Phishing – die Fallen erkennen und meiden
Phishing ist für Betrüger lukrativ: Fällt ein Mitarbeiter auf die scheinbar seriöse E-Mail herein, erhalten sie Zugriff auf sensible Daten oder Accounts. Kein Wunder, dass Phishing-Attacken immer weiter zunehmen. Unternehmen brauchen eine Strategie, um nicht in die Fallen zu tappen.
Ein falscher Klick eines einzigen Mitarbeiters kann Cyberkriminellen Tür und Tor öffnen: Fällt er auf eine Phishing-Mail herein, gibt er im schlimmsten Fall sensible Zugangsdaten preis oder ermöglicht die Installation von Ransomware. Ein aktuelles Beispiel: Weil ein Beschäftigter des Videospiele-Publishers Activision den Code für die Zwei-Faktor-Authentifizierung verriet, gelangten die Täter kürzlich an sensible Daten sämtlicher Angestellter.
Phishing ist für Unternehmen ein gigantisches Problem. Tappen sie in die Falle, drohen Datenverlust, Identitätsdiebstahl oder Ransomware-Infektionen. 90 Prozent aller erfolgreichen Datenschutzverletzungen beginnen mit einer Phishing-Mail, so Ciscos Cybersecurity Threat Trends Report von 2021. Und die Attacken nehmen zu. So verzeichnete die Anti-Phishing Working Group (APWG) Ende 2022 hinsichtlich der Zahl der Angriffe einen neuen Rekord.
Das Problem wird dadurch verschärft, dass viele Beschäftigte Phishing-Versuche nicht erkennen – schließlich scheint die Nachricht von einem seriösen Absender zu stammen. Allerdings ist das auch nicht immer einfach, denn die Kriminellen nutzen Social Engineering, bauen aktuelle Ereignisse ein und gestalten ihre Nachrichten täuschend echt, um glaubwürdiger zu erscheinen. Einige setzen sogar Künstliche Intelligenz ein – und lassen von ChatGPT noch überzeugendere Nachrichten schreiben. Die Kreativität der Phishing-Betrüger ist nach Angaben des Bundesamts für Sicherheit in der Informationstechnik „schier grenzenlos“.
Phishing, Spear Phishing & Co.: Diese Arten von Angriffen gibt es
Beim Phishing nutzen Kriminelle diverse Methoden, um Opfer auszutricksen: Sie versenden Mails mit Links zu manipulierten Webseiten, wo die Empfänger beispielsweise sensible Daten eingeben sollen. Oder diese sollen Anhänge öffnen, die Schadprogramme enthalten – etwa Ransomware.
Besonders schwierig ist es, Spear Phishing zu entlarven – auch für versierte Anwender. Bei einer Standard-Phishing-Kampagne versenden Kriminelle massenhaft E-Mails und hoffen, dass ein paar Empfänger darauf hereinfallen. Deutlich mehr Aufwand betreiben sie beim Spear Phishing: Hier betreiben sie im Vorfeld eine umfassendere Recherche für eine höhere Glaubwürdigkeit und gehen dann gezielt gegen bestimmte Mitarbeiter oder Teams in Unternehmen vor.
Wie das aussehen kann, zeigt eine erfolgreiche und raffinierte Masche, vor der das nationale CERT Österreichs und die Beratungsfirma Certitude warnen. In den vergangenen Monaten sind darauf Mitarbeiter mehrerer Firmen in Deutschland und Österreich hereingefallen.
Die Kriminellen brachten nichtsahnende Mitarbeiter dazu, Gelder auf falsche Konten zu überweisen – teilweise mehrere hunderttausend Euro. Ins Visier nahmen sie jeweils zwei Firmen. Zuerst forderten sie bei Kunden offene Rechnungen im Namen eines echten Lieferanten an. Nach Erhalt veränderten sie die Bankverbindung auf den PDFs und schickten sie an den Lieferanten. Im Vorfeld recherchierten die Betrüger unter anderem die korrekten Ansprechpartner sowie Form und Stil typischer E-Mails.
Wie können sich Unternehmen vor Phishing schützen?
Firmen benötigen mehrere Verteidigungslinien, um Phishing-Attacken abzuwehren. Dabei handelt es sich zum einen um technische Maßnahmen, zum anderen um eine entsprechende Sensibilisierung der Mitarbeiter. Diese Punkte sind zu beachten:
- Security-Awareness schaffen und trainieren: Mitarbeiter dahingehend zu schulen, Phishing zu erkennen, ist eine entscheidende Komponente zur Abwehr. Kontinuierliche Trainings sind notwendig, um das Bewusstsein zu schärfen und Warnsignale zu erkennen. Phishing-Simulationen sind besonders effektiv, da sie einen typischen Angriff durchspielen.
- Technische Abwehr optimieren: Möglichst wenige Phishing-Mails sollten überhaupt in Posteingänge gelangen. Schutz-Technologien sind neben Antivirenprogrammen und Firewalls ein sicheres E-Mail-Gateway, Authentifizierungsprotokolle wie DMARC, DKIM oder SPF sowie Anti-Phishing-Lösungen bzw. Advanced-Threat-Protection- und Prevention-Lösungen. Spam-Filter scannen mit Künstlicher Intelligenz alle eingehenden Nachrichten und überprüfen sie auf verdächtige Muster und Links.
- Updates und Patches umgehend installieren: Sicherheitssoftware, Betriebssystem, Anwendungen und Browser müssen immer auf dem aktuellen Stand sein. Betrüger können auf diese Weise Schwachstellen nicht ausnutzen und darüber auf Systeme zugreifen.
- Richtlinien für sichere Passwörter festlegen: Zugangsdaten sollten sich für jede Anwendung unterscheiden, damit Datendiebe nicht unbegrenzt Zugriff erhalten. Generell sollten Passwörter schwer zu knacken sein und Mindestanforderungen erfüllen.
- Mehr-Faktor-Authentifizierung implementieren: Die zusätzliche Eingabe von Codes oder Nutzung von Token erschwert Kriminellen den Zugang zu Systemen.
- Regelmäßige Backups erstellen: Nur mit der regelmäßigen Sicherung ihrer Daten können Unternehmen diese nach einem Phishing-Angriff mit Ransomware wiederherstellen.
- Home-Office-Geräte absichern: Nutzen Mitarbeiter eigene Notebooks und Smartphones bei der Remote-Arbeit, müssen sie sicher auf das Firmen-Netzwerk zugreifen – etwa via VPN. Richtlinien für Bring-your-own-devices sind daher unerlässlich.
Phishing erkennen in elf Schritten – das sind die typischen Warnsignale
Phishing-Betrüger sind kreativ und ändern ihre Taktiken immer wieder. Doch es gibt grundsätzlich einige Signale, auf die Mitarbeiter achten und bei denen sie misstrauisch werden sollten, rät das Bundesamt für Sicherheit in der Informationstechnik (BSI):
- Die E-Mail scheint von einer bekannten Person oder Organisation zu stammen, aber das Anliegen ist ungewöhnlich oder überraschend.
- Die Nachricht gibt dringenden Handlungsbedarf vor oder es wird sogar gedroht.
- Mitarbeiter sollen vertrauliche Daten an- oder herausgeben oder ändern.
- Die E-Mail enthält Links oder Formulare.
Mitarbeiter sollten E-Mails darüber hinaus genau prüfen. Bei folgenden Anzeichen sollten die Alarmglocken schrillen:
- Begrüßung und Signatur sind allgemein gehalten, der Absender fehlt.
- Bilder und Logos sind unscharf oder veraltet.
- Die URL bzw. der Link enthalten Zusätze oder erscheinen unlogisch.
- Rechtschreibung und Grammatik sind nicht korrekt.
- Ein Angebot klingt zu gut.
- Die Daten stimmen nicht mit den im System hinterlegten Informationen überein, etwa Bankverbindungen.
- Eine Nachfrage per Telefon zeigt, dass der echte Kunde oder Lieferant die Mail nicht geschickt hat.