SecurityKategorie

Phishing: So schützt du deine Daten und dein Business

10 min lesen
Wolf-Dieter Fiege
Titelmotiv des Blogbeitrags zum Thema: Phishing: So schützt du deine Daten und dein Business

Starte dein Business in wenigen Minuten - mit Airo. Ganz einfach Domainname finden, Logo & Website-Design gestalten uvm.

Erfahre mehr

Datenklau per Mail oder Website ist ein ständiges Risiko für Unternehmen. Was du gegen Phishing tun kannst? Vor allem ein enormes Misstrauen entwickeln.

Was ist Phishing und wie funktioniert es?

Phishing ist ein Kofferwort aus „Password“ und „Fishing“ – also „Passwort angeln“. Kriminelle versuchen, Anmeldedaten, Passwörter oder Kreditkarteninformationen abzugreifen. Das funktioniert per E-Mail, gefälschter Website, SMS und sogar per Telefon. Phishing lebt von der Sorglosigkeit der User und dem blinden Vertrauen in technische Sicherheitsmaßnahmen.

Neben anderen Aktivitäten von Cyberkriminalität (etwa Ransomware) ist Phishing die am stärksten wachsende kriminelle Online-Methode. Warum? Weil sie häufiger Erfolg hat, als man glauben möchte.

Erfahre hier mehr zum Thema: Cybersicherheit für kleine Unternehmen

Welche Arten von Phishing-Angriffen gibt es?

„Datenfischer“ werden immer kreativer. Je besser du die Methoden kennst, desto besser verhinderst du, darauf hereinzufallen.

  • Deceptive Phishing: User werden per Mail-Link auf eine Domain geleitet, die einer großen Unternehmensseite ähnelt (Domain Spoofing). Anlass ist oft eine Sicherheitsüberprüfung oder eine Kontoeinschränkung.
  • Pharming: E-Mail-Absender und Link auf die Website sind authentisch, der Link führt zu einer gefälschten Phishing-Seite. Dahinter steht eine manipulierte IP-Adresse oder sogar ein Virus.
  • Spear Phishing: Der Phishing-Angriff erfolgt nicht per Massenmail, sondern richtet sich direkt an eine Person. Die Mails sind „maßgeschneidert“ (per Social Engineering).
  • Clone Phishing: Die Hacker „klonen“ eine bereits erhaltene authentische E-Mail mit kleinen Modifikationen und schicken sie erneut – oft mit der Angabe, dass beim ersten Mal was schiefgelaufen sei.
  • CEO Fraud: Ähnlich wie Spear Phishing, allerdings gaukelt die Mail eine dringende Anfrage bzw. Handlungsanweisung von Vorgesetzten vor. Meist gehen solche Attacken an Mitarbeiter in der Buchhaltung, die auf „Anweisung von oben“ Geld transferieren sollen.
  • Whaling: Das „Gegenteil“ von CEO Fraud. Hier geraten die Führungskräfte selbst ins Visier. Meist geht es um den größtmöglichen Schaden (Geld oder Daten).
  • Vishing: (Voice) Phishing per Telefon. Ein Computer ruft an, legt bei Annahme sofort auf, bei Rückruf geht der Kriminelle ran, um dich zur Herausgabe sensibler Daten zu animieren – etwa, indem er sich als Mitarbeiter deiner Bank ausgibt.
  • Smishing: Phishing per SMS. Funktioniert analog zu klassischen Phishing-Links. Die meisten modernen Unternehmen nutzen kein SMS-Marketing. Du kannst bei verdächtigen SMS fast immer von Phishing ausgehen.
  • Evil Twin: Phishing per WLAN-Hotspot. Der Angreifer klont ein legitimes Netzwerk. Bei Verbindung bekommt er Zugang zum Endgerät. Ein VPN kann dich relativ gut schützen. Tipp: In öffentlichen Netzwerken keine sensiblen Transaktionen durchführen.

Wie erkenne ich Phishing-E-Mails?

Obwohl die Kriminellen immer besser werden, lassen sich die meisten Phishing-Mails relativ leicht erkennen. Seriöse Hinweise? Findest du beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Die besten Beispiele? Findest du in deinem Spam-Ordner.

  • Der Betreff oder der Text enthält Rechtschreibfehler und/oder merkwürdige Formulierungen.
  • Die E-Mail behauptet einen dringenden Handlungsbedarf.
  • Die E-Mail droht mit Konsequenzen, falls du dem Link nicht folgst.
  • Du wirst nicht mit deinem Namen, sondern einer E-Mail-Adresse angesprochen.
  • Absender und Anliegen passen nicht zusammen oder scheinen ungewöhnlich.
  • Die Absenderadresse ist verdächtig/passt nicht.
  • Die E-Mail enthält nur einen Link.

Erfahren Sie mehr zum Thema: 7 Sicherheitslücken, die du als Unternehmer kennen solltest

Phishing-Beispiele und Warnsignale: Es geht nicht mehr nur um Text

Künstliche Intelligenz sorgt dafür, dass die Textqualität von Phishing-E-Mails steigt. Auch sind zunehmend Deepfake-Audio- oder -Video-Formate im Einsatz, die sich immer schwerer als Betrug erkennen lassen. Diese Angriffe zielen vor allem auf Social Engineering, also die Manipulation eines Menschen, damit dieser wichtige Informationen preisgibt.

Gegen einen solchen technologischen Sprung kommst du technologisch (bisher) nicht an. Vielmehr musst du selbst zum „Social Detective“ werden und bei Audio- oder Videoformaten (entweder als Sprachnachricht, am Telefon oder per Mail) genau aufpassen:

  1. Das Gegenüber baut Druck auf. Vor allem Dringlichkeit ist häufig ein Warnsignal für einen Betrugsversuch. Jemand braucht „unbedingt“ oder „noch heute“ Geld oder sensible Daten von dir? Vor allem, weil ihm sonst etwas Schlimmes passiert? Brich das Gespräch sofort ab.
  2. Die Sprache passt nicht. Menschen leben von „Ähs“ und „Mmmhs“, Denkpausen oder Versprechern. Maschinen können das (noch) nicht. Außerdem hat jeder Mensch einen unverwechselbaren Redestil, der wie ein Fingerabdruck wirkt. Solltest du die vermeintliche Person schon einmal getroffen haben, achte auf kleinste Veränderungen – diese sollten eigentlich nicht vorkommen.
  3. Fragen und Antworten passen nicht. Stell möglichst viele Fragen – am besten so, dass dein Gegenüber angehalten ist, die Frage aufzugreifen. Sollte es sich um KI oder vorgefertigte Dateien handeln, fliegt der Betrug relativ schnell auf. Bester Ansatzpunkt: Doppelte Verneinung („Meinen Sie nicht, dass es nicht besser wäre …“).

Wie schütze ich mich vor Phishing-Angriffen?

Sobald du eine E-Mail bekommst oder auf einer Website unterwegs bist, bei der etwas nicht zu stimmen scheint, ist Vorsicht besser als Nachsicht. Gerade bei E-Mails solltest du dir vor Augen halten, dass kein seriöses Unternehmen sensible Daten per Mail fordert. Darüber hinaus können folgende Verhaltensweisen helfen:

  1. Klicke niemals einfach auf einen Link. Nimm Links in Augenschein und untersuche die Domain, die Dateiendung, den gesamten Aufbau.
  2. Starte niemals eine exe-Datei oder einen Download direkt aus der Mail. Das ist das Einmaleins des Phishings.
  3. Lade keinen (verdächtigen) Anhang herunter. Damit fängst du dir fast immer Malware ein.
  4. Überprüfe die Adresszeile im Browser. Leider ist eine HTTPS-Verschlüsselung kein Garant für eine sichere und saubere Seite. Beachte die gesamte URL.
  5. Gibt niemals sensiblen Daten weiter. Im Zweifel hilft ein persönlicher Anruf beim angeblichen Nachfrager – wenn er denn existiert.
  6. Checke Benutzerkonten oder Geldbewegungen. Sobald dort etwas passiert, das nicht passieren sollte, melde dich beim Unternehmen, ändere Passwörter und sperre ggf. Karten und Konten.
  7. Logge dich korrekt aus. Wenn du nur den Browser schließt, haben Kriminelle ausreichend Zeit, um Daten abzufischen. Selbst, wenn dich Programme automatisch ausloggen.
  8. Halte deine Web-Security aktuell. Mit Firewall, Antivirus-Software und Internet-Suite baust du ein gutes Bollwerk gegen Cyberkriminelle auf. Je mehr Schichten, desto besser.
  9. Bleib auf dem Laufenden: Heute Phishing, morgen Spyware, übermorgen KI-Attacken – Cyberkriminalität schläft nie. Darum solltest du dich regelmäßig über Trends informieren und die Warnsignale kennen.

Erfahren Sie mehr zum Thema: Ist deine Webseite sicher? Mache den Sicherheitscheck

Phishing vs. Spear Phishing: Unterschiede erklärt

Während Phishing auf Massen-E-Mails setzt, gilt der Angriff beim Spear Phishing (von „Speerfischen“) direkt einer Person. Die Mail ist auf das Leben und die Persönlichkeit der Person zugeschnitten – die passende Ansprache und das Thema wurden per Social Engineering herausgefunden.

Phishing vs. Pharming: Was ist der Unterschied?

Beim Pharming (von engl. farming: beackern) sind sowohl der Absender einer Phishing-Mail als auch der anzuklickende Link zu einer Website authentisch (auch wenn sie gefälscht bzw. gestohlen sind). Der Link führt allerdings auf eine andere Website als angegeben, auf der du deine Daten eingeben oder einem weiteren Link folgen sollst – und dir damit unter Umständen einen Virus einfängst.

Welche Informationen solltest du niemals in Phishing-E-Mails teilen?

Klarer Fall: gar keine! Je sensibler die Information, desto weniger hat sie in einer einfachen E-Mail an einen vielleicht dubiosen Absender zu suchen. Der einfachste Weg, um sich zu versichern, dass der Absender ist, wer er angibt zu sein? Eine WhatsApp schicken, anrufen oder auf Social Media anschreiben. Die „Person“ existiert nirgendwo? Dann ist es ein Scam.

Erfahren Sie mehr zum Thema: Was sind die Gefahren von Social Media?

Phishing-Bekämpfung: Tipps für Unternehmen

Die größte Sicherheitslücke in Unternehmen sind die Mitarbeiter. Darum ist es besonders wichtig, sie für die Gefahren von Cyberkriminalität zu sensibilisieren. Darüber hinaus solltest du:

  • Sämtliche Bürogeräte im Netzwerk sichern. Auch der smarte Drucker ist ein Einfallstor.
  • Regelmäßige Phishing-Tests durchführen. Mit falschen Phishing-Mails lässt sich überprüfen, wie gut Menschen und Maschinen im Unternehmen gesichert sind.
  • Zwei-Faktor-Authentifizierung und Passwort-Regeln einführen. Das macht es den Angreifern schwerer, an Daten zu kommen.
  • Notfallplan erstellen: Verdächtige Mails oder Seiten an Behörden melden, weitergegebene Daten bzw. Datenquellen ändern/sperren. Eventuell betroffene Dritte informieren.

Erfahren Sie mehr zum Thema: 7 Tipps zur Netzwerksicherheit für kleine Unternehmen

Phishing-Prävention: Die Rolle von Antiviren-Software

(Kostenlose) Antiviren-Software kann gefälschte Websites bzw. Phishing-Websites als Fake erkennen und Alarm auslösen. Viele Business-Lösungen übertragen diese Funktion zusätzlich auf dein E-Mail-Postfach. Die Software ist damit ein wichtiges Tool deiner Internet-Security, in Sachen Phishing jedoch erst die zweite Verteidigungsebene – die erste ist dein Verhalten selbst.

Erfahren Sie mehr zum Thema: Wurde meine E-Mail gehackt? Mit diesen Tools kannst du es testen

Laut IBM und anderen Sicherheitsexperten auf der ganzen Welt ist Phishing das häufigste Einfallstor für den Datenklau – und die Bedeutung wächst. Der Bericht zur Lage der IT-Sicherheit in Deutschland 2023 des Bundesamts für Sicherheit in der Informationstechnik hält fest, dass 32 Prozent aller Spam-Mails inzwischen Phishing-Versuche sind. Geht es um eine betrügerische Absicht, macht Phishing sogar 84 Prozent der Mails aus. Häufigster Ansatzpunkt sind vermeintliche Nachrichten von Banken und Finanzinstituten.

Andere Quellen wie IBM sehen einen zunehmenden Trend zum Spear Phishing (62 Prozent). Ein wichtiger Treiber ist der steigende Einsatz von Künstlicher Intelligenz, die nicht nur menschliche Sprache imitieren, sondern vor allem das Social Engineering erleichtern kann.

Erfahren Sie mehr zum Thema: E-Commerce-Sicherheit – Die 7 häufigsten Gefahren für deinen Online-Shop und wie du dich dagegen schützen kannst

Was tun, wenn du Opfer eines Phishing-Angriffs wirst?

Schnelles, gezieltes Handeln kann den Phishing-Schaden zwar nicht beseitigen, aber die Folgen minimieren:

  1. Sämtliche Passwörter ändern. Wähle ein starkes und sicheres Passwort, das sich weder erraten noch mit dir verbinden lässt.
  2. Den Vorfall melden. Ob an die IT-Abteilung oder deinen Website- bzw. Mail-Provider. Offizielle Stellen müssen von der Attacke wissen, um Gegenmaßnahmen zu ergreifen. Außerdem baust du mit der Meldung für den Fall der Fälle eine juristische Säule auf.
  3. Auf Malware prüfen. Untersuche deine gesamte IT auf mögliche Schadsoftware und entferne gefundene Viren und Co. umgehend.
  4. Den imitierten Absender kontaktieren. Da Phishing-Kriminelle oft den Namen eines tatsächlichen Unternehmens oder Absenders verwenden, solltest du diesen unbedingt kontaktieren. Dieser ist genauso geschädigt, sein Image steht auf dem Spiel.

Phishing-Tests für Unternehmen: Sinn und Zweck

Bei Phishing-Tests versendet die eigene IT-Abteilung Phishing-Versuche und checkt, ob Mitarbeiter darauf reagieren – und vor allem wie. Der Sinn liegt auf der Hand: Da der Mensch beim Phishing die wichtigste Sicherheitslücke ist, muss diese auch überprüft und geschlossen werden.

Wie erstellen Phisher gefälschte Websites?

Das sogenannte Website Spoofing als Imitation echter Websites funktioniert auf zwei Arten: Betrüger ahmen eine legitime Seite auf einer verdächtig ähnlichen Domain nach oder kapern die echte Website. Diese Übernahme funktioniert meist durch Hacking – oder ist selbst das Ergebnis von Phishing.

Phishing - Fazit

Phishing funktioniert – immer wieder. Im Zweifel hilft es stets, vor einem Klick oder einer Eingabe nachzufragen. Davon gehen Kriminelle nämlich nicht aus.

Titelmotiv: Photo by Kasia Derenda on Unsplash

Dieser Artikel ist am 08.02.2018 erschienen und wurde am 26.08.2024 aktualisiert.

Products Used

More articles like this