Phishing: Bitte nicht anbeißen!

Was wie ein harmloser Angeltrip klingt, kann für Unternehmen die Insolvenz bedeuten: Phishing. Beim Phishing versuchen Kriminelle meistens über betrügerische E-Mails vertrauliche Informationen von Nutzerinnen und Nutzern abzugreifen oder sie zu einem unbedachten Klick auf einen Anhang mit einem Schadprogramm zu verführen. Und das häufig mit Erfolg.

Phishing kann jedes Unternehmen treffen

Der Automobilzulieferer Leoni aus Nürnberg ist ein bekannter Hersteller für Drähte, Kabel und Bordnetz-Systeme. In der Welt der IT-Sicherheit ist das Unternehmen jedoch auch durch etwas anderes bekannt: 2016 wurde es Opfer eines Phishing-Angriffs, der zu einem finanziellen Schaden von fast 40 Millionen Euro führte. Selbst heute ist die damalige Schadenssumme außergewöhnlich hoch, erfolgreiche Cyberangriffe jedoch leider keine Seltenheit mehr. Besonders schlimm traf es in Nordrhein-Westfalen einen Fahrrad- und E-Bike-Hersteller, der nach einem schweren Cyberangriff in die Insolvenz musste.

Phishing-Angriffe haben viele Gesichter

E-Mail-Phishing ist die häufigste Form von Phishing, traditionell im Namen bekannter Unternehmen wie Banken, Behörden oder Lieferunternehmen. Inzwischen setzen Kriminelle aber nicht mehr nur auf E-Mails. Vermehrt erfolgen Phishing-Angriffe genauso über Soziale Medien, Messenger-Dienste, SMS und als Voice-Phishing über das Telefon, sogar mit Unterstützung von künstlichen Intelligenzen. Allen Formen ist gemeinsam, Opfer zu ködern, um vertrauliche Informationen zu beziehen. Oder die Täterinnen und Täter fordern Sie auf, eine Datei mit einem schädlichen Programm zu öffnen, die entweder als Anhang beigefügt ist oder zum Download bereitsteht. Hinter diesen Cyberangriffen stecken meist keine Einzeltäterinnen und Einzeltäter, sondern professionell organisierte Gruppen mit großer Infrastruktur.

CEO-Fraud: So gehen Täter*innen vor

Ein typisches Vorgehen von Kriminellen ist es, in Unternehmen E-Mails von Führungskräften zu fälschen und diese an Mitarbeitende zu verschicken – darauf spekulierend, dass die Person durch fehlenden Kaffee, Feierabendstress oder das private Umfeld unachtsam ist. Es wird darum gebeten, beim Anliegen äußerst diskret vorzugehen und die Anweisung der vermeintlichen Führungskraft sofort auszuführen – meist eine Überweisung, die getätigt werden soll. Diese Betrugsmasche nennt sich CEO-Fraud. Um glaubwürdig als Vorgesetzte aufzutreten, sammeln die Täter*innen möglichst viele Informationen über das Unternehmen und dessen Struktur an. Besonders häufig stehen Mitarbeitende aus der Buchhaltung oder Finanz-Abteilung im Visier solcher personalisierten Phishing-E-Mails.

Lassen Sie sich nicht ködern

Bei Phishing-E-Mails lassen sich Fälschungen von Originalen kaum noch unterscheiden. Deshalb ist es wichtig, Mitarbeitenden Grundkenntnisse zu vermitteln, wie sie gefälschte Absender oder eine manipulierte Internetadresse erkennen. Denn: Egal, wie gut Ihre Sicherheitssysteme sind, einen vollständigen technischen Schutz gegen Phishing gibt es nicht. Neben dem Einsatz von professionellen Spam- und Antivirenfiltern sollten Unternehmen daher ihre internen Prozesse auf den Prüfstand stellen. Dazu zählen das Vier-Augen-Prinzip bei der Änderung von Kontodaten oder der Freigabe von Überweisungen ab einer bestimmten Summe und eine Unternehmenskultur, bei der Mitarbeitende bei ihrer Führungskraft direkt Rücksprache halten können. Diese sollte über einen anderen Kanal als die E-Mail erfolgen, zum Beispiel über das Telefon. Grundsätzlich sollten Sie achtgeben, wenn Sie per E-Mail aufgefordert werden, Ihren Benutzernamen oder Passwort auf einer Webseite einzugeben oder diese zu ändern. Tun Sie es nicht einfach so. Behalten Sie im Hinterkopf: Der beste Schutz vor Phishing-Angriffen sind Sie selbst!