Nutzen Sie diesen Blog-Beitrag als Schulungsmöglichkeit in Ihrem Unternehmen. Publizieren Sie diesen in Ihrem Intranet und informieren Sie Ihre Mitarbeitenden mit einem Micro-Training.
Cyber-Risiken wie der Befall mit Schadprogrammen durch Phishing-Attacken haben in den letzten Jahren immer mehr zugenommen. Das zeigt auch der Allianz Risk Barometer von 2022 (1a), 2023 (1b) und 2024 (1c). Die Befragten sehen Cyber-Risiken als grösstes Risiko für das kommende Jahr.
Zunehmend sind nicht nur grosse Firmen im Visier der Angreifer, sondern auch kleine und mittlere Unternehmen. In der Schweiz haben die Attacken in den letzten Wochen und Monaten stark zugenommen. Man kann fast täglich von betroffenen Unternehmen lesen. Eine Befragung von DigitalSwitzerland (2) unter 506 Geschäftsführenden von kleinen und mittleren Unternehmen ergab, dass im Jahr 2021 36 % Opfer eines Cyber-Angriffs wurden. Dies entspricht einer Steigerung von 11 % (im Vorjahr waren es 25 %). Dabei entstanden unter anderem finanzielle Schäden, Schäden am Image des Unternehmens oder ein Verlust von Kundendaten. Potential sieht die Studie bei der Steigerung der Mitarbeiterschulung. Nur 39 % der Befragten schulen ihre Mitarbeitenden regelmässig, 21 % schulen gar nicht.
Wird ein Unternehmen via Phishing erfolgreich mit Ransomware angegriffen, kann die Produktion zwischen einem Tag und mehreren Wochen still stehen, bis der Schaden behoben ist. Auch dauert es teilweise Monate, bis betroffene Unternehmen realisieren, dass sie Opfer eines Cyberangriffs wurden.
Die häufigsten Attacken mit Ransomware oder anderer Malware erfolgen mittels Phishing-E-Mails. Weshalb? Weil der Mensch eine der erfolgreichsten Einflugschneisen für Angriffe darstellt. Die Hacker setzen auf die Unwissenheit, Hilfsbereitschaft, Gutgläubigkeit oder Unsicherheit ihrer Opfer. Eine Phishing-E-Mail zu erstellen ist einfach und kostengünstig und kann per Knopfdruck an Tausende von Personen gleichzeitig versendet werden. Und bei jedem solchen Angriff fallen dutzende, wenn nicht gar hunderte Personen darauf rein.
Spam-Filter können oft nicht alle Phishing-E-Mails rechtzeitig erkennen. Daher ist es wichtig, dass alle Mitarbeitende geschult sind und Phishing selbst erkennen und so zum Schutz des Unternehmens beitragen.
In diesem Artikel beleuchten wir die Thematik von Phishing eingehender. Was ist Phishing? Wie erkennen Sie Phishing-E-Mails? Was kann gegen Phishing unternommen werden?
Heutzutage ist jeder von uns, egal ob Privatperson oder Mitarbeitende/r, potenzielles Ziel von Hacker-Angriffen und somit von Phishing. Wahrscheinlich haben auch Sie schon mal eine Phishing-E-Mail erhalten.
Die Angreifer werden immer professioneller und daher wird es auch immer schwieriger, Phishing-E-Mails zu erkennen. Es ist sehr wichtig, dass man bei E-Mails kritisch ist.
Mit Phishing-E-Mails, Instant Messaging, persönlichen Nachrichten oder Internetseiten versuchen Angreifer an die Daten ihrer Opfer zu gelangen. Besonders beliebt sind Zugangsdaten wie Passwörter, Benutzernamen oder Kontoinformationen. Mithilfe von Links und verseuchten Webseiten kann auch Ransomware auf einem PC oder Firmennetzwerk eingeschleust werden.
Hat ein Hacker einmal Zugang zu Nutzerkonten oder Netzwerken erlangt, so können Kunden- oder Geschäftsdaten ausgespäht oder gestohlen werden. Geldüberweisungen können getätigt oder Systeme manipuliert oder gar betriebsunfähig gemacht werden. Oft folgen auf einen ersten Angriff noch weitere Angriffe, was zu grossen finanziellen Verlusten und Imageschäden führen kann. In schwerwiegenden Fällen führt es bis zum Konkurs.
Es gibt verschiedene Formen von Phishing. Grundsätzlich haben alle das gleiche Ziel: an Daten zu gelangen. Manche Phishing-Formen sind jedoch offensichtlicher, andere schwieriger zu erkennen, da sie raffinierter gemacht sind.
Fazit: Egal über welchen Kanal Cyberkriminelle angreifen. Es geht den Angreifern immer darum, dass auf einen Link geklickt wird, Dateien geöffnet werden, um Malware zu installieren, dass sensitive Daten bekanntgegeben werden oder Transaktionen ausgeführt werden.
Um sich vor Phishing zu schützen, ist es wichtig, solche Nachrichten zu erkennen. Es gibt einige Merkmale, woran Sie Phishing erkennen können.
Ist Ihnen der Absender nicht bekannt? Sie hatten mit dieser E-Mail-Adresse noch nie Kontakt? Dann sollten Sie misstrauisch sein!
Das gilt auch, wenn der Absender, also der E-Mailheader bzw. die E-Mail-Adresse nicht zum hinterlegten Internet-Link passt (Beispiel: mailto:no_reply@europcar.ch / Webseite: www.europcart.ch).
Absenderadressen werden leicht gefälscht, diese enthalten dann oft kleine Fehler oder eine andere URL (zum Beispiel .net statt .com).
Ein weiteres Zeichen ist eine persönliche Absenderadresse (z. B. @gmail.com oder @outlook.com), auch wenn die Nachricht vorgibt, von einem Unternehmen zu sein.
E-Mailanhänge können PCs und Netzwerke mit Schadsoftware infizieren. Daher sollten dubiose Anhänge nicht geöffnet werden. Fragen Sie im Zweifelsfall beim Absender nach. Wichtig: Antworten Sie dafür nicht in der Nachricht, sondern wählen Sie einen anderen Kommunikationskanal wie z. B. das Telefon. Wenn Sie unsicher sind, öffnen Sie den Anhang besser nicht.
Achten Sie bei der Nutzung von Windows darauf, dass im Windows Explorer im Register «Ansicht» die Auswahl «Dateinamenerweiterungen» aktiviert ist. Ist diese Einstellung deaktiviert, erkennt man den Dateityp nicht auf Anhieb. Es besteht somit die Gefahr, dass man manipulierte Erweiterungen wie bspw. «Dokumentenname.pdf.exe» nicht erkennt und eine Datei mit einem Schadprogramm öffnet.
Eine unpersönliche Anrede, wie z. B. «Sehr geehrter Kunde», kann ein Hinweis auf Phishing sein. Aber Vorsicht: Cyberkriminelle können sich über soziale Netzwerke oder Suchmaschinen über ihre Opfer informieren und sie so gezielt anschreiben (das sogenannte «Spear-Phishing»).
Fehlerhaftes Deutsch, Zeichensatzfehler, fehlende Buchstaben oder Umlaute, Grammatik- und Orthografie-Fehler, Buchstaben aus anderen Alphabeten (z. B. kyrillische Buchstaben). Achtung: Buchstaben aus einem anderen Alphabet sind oft sehr schwer zu erkennen.
Wenn Sie aufgefordert werden, innerhalb einer kurzen Frist zu handeln, oft verbunden mit einer Drohung (z. B. der Sperrung von Kreditkarten oder Online-Zugängen), kann dies auf Phishing hinweisen. Prüfen Sie daher genau, ob die Aufforderung wirklich berechtigt ist. Oft ist eine Einladung auch «zu schön, um wahr zu sein».
Wenn Sie aufgefordert werden, persönliche Daten, wie Passwort, PIN oder TAN einzugeben, sollten Sie aufpassen. Merken Sie sich: Kein seriöses Unternehmen fordert ihre Kunden auf, über einen beigefügten Link oder ein angehängtes Formular ihre Benutzerdaten zu ändern. Wenn doch, dann ohne direkten Link auf die Login-Seite. Passen Sie Benutzerdaten immer über die von Ihnen gespeicherte Internetseite an. Beantworten Sie niemals E-Mails, in denen nach Benutzernamen, Passwörtern oder Kontoinformationen usw. gefragt wird.
Die Nachricht enthält eine oder mehrere Links, welche auf eine Adresse verweisen, die nicht zum Adressbereich des Absenders gehört. (BEISPIEL Absender: info@ebay.net Link: http://www.paypal.com-verfy-transactionid-7961312693567631367.login.ebay-buyerprotection.net).
Überprüfen Sie zudem, dass keine Sonderzeichen (z. B. aus dem kyrillischen Zeichensatz, Leerschläge, etc.) in der URL enthalten sind. Um eine URL zu prüfen, fahren Sie mit der Maus über den Link. In einem Pop-up-Fenster erscheint der ausgeschriebene Link. Wenn das nicht funktioniert, müssen Sie dies in den Einstellungen aktivieren. Überlegen Sie sich gut, ob Sie den Link besuchen müssen oder nicht und klicken Sie nicht einfach aus Neugierde drauf.
Normalerweise ist die Kommunikation in der Sprache des Empfängers. Manchmal, wie in der Beispiel-E-Mail im Bild, werden mehrere Sprachen vermischt. Einerseits ist dies verdächtig, andererseits wirkt es nicht sehr seriös, wenn ein Unternehmen zum Beispiel mit «Thanks» in einer deutschen E-Mail abschliesst.
Wenn für Abteilungen, Produkte oder Dienste unübliche oder unbekannte Bezeichnungen verwendet werden, sollten Sie aufhorchen und vorsichtig sein. Prüfen Sie im Intranet, ob diese Bezeichnung innerhalb des Unternehmens verwendet wird. Falls nicht, die E-Mail melden und löschen.
Wenn Sie eine E-Mail erhalten, welche Ihnen verdächtig erscheint oder Sie diese deutlich als Phishing erkennen, melden Sie sich immer unverzüglich bei Ihrem IT Service Desk. Verwenden Sie dafür die in Ihrem Unternehmen gängige Methode (z. B. durch Weiterleiten der E-Mail an den IT Service Desk oder das Melden über eine bestimmte Schaltfläche im E-Mail-Programm).
Nur durch Ihre Mithilfe können Phishing-Angriffe frühzeitig erkannt und die nötigen Gegenmassnahmen ergriffen werden. Es ist daher wichtig, solche E-Mails sofort zu melden, nicht zu beantworten oder auf darin enthaltene Links oder Anhänge zu klicken.
Das gleiche gilt auch bei Phishing Versuchen über andere Kanäle wie Telefon oder SMS. Melden Sie auch das unverzüglich Ihrem IT Service Desk.
Der technische Schutz der IT-Infrastruktur in einem Unternehmen ist in der Regel gegeben, so dass hier kaum noch Hacker-Angriffe zu verzeichnen sind. Über die Mitarbeitenden, also die Nutzer der IT-Infrastruktur, können Hacker jedoch immer noch sehr erfolgreich an Geld, Daten und Informationen gelangen und Lösegeld erpressen. Aus diesem Grund ist es so wichtig, dass auch die Menschen, welche die IT-Infrastruktur nutzen, wissen, wie sie sich sicher verhalten. Insbesondere im Umgang mit Phishing. Schulen Sie Ihre Mitarbeitenden in den Themen der Informationssicherheit und vermindern Sie so das Risiko eines erfolgreichen Hackerangriffs.