Kommt Ihnen das bekannt vor? Immer öfter stellen wir uns beim Blick in den Posteingang – egal, ob dienstlich oder privat – die Frage: „Phishing oder kein Phishing?“. Kein Wunder, denn laut des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist etwa jede Dritte unerwünschte E-Mail, sei es Werbung oder bspw. die Info über den vermeintlichen Gewinn, ein Phishing-Versuch (BSI Spam Phishing und Co).
Cybercrime richtet jedes Jahr einen hohen wirtschaftlichen Schaden an. Laut Erhebung des Branchenverbandes Bitkom e. V. lagen die im Jahr 2023 direkt durch Cyber-Angriffe verursachten gesamtwirtschaftlichen Schäden bei 148 Milliarden Euro (BKA Lagebilder Cybercrime). Dabei sind Phishingmails das beliebteste Einfallstor für Angreifer, und nach wie vor unterschätzen sehr viele Unternehmen die damit einhergehende Gefahr.
Phishing – um was geht es?
Der Begriff „Phishing“ ist ein Kunstwort, das sich aus den englischen Wörtern „passwort“ und „fishing“ zusammensetzt – und bedeutet genau das: das Fischen nach Passwörtern. Phishing ist also der Versuch, über manipulierte Nachrichten (E-Mails, SMS oder Social-Media-Nachrichten) an sensible Daten zu gelangen – Passwörter, aber auch Kreditkarteninformationen oder Zugangsdaten zu geschäftskritischen Systemen.
Angreifer täuschen dabei oft bekannte Absender vor, wie Banken, Dienstleister oder sogar interne Abteilungen Ihres Unternehmens, beispielsweise der IT-Support oder die Buchhaltung. Ziel ist es, Vertrauen zu erwecken und den Empfänger zu einer unbedachten Handlung zu verleiten, wie etwa das Klicken auf einen schädlichen Link oder das Öffnen eines Anhangs.
Einige echte Beispiele:
Gefälschte Rechnung: Eine E-Mail gibt vor, von einem bekannten Dienstleister zu stammen, und fordert die Begleichung einer offenen Rechnung. Der Anhang enthält jedoch Malware.
Passwortänderung: Eine E-Mail suggeriert, dass Ihr Konto aufgrund verdächtiger Aktivitäten gesperrt wurde. Ein Link führt auf eine gefälschte Website, auf der Sie aufgefordert werden, Ihre Zugangsdaten einzugeben.
Interne Anfrage: Eine E-Mail, angeblich vom Geschäftsführer, fordert den schnellen Versand vertraulicher Informationen oder die Überweisung von Geld an einen “dringenden” Empfänger.
Der jüngste BSI-Lagebericht zeigt, dass Phishingangriffe immer gezielter und schwerer zu erkennen sind. Auch Dank neuster KI-Technik werden Phishing-Angriffe immer besser: Hieß es früher noch, dass Rechtschreibe- und Grammatikfehler auf einen Phishingangriff hinweisen, so lassen die Angreifer heute die Mails von KI generieren und optimieren. Ganz ohne verdächtige Fehler.
Die Folgen für Unternehmen, die Opfer eines Phishingangriffs werden, liegen auf der Hand: finanzielle Verluste, Datenverlust und Reputationsschäden. In vielen Fällen werden Unternehmen aber auch komplett lahmgelegt (z. B. durch Datenverschlüsselung) und erst nach Zahlung von hohen Lösegeldern wieder „arbeitsfähig“.
Auch rechtliche Konsequenzen sind möglich: In der Regel urteilen die Datenschutzbehörden, dass erfolgreiche Angriffe auf unzureichende technische und organisatorische Maßnahmen des Unternehmens zurückzuführen sind. Verstöße gegen die DSGVO können hohe Bußgelder nach sich ziehen.
Wie können Sie sich schützen?
So hart das klingt, aber das größte Risiko sind Ihre eigenen Beschäftigten! Mittlerweile sind Phishingmails so gut gemacht, dass auch vorsichtige Beschäftigte auf den vermeintlich wichtigen Link klicken.
Hier sollten Sie ansetzen: Mit regelmäßigen Mitarbeiterschulungen, in denen Sie Ihr Team für typische Phishing-Muster und verdächtige Anzeichen sensibilisieren. Sinnvolle Ergänzung zu den Schulungen sind regelmäßige Phishing-Simulationen. Dabei werden realistische, aber harmlose Phishingmails an die Beschäftigten verschickt. Ziel ist es, zu testen, wie gut sich Beschäftigte mit Phishing-Mails auskennen und sie für solche Angriffe zu sensibilisieren. Basierend auf den Ergebnissen können Sie wertvolle Erkenntnisse gewinnen und gezielte Schulungsmaßnahmen entwickeln. Regelmäßige Wiederholungen solcher Simulationen helfen, das Sicherheitsbewusstsein langfristig zu stärken und Verhaltensmuster zu ändern. Wichtig: Hierbei geht es nicht um das Bloßstellen oder Überwachen einzelner Beschäftigter und deren Verhalten!
Wie erkennt man Phishing-Mails?
Nachfolgend einige Hinweise, wie Sie eine Phishing-Mail erkennen können:
- fehlende persönliche Anrede – die direkte Anrede mit Namen ist allerdings keine Garantie dafür, dass es sich bei einer Mail nicht um eine Phishing-Mail handelt
- Drohungen und gesetzte Fristen, die dringenden Handlungsbedarf suggerieren
- Aufforderung, persönliche Daten einzugeben bzw. Anhänge oder Links anzuklicken
- unaufgeforderte Mails in englischer Sprache
- Absender ist ein unbekanntes Unternehmen
- Absender ist ein bekanntes Unternehmen, das bisher nie per E-Mail Kontakt mit Ihnen aufgenommen hat
Phishing-E-Mails lassen sich in vielen Fällen am Absender oder durch die enthaltenen Links erkennen. Kriminelle arbeiten oft mit Verschleierungstechniken wie Buchstabendrehern oder Subdomänen und nutzen die Namen bekannter Unternehmen. Lesen Sie Internet-Links von links nach rechts bis zum dritten Schrägstrich und achten Sie auf den Bereich mit dem letzten Punkt. Hier wird die tatsächliche Ziel-Adresse angezeigt. So führt zum Beispiel https://www.daproserv.mybiz.com/ zu mybiz.com und nicht zu daproserv.com. Fahren Sie mit der Maus über verlinkte Texte oder Buttons. Dann wird die Ziel-Adresse unter der Maus oder am unteren Bildschirmrand angezeigt.
Aber auch wenn die E-Mail-Adresse des Absenders vertrauenswürdig aussieht, kann sie dennoch gefälscht sein. Prüfen Sie deshalb den Header. Dort steht die IP-Adresse des tatsächlichen Absenders, die sich nicht manipulieren lässt. Wie das funktioniert, erklärt die Verbraucherzentrale: https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/so-lesen-sie-den-emailheader-6077
Neu ab 2025 – Wir simulieren Phishing-Versuche für Sie!
Ab Januar 2025 bietet Dapro Serv nicht nur Schulungen zum Thema Cyberangriffe an, sondern wir führen für Ihr Unternehmen Phishing-Simulationen durch, individuell auf Ihr Unternehmen abgestimmt. Die Art und Anzahl der Phishing-Simulationsmails, die Dauer einer Kampagne und die Wiederholungsrate legen wir mit Ihnen gemeinsam fest, so dass über das zugehörige Berichtswesen auch der Erfolg abgelesen werden kann. Dies zu sehr attraktiven Preisen für Ihr Unternehmen. Gerne erläutern wir Ihnen unsere neue Dienstleistung, und erstellen Ihnen ein auf Ihre Bedürfnisse zugeschnittenes Festpreisangebot.
Klingt kompliziert? Wir unterstützen Sie gerne. Sprechen Sie uns an.
Sie haben Anmerkungen zu unseren Newslettern? Wir freuen uns sehr über jedes Feedback.
Herzlichen Dank, dass Sie unseren Newsletter lesen.
Bitte beachten Sie, dass dieser Newsletter der Information dient und keine Rechtsberatung darstellt!
