Immer wieder warnen das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Verbraucherzentralen vor Phishing-E-Mails. Sie gelten als eine der größten Bedrohungen, da die Mehrheit der erfolgreichen Cyberangriffe auf Unternehmen durch Phishing-E-Mails verursacht wird.
Phishing-E-Mails werden immer kreativer und werden professioneller gestaltet und formuliert. Umso wichtiger ist es, dass alle Mitarbeiter wissen, wie sie Phishing erkennen und wie sie sich effektiv davor schützen können.
Was ist Phishing?
Der Begriff Phishing ist ein Kunstwort bzw. eine Kombination der Wörter Password und Fishing – und bedeutet das Abgreifen von sensiblen Informationen, insbesondere Passwörtern bzw. Zugangsdaten. Die sogenannten Datenfischer gelangen an die E-Mail-Adressen der Phishing-Empfänger häufig über Adresshändler und versuchen sich anschließend als vertrauenswürdige Quelle vorzugeben, um an Informationen zu gelangen, die sie dann gewinnbringend verwenden können.
Phishing-E-Mails sind somit betrügerische E-Mails, die meistens darauf abzielen, die Empfänger dazu zu bringen, vertrauliche Informationen preiszugeben (z.B. Kreditkarteninformationen, Zugangsdaten, Bankdaten usw.) oder Malware/Schadsoftware zu installieren (z.B. durch Klicken auf Links oder Öffnen von Anhängen).
E-Mails sind die derzeit häufigste Form des Phishings, zunehmend kommen aber Messenger oder Textnachrichten zum Einsatz.
Während Spam-Emails in der Regel lästig, aber relativ harmlos sind, können Phishing-E-Mails gefährlich sein, da diese zu erheblichen Datenpannen im Unternehmen führen können.
Tipp: Lesen Sie auch unseren Ratgeber zur Phishing-Prävention mittels technischer und organisatorischer Maßnahmen.
Prävention – wie erkenne ich Phishing?
Um den Gefahren des Phishings entgegenzuwirken, ist es insbesondere wichtig, Phishing-E-Mails erkennen zu können. Dafür ist eine Kombination aus gesundem Misstrauen und Aufmerksamkeit notwendig. In manchen Fällen sticht einem die Phishing-Nachricht direkt ins Auge, in anderen muss man viel genauer hinsehen.
Das Öffnen einer Phishing-E-Mail ist in der Regel ungefährlich. Erst das Öffnen der Anhänge und Links ist risikobehaftet. Dadurch hat man genug Zeit, um die E-Mail in aller Ruhe auf Echtheit zu überprüfen.
Folgende Punkte sollten Sie dabei beachten:
Haben Sie eine verdächtige Mail erhalten, sollte Ihr Blick direkt zum E-Mail-Header (Kopfzeile) wandern. Hier gilt es Name, E-Mail-Adresse und IP-Adresse des Absenders zu prüfen.
Der Anzeigename lässt sich relativ einfach fälschen. Schwieriger wird es bei der E-Mail-Adresse. Deshalb stimmt in manchen Fällen die Mail-Adresse gar nicht mit dem angeblichen Anzeigenamen überein. Dadurch wissen Sie, dass es sich höchstwahrscheinlich um eine Betrugsmasche handelt.
Im E-Mail-Header finden Sie auch die IP-Adresse des tatsächlichen Absenders. Diese lässt sich nicht manipulieren. Die Verbraucherzentrale erklärt, wie Sie anhand der IP-Adresse eine Phishing-Mail enttarnen können.
In Phishing-E-Mails scheinen oft die Formatierungs- und Designelemente nicht professionell erstellt worden zu sein. Auch inhaltlich lässt eine Phishing-E-Mail oft zu wünschen übrig. Betreffzeile und Text sind meistens in schlechtem Deutsch verfasst.
Ein unprofessionelles Design und eine fehlerhafte Rechtsschreibung sind jedoch nicht immer ein Indiz einer Phishing-E-Mail. Die Qualität der betrügerischen E-Mails wird immer besser (etwa mittels künstlicher Intelligenz (KI) formulierter Texte), so dass diese nicht unbedingt auf den ersten Blick zu erkennen sind. Lesen Sie sich daher die E-Mail auf jeden Fall gründlich durch, um mögliche Ungereimtheiten zu enttarnen.
In der Regel verwenden Phishing-Betrüger generische Anreden wie z.B. „Sehr geehrter Kunde“. Dies kann darauf hindeuten, dass die E-Mail gefälscht ist, da Ihnen bekannte Absender Sie meistens persönlich anschreiben dürften.
Achtung: Phishing-Angriffe werden immer professioneller. Für einen Phishing-Betrüger ist es im Zeitalter von Social-Media einfach, Name und weitere Informationen über Sie herauszufinden. Social-Media-Kanäle werden nicht selten für Phishing Angriffe missbraucht, so dass dem Betrüger viele personenbezogene Daten offenliegen und er dadurch Betroffene problemlos auch persönlich anschreiben kann.
Wenn das Anliegen des Absenders der E-Mail ungewöhnlich oder zum gegenwärtigen Zeitpunkt unerwartet erscheint, sollten Sie skeptisch werden.
Ein Beispiel hierfür wäre eine unerwartete E-Mail vom Chef mit der Aufforderung, Amazon-Geschenkgutscheine zu kaufen und die Karten oder die Einlösungscodes an eine bestimmte Person zu senden. Bei Zweifeln über Echtheit der Aufforderung empfehlen wir die Person, die die Geschenkkarten anforderte, direkt zu kontaktieren (z.B. telefonisch), um sicherzustellen, dass die Aufforderung kein Betrug ist.
Der Einsatz von Zeitdruck, um eine schnelle Antwort zu erzwingen, ist eines der eindeutigsten Merkmale einer Phishing-Mail.
Meist geht es in den Betrugsnachrichten um Kontosperrungen, angeblichen Identitätsdiebstahl, Datenabgleich oder ähnliches. Die E-Mails machen dem Empfänger gezielt Druck oder Panik – oder sie versprechen Gewinne und Sonderangebote, wenn innerhalb kürzester Zeit gehandelt wird.
Seien Sie deshalb skeptisch gegenüber E-Mails, die schnelle Handlung erfordern, ohne ausreichende Überlegungszeit zu lassen (z.B. „Wir bitten Sie, Ihre Daten binnen 24 Stunden zu verifizieren“).
Wenn die E-Mail einen Link enthält, auf den Sie klicken sollen, können Sie diesen leicht überprüfen, um zu erkennen, ob die Website – auf die man weitergeleitet wird – echt ist. Fahren Sie dafür mit der Maus über den verlinkten Text oder Button – ohne ihn zu klicken (!) – um zu überprüfen, welche Adresse im Tooltip erscheint. Wenn der Tooltip auf einen anderen Domainnamen verweist, dann ist die Website gefälscht.
Tipp: Sie sollten URLs von links nach rechts bis zum dritten Schrägstrich lesen und auf den Bereich mit dem letzten Punkt achten. Da wird nämlich die tatsächliche Ziel-Adresse angezeigt.
Als Beispiel: https://www.paypal.mybiz.com/ führt zu mybiz.com und nicht zu paypal.com.
Achtung: Manche Zeichen aus anderen Schriftsystemen ähneln Buchstaben des lateinischen Schriftsystems so sehr, dass eine Unterscheidung mit bloßem Auge kaum möglich ist.
Wenn Sie sich unsicher sind, ob Sie tatsächlich etwas unternehmen müssen, öffnen Sie in Ihrem Browser die Webseite des relevanten Unternehmens (statt auf den Link in der E-Mail zu klicken) und überprüfen Sie dort, ob eine Maßnahme Ihrerseits erforderlich ist. So verhindern Sie, dass der Link Sie auf eine gefälschte Website führt.
Wie Sie auf Phishing reagieren sollten
Falls Sie vermuten, einer Phishing-E-Mail aufgegessen zu sein, sollten Sie schnellstmöglich Ihren Datenschutzbeauftragten oder die zuständige Stelle im Unternehmen (z.B. IT-Administrator) informieren. Diese werden nach Rücksprache mit Ihnen die nächsten Schritte angehen.
Wenn Ihre Vermutung darauf basiert, dass nach dem Phishing-Angriff Ihr Computer mit einem Virus infiziert worden ist, dann sollten u.a. folgende Schritte eingeleitet werden:
Damit sich der Virus nicht über das gesamte Netzwerk im Unternehmen ausbreiten kann, sollten Sie als allerstes den infizierten Computer vom Netz trennen. Schalten Sie den Computer jedoch nicht aus, da der Administrator für die Ursachensuche ein laufendes System benötigt. Meistens sind die Spuren des Angriffs auch nur im Arbeitsspeicher des Systems zu finden. Ein Neustart oder ein Ausschalten des Computers würde alle Spuren unwiderruflich verwischen.
Wenn noch kein automatischer Viren-Scan durchgeführt worden ist, ist das der nächste Schritt. Entscheidend dabei ist, dass die Antivirus-Datenbank auf dem neuesten Stand ist. Nur dann werden auch die neuesten Malware-Typen erkannt. Sobald das Programm durchgelaufen ist und Viren gefunden hat, löscht es diese in der Regel automatisch bzw. verschiebt infizierte Dateien in eine Quarantäne.
Die IT-Forensik ist einer der wichtigsten Analysefaktoren bei computerbasierter Kriminalität, wie Phishing. Sie soll dabei helfen, den Verlauf des Angriffs auf die Daten zu erforschen, die entstandenen Schäden festzustellen und ggf. den Täter zu überführen.
Auch wenn Ihr Computer mit keinem Virus infiziert worden sind, Sie jedoch personenbezogene Daten oder Zugangsdaten auf einer gefälschten Website eingegeben haben, sollten Sie u.a. folgende Schritte einleiten:
Wenn ein Phishing-Betrüger tatsächlich erfolgreich war, ändern Sie umgehend Ihr Passwort – am besten über ein anderes Endgerät. Wenn der Computer Teil des Phishing-Angriffs geworden ist und ein Passwortmanager auf dem PC installiert ist, sollten auch sämtliche dort gespeicherten Passwörter geändert werden.
Oft werden bekannte Namen von Banken und anderen großen Unternehmen zu Phishing-Zwecken missbraucht. Deshalb bieten viele Unternehmen (wie z.B. Amazon) einen Meldeweg an, um den Missbrauch mitzuteilen.
Dadurch kann der Original-Anbieter auch zusätzliche Maßnahmen ergreifen, um weitere Schäden zu verhindern.
Wenn Sie die Phishing-E-Mail als solche erkannt haben, sollten Sie diese direkt löschen.
Wenn Sie allerdings schon auf einen Link geklickt oder einen Dateianhang geöffnet haben und sich dadurch ein Virus eingefangen haben, löschen Sie die E-Mail nicht, da diese im Ernstfall als Beweismittel dient.
Da es sich bei Phishing um versuchten Betrug und somit eine Straftat handelt, sollte auf jedem Fall die Polizei kontaktiert werden. Eine Strafanzeige ist in diesem Fall wichtig, da Phishing kein Kavaliersdelikt ist.
Eine wichtige Anlaufstelle ist auch die Verbraucherzentrale. Sie teilt auffällige Meldungen über das sog. Phishing-Radar. Um die Vorfälle zu sammeln, ist sie auf jegliche Hilfe angewiesen. Melden Sie also verdächtige E-Mails unter phishing@verbraucherzentrale.nrw. Die weitergeleiteten E-Mails werden von der Verbraucherzentrale Nordrhein-Westfalen ausgewertet. Die Daten der Verbraucher werden dabei anonymisiert.
Fazit
Phishing-E-Mails stellen eine erhebliche Bedrohung für Unternehmen und den Schutz personenbezogener Daten dar. Wissen über die Funktionsweisen, Bewusstsein für die Gefahren und Achtsamkeit im Arbeitsalltag sind die beste Verteidigung.
Das gilt auch dahingehend, dass Phishing-Angriffe nicht nur online stattfinden. Seien Sie auch bei Briefen sowie SMS-Nachrichten achtsam und geben Sie niemals Passwörter oder vertrauliche Informationen weiter.
Wenn Sie Zweifel an der Echtheit einer Nachricht haben, wenden Sie sich direkt an Ihren Datenschutzbeauftragten oder das in der Nachricht genannte Unternehmen. Diese können die Nachricht vollständig überprüfen und einschätzen, ob diese vertrauenswürdig ist oder nicht.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!