Wie sich Phishing-Mails erkennen lassen

Vorsicht! Cyberbetrüger am Start

In der Wahrnehmung vieler Mitarbeiter handelt es sich bei Phishing-Mails um ungefährliche Rundmails, die prinzipiell im Spam-Ordner landen. Ein Trugschluss, der für Unternehmen existenzbedrohende Folgen haben kann.

  • Hacker sitzt im Lichtkegel vor einem Laptop

    Nicht nur bei Phishing-Attacken werden die Methoden von Cyberkriminellen immer ausgefeilter.

  • Niklas Hellemann, So Safe

    Niklas Hellemann, Geschäftsführer des Sicherheitsunternehmens So Safe Cyber Security Awareness

In letzter Zeit werden die Methoden von Cyberkriminellen immer ausgefeilter und zielen zunehmend auf Einzelpersonen und kleine Personengruppen innerhalb einer Organisation ab. Bei Präventivmaßnahmen sollte daher die eigene Belegschaft im Mittelpunkt stehen.

In den Posteingang gelangen E-Mails, die vor Rechtschreibfehlern nur so strotzen. So informiert ein Notar über einen Erbfall, in dem der Mail-Adressat als Hauptbegünstigter auftritt. Um das beträchtliche Erbe antreten zu können, sind nur noch Kleinigkeiten zu klären. Sämtliche weitere Informationen können einer angehängten ZIP-Datei entnommen werden. So oder so ähnlich stellen sich viele Nutzer eine typische Phishing-Mail vor: leicht erkennbar, schnell entschärft.

Doch entspricht diese Vorstellung tatsächlich der Realität? Leider nicht. Professionelle Phishing-Mails haben mit den Massen-Spam-Mails, die in vielen Köpfen umhergeistern, wenig zu tun. „Tatsächlich sind 80 Prozent der Mitarbeiter deutscher Unternehmen nicht dazu in der Lage, differenzierte Phishing-Mails von ihren ungefährlichen Artgenossen zu unterscheiden“, erläutert Dr. Niklas Hellemann, Geschäftsführer des Sicherheitsunternehmens Sosafe Cyber Security Awareness. Das hat gravierende Folgen: Laut einer Studie des Digitalverbands Bitkom und des Bundesamts für Verfassungsschutz waren im Jahr 2017 mehr als 50 Prozent aller deutschen Unternehmen Opfer von Phishing-Attacken. Diese Attacken öffnen Cyberkriminellen Tür und Tor: 92 Prozent aller Cyberangriffe starten mit einer Phishing-Mail. Die der deutschen Wirtschaft hierdurch entstehende Schadenssumme beläuft sich auf über 53 Milliarden Euro jährlich.

Was genau sind eigentlich Phishing-Mails?

Unter Phishing versteht man das „Abfischen“ von Zugangsdaten, Pin-Codes und anderen sensiblen Daten. Hierbei wird den potentiellen Opfern ein Vorwand vorgespielt, um die Herausgabe der sensiblen Daten oder das Ausführen einer schädlichen Handlung zu provozieren. Mittels täuschend echt wirkender E-Mails werden die Opfer zum Beispiel auf speziell präparierte Websites gelockt und dort zur Eingabe von Benutzerkennungen und Passwörter aufgefordert.

Derartige Websites sprießen wie Pilze aus dem Boden: Die internationale Arbeitsgruppe Anti Phishing Working Group (APWG) registrierte bei Phishing-Websites im ersten Quartal 2018 einen Zuwachs von 46 Prozent Prozent gegenüber dem 4. Quartal 2017. Neben Verlinkungen zu Phishing-Websites können die Mails auch Anhänge enthalten, die mit schadhafter Malware infiziert sind.

Von reiner Geldgier über Industriespionage bis hin zur Verfolgung politischer Ziele: Die Motivationen der Täter sind vielseitig. Wie dramatisch die Folgen erfolgreicher Cyberangriffe sein können, zeigte erst kürzlich die Attacke auf das Klinikum Fürstenfeldbruck. Diese begann mit einer Phishing-Mail und legte den Klinikbetrieb phasenweise völlig lahm – mit der entsprechenden Gefährdung von Menschenleben.

Die Trickkiste moderner Cyberbetrüger

Eine äußerst beliebte Masche ist der CEO-Fraud. Hier geben sich die Angreifer als Vorgesetzter ihres Opfers aus und weisen es unter Ausübung von Druck dazu an, hohe Geldsummen an ein fremdes Konto zu überweisen. Mit dieser Methode wurden in der Vergangenheit in verschiedensten Branchen hohe Summen erbeutet, die unwiderruflich verloren sind.

Immer größerer Beliebtheit erfreut sich zudem das Spear-Phishing. Hierbei beschaffen sich die Angreifer Informationen über eine bestimmte Personengruppe, um diese mit maßgeschneiderten Mails gezielt anzugreifen. In Zeiten der Vernetzung und Social-Sharing-Kultur erweisen sich Plattformen wie Xing, Linkedin oder Facebook häufig als echte Goldminen für Angreifer. Per Mausklick lassen sich hier Informationen zu Unternehmensgröße und firmeninternen Hierarchien als auch private Details herausfinden. Laut dem Software-Hersteller Mimecast ist die Zahl registrierter Spear-Phishing-Attacken im ersten Quartal 2018 gegenüber dem vierten Quartal 2017 um über 50 Prozent gestiegen.

Als Unterform von Spear-Phishing stellt das Whaling eine besonders lukrative Verdienstmöglichkeit für Cyberkriminelle dar. Hier haben es die Angreifer auf die dicken Fische, sprich die Führungsriege eines Unternehmens, abgesehen. So wird dem Finanzvorstand beispielsweise eine Veranstaltungseinladung zur nächsten Vorstandssitzung zugesendet, für die er sich in einer vorgefertigten Phishing-Website anmelden muss.

Wie kann man sich vor Phishing-Attacken schützen?

Die Grundlage von IT-Sicherheitskonzepten sollten generell Spam-Filter, Anti-Virenprogramme und Firewalls sein. Diese technischen Maßnahmen bieten jedoch im Falle von Phishing nur unzureichenden Schutz, so Niklas Hellemann: „Selbst der beste Spam-Filter kann nicht verhindern, dass die eine oder andere Phishing-Mail im Posteingang landet. Insbesondere akribisch vorbereitete Spear-Phishing-Attacken umgehen die gängigen Schutzmechanismen oft spielend. An dieser Stelle müssen die Mitarbeiter mit ins Boot geholt und auf die Gefahren von Phishing-Mails aufmerksam gemacht werden. Denn sie sind die letzte Linie der Verteidigung – sozusagen die ‚Human Firewall‘.“

Demnach sei es sinnvoll, das Thema vor der Belegschaft offen anzusprechen und auf den Tisch zu bringen. Zudem seien Schulungsmaßnahmen ein guter Schritt in die richtige Richtung, so betont Hellemann weiter: „Die Sensibilisierung der Mitarbeiter im Umgang mit Phishing-Mails sollte in keinem IT-Sicherheitskonzept fehlen. Hier bieten sich etwa regelmäßige Präsenzschulungen für die Belegschaft an. Diese sind jedoch vielerorts aufgrund von Kapazitäten- und Ressourcenmangel nicht umsetzbar.

Kostengünstiger und in der Regel effizienter seien in diesem Kontext simulierte Phishing-Angriffe: „Viele Firmen mit denen wir zusammenarbeiten schätzen die Vorteile von kontinuierlichen Simulationen. Hier werden die Mitarbeiter regelmäßig mit realistischen Angriffen konfrontiert und erlernen so während der Arbeit einen bewussteren Umgang mit Phishing-Mails“, berichtet Hellemann. Auch interaktives E-Learning stellen laut Hellemann eine gute Möglichkeit dar, das Bewusstsein der Belegschaft nachhaltig zu erhöhen. Denn nur so lasse sich sicherstellen, dass Mitarbeiter in der Lage sind, moderne Cyberangriffe zu erkennen.

Bildquellen: Thinkstock/iStock, So Safe

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok