdiebstahls. Sehr beliebt bei Hackern sind z.B. Angriffe über die Office365-Plattform.

Hier erhalten Mitarbeiter eine E-Mail, die aussieht wie eine originale Nachricht von Microsoft. In dieser E-Mail wird beispielsweise behauptet, dass eine Zahlung fehlgeschlagen ist, und man sich zur Aktualisierung der Zahlungsinformationen mit seinen Office365-Zugangsdaten anmelden soll. Der bereitgestellte Link führt zu einer sehr gut imitierten Office365-Anmeldemaske. Im Glauben, dass man sich bei seinem Microsoft-Konto anmeldet, gibt man auf der gefälschten Seite nun also seine Zugangsdaten ein. Damit hat der Hacker diese Daten und kann auf sämtliche Dokumente und Informationen zugreifen, auf die auch der entsprechende Mitarbeiter in der Office365-Suite Zugriff hat. Auf diese Weise gelangen Hacker an Kundeninformationen und andere sensible Daten.

Phishing auch für KMUs ein ernstes Problem?

Große Unternehmen mit mehreren hundert oder sogar mehreren tausend Mitarbeitern haben in der Regel eine sehr gut ausgebaute IT-Infrastruktur sowie einen Sicherheitsbeauftragten im Unternehmen. Für Hacker stellt das gut gesicherte Firmennetzwerk und die im Unternehmen etablierten Sicherheitsmaßnahmen öfters eine größere Hürde dar. Daher suchen sie verstärkt Umwege, um dennoch an Daten von Konzernen heranzukommen: Den Weg über kleinere Zulieferer.

Kleinere mittelständische Unternehmen haben sich in der Vergangenheit allerdings eher in Sicherheit gewogen, da Cyber-Angriffe hauptsächlich auf größere Unternehmen stattfanden. Die Sicherheitsvorkehrungen in kleinen mittelständischen Betrieben sind jedoch genauso wichtig, wie in großen Konzernen, da sie verstärkt in in den Fokus von Hackerangriffen geraten.

Phishing Risiko nach Branchen und Mitarbeiterzahl geordnet

Welche Schäden entstehen bei einem Phishing-Angriff?

Finanzielle Schäden – Je nachdem, welche Zugangsdaten und Passwörter die Hacker abgreifen, kann so nicht nur ein Firmenkonto leergeräumt werden, sondern auch sensible Firmen- und Kundendaten in deren Hände gelangen. Dies kann in der Folge zu einem Erpressungsversuch führen, mit der Drohung, die Daten an die Konkurrenz weiterzugeben, wenn man nicht eine bestimmte Summe bezahlt. Damit erleidet ein Unternehmen nicht nur Vermögensverluste, sondern verliert möglicherweise auch Wettbewerbsvorteile. Darüber hinaus entstehen hohe Kosten, um die Systemlandschaft und Daten wiederherzustellen sowie Passwörter und Mitarbeiterzugänge zu ändern. Der Betrieb ist somit oft für mehrere Wochen lahmgelegt oder stark eingeschränkt.

Reputationsverlust – Ein Angriff auf ein Unternehmen ist indirekt immer auch ein Angriff auf andere Unternehmen, Geschäftspartner und Kunden, da deren Daten und Informationen ebenfalls von Hackern abgegriffen werden. So können schnell Schadensersatzforderungen oder andere Rechtsstreitigkeiten auf ein Unternehmen zukommen. In jedem Fall geht mit einer solchen Attacke häufig das Vertrauen in das Unternehmen verloren, da dieses offensichtlich die Datensicherheit und den Datenschutz nicht besonders ernstnimmt.

Geschäftsführer sind daher in der Pflicht für eine sichere IT-Infrastruktur zu sorgen. Im Schadensfall tragen sie die volle Verantwortung und können rechtlich dafür haftbar gemacht werden.

Phishing Schutz durch nachhaltiges Phishing Training

Da Phishing-E-Mails oft nicht durch den Spam-Filter des E-Mail-Programms herausgefiltert werden, landen Sie auch im Postfach. Nur durch einschlägiges Phishing Training wird das Risiko eines erfolgreichen Angriffs gesenkt.

Ein Unternehmen sollte seine Mitarbeiter regelmäßig schulen und auf aktuelle Bedrohungslagen aufmerksam machen. Es ist wichtig, über die Risiken aufzuklären und grundsätzlich beim Erhalt einer E-Mail erst einmal Vorsicht walten zu lassen. Mitarbeiter sollten bestenfalls in der Lage sein, das Risiko einzuschätzen, ob es sich bei einer Mail um eine Phishing E-Mail handelt oder nicht. Im Zweifel sollte man sich an die IT-Abteilung wenden und nicht blind den Aufforderungen in der E-Mail folgen.

Es hilft auch, Mitarbeitern eine Übersicht über die Merkmale einer Phishing-Mail an die Hand zu geben, damit sie einen Angriff im Notfall selbst erkennen können.
Hinweise darauf, dass es sich um eine gefälschte Mail handelt, sind:

  • Suggerieren von Dringlichkeit, Aufbau von Druck oder Drohungen z.B., wenn man nicht sofort seine Identität bestätigt, wird das Konto geschlossen.
  • Unpersönliche Anrede
    Vor allem Banken sprechen ihre Kunden immer mit Nachnamen an.
  • Aufforderung zur Eingabe von Passwörtern oder Kreditkartennummern
    Keine Bank wird jemals von seinen Kunden verlangen, das Passwort zu irgendeinem anderen Zweck als zum Einloggen auf der entsprechenden Anmelde-Seite einzugeben.
  • Link auf eine präparierte Seite und gefälschte Absender-Adresse
    Wenn man mit dem Cursor über den Link in der E-Mail fährt, wird einem oft schon die Adresse angezeigt, ohne die Seite öffnen zu müssen. Die Adresse sollte man sich genau ansehen und mit der Adresse der Original-Seite vergleichen. Oft haben gefälschte Seiten entweder eine merkwürdige Endung oder zusätzliche Begriffe im Domain-Namen, z.B. amazon-biz.de, sparkasse-berlin.eu.
    Die Adresse des Absenders wird nach außen hin oft auch verschleiert, sodass man diese leicht mit dem Kundenservice der Bank oder Online-Shops verwechseln kann. Auch das kann man leicht überprüfen, indem man mit dem Mauscursor über die Mail-Adresse des Absenders fährt.

Zur Vermeidung von Phishing Attacken ist nicht nur eine moderne und sichere IT-Infrastruktur inklusive Sicherheitsanwendungen wie Virenscanner, Firewall und Spam-Filter für E-Mail-Programme essentiell. Gleichermaßen trägt eine interaktive, regelmäßige Phishing Schulung der Mitarbeiter dazu bei, den Erfolg von Phishing Angriffen zu verhindern.

Phishing Prävention

Möchten Sie mehr über Phishing Prävention und einschlägige Schulungsmaßnahmen erfahren? Wir unterstützen Sie durch eine erstklassige Anti Phishing Plattform sowie die weltgrößte Bibliothek mit Trainingsinhalten in Ihrem Kampf gegen Phishing- und Ransomware-Angriffe.

Cyber Samurai

Unsere Cyber Samurais schützen Ihre Unternehmensdaten vor potentiellen Angreifern. Je nachdem wie hoch Ihr IT Security Reifegrad bereits ist, planen und setzen wir die nötigen Maßnahmen für Sie um. Unsere Expertise zielt vor allem auf ISMS Implementierung, Security Awareness Schulungen, IT Security Audits sowie Pentesting ab.

Wir kämpfen für Ihre IT-Sicherheit

Vertraulich, kompetent und schnell! Lassen Sie sich beraten.
Wir finden eine sichere Lösung für Sie.

  • +49 (0)8106 3980060