Datendiebstahl, Angriffe auf IT-Infrastrukturen, Lösegeld-Erpressung: Phishing ist eine häufig genutzte Hackermethode, da diese mit relativ geringem Aufwand enormen Schaden anrichten kann. Unternehmen sollten auf die wachsenden Risiken mit optimierten Sicherheitsstandards reagieren. Franka Beyer von SoSafe und Julian Geils, Senior IT-Security Consultant & Engineer bei der DGC, erklären, worauf im Umgang mit Phishing Mails geachtet werden sollte und warum es so wichtig ist, eigene Mitarbeitende in den Mittelpunkt der Maßnahmen zu stellen.
Was versteht man unter E-Mail-Phishing und wie läuft ein solcher Hackerangriff ab?
Julian Geils: Unter Phishing versteht man Attacken, bei denen Cyberkriminelle Empfängern zum Beispiel per E-Mail eine Nachricht übermitteln, um sie zu der Ausführung einer Aktion zu verleiten. Das Vorhaben wird auf elektronischen Wege initiiert – im Fokus steht aber klar der Mensch. Denn dieser wurde als Hauptangriffspunkt und vermeintlich schwächstes Glied der IT-Sicherheit identifiziert – Experten sprechen von Social Engineering. Durch psychologische Manipulation, etwa dem Aufbau von Zeitdruck, Neugier, Angst oder Respekt vor Autorität gelingt es, Mitarbeitende zu überlisten. Mit drastischen Folgen, da preisgegebene Informationen von Einzelpersonen oder Unternehmen meist zum Datenmissbrauch genutzt werden.
In der Praxis sehen wir von Spear Phishing über Whaling-Angriffe bis zu Waterhole-Attacken verschiedenste Phishing-Techniken. Ein weit verbreitetes Szenario ist etwa, dass der Angreifer eine E-Mail mit verseuchtem Link verschickt. Der Empfänger wird unter einem Vorwand dazu aufgefordert, dem Link dringend zu folgen und persönliche Anmeldedaten einzugeben – etwa, weil auffällige Aktivitäten auf dem eigenen Account überprüft werden sollen. Meist verbirgt sich dahinter jedoch eine gefälschte Webseite oder Schadsoftware.
Ein noch größeres Risiko bergen E-Mails mit verseuchten Anhängen, weil sich Hacker darüber direkten Zugriff auf Firmennetzwerke verschaffen können. Hierauf gehen wir in unserem gemeinsamen Webinar am 13. September ein und beschreiben Gegenmaßnahmen.
Wie lassen sich Phishing Mails erkennen?
Julian Geils: Verschiedene Anzeichen können darauf hindeuten, dass es sich um einen Phishing-Angriff handelt. Neben grammatikalischen Fehlern und einer fehlenden persönlichen Anrede sind das oftmals optische Abweichungen vom Corporate Design des gefälschten Absenders. Beispielsweise greifen Angreifer zu Tricks, um Webauftritte zu maskieren. So könnte der Shortlink zu einer fingierten Website eine nummerische Null („0“) anstatt des Buchstabens „O/o“ enthalten. Hellhörig werden sollten Empfänger zudem, wenn in einer E-Mail zur schnellen Umsetzung einer Handlung aufgefordert wird oder vertrauliche Daten abgefragt werden. Auch sollte bei zweifelhaften Anhängen, Links und Formularen erhöhte Vorsicht gelten.
Dennoch gibt es keine Standardantwort darauf, wie Phishing Mails immer zielsicher erkannt werden können.
Franka Beyer: Das hat vor allem damit zu tun, dass sich Hackertaktiken immer weiterentwickeln und Angriffe entsprechend schwieriger zu durchschauen sind. Beim Spear Phishing passen Cyberkriminelle die Mails individuell an die empfangende Person an. Sie fügen persönliche Informationen ein oder geben sich als vertraute Person aus, zum Beispiel als Führungskraft, um glaubwürdiger zu erscheinen.
Künstliche Intelligenz verleiht den kriminellen Vorhaben zusätzliche Dynamik: Angreifer sind damit in der Lage, automatisch realitätsnahe Phishing Mails zu versenden – in großer Anzahl und mit dadurch erhöhten Erfolgschancen. Um Phishing Mails zu erkennen, gilt deshalb immer: Vorsichtig sein und die Augen für Ungereimtheiten offenhalten.
Wohin kann man Phishing Mails weiterleiten oder melden?
Julian Geils: Aus technischer Sicht sollte nach dem Lesen einer verdächtigen E-Mail zunächst jegliche weitere Interaktion mit der E-Mail unterlassen werden. Erhalten Mitarbeitende etwa eine merkwürdig anmutende Einladung zum Sommerfest, in der das Marketingteam zum Eintragen persönlicher Daten in einer beigefügten Excel-Datei auffordert, gilt es damit vorsichtig umzugehen. Zur Klärung kann es durchaus sinnvoll sein, die vermeintliche Quelle über andere Kommunikationsmittel zu kontaktieren. Zudem sollte unbedingt das IT-Team informiert und – falls für den Umgang mit Phishing Mails noch kein festgelegter Prozess existiert – zu dem weiteren Vorgehen befragt werden.
Franka Beyer: Weitergeleitet werden Phishing Mails idealerweise nur über explizit dafür ausgelegte Melde-Tools. Dabei können Mitarbeitende eine E-Mail direkt aus dem Mailprogramm an die IT übermitteln und überprüfen lassen. So wird die Meldekette sowohl für die Mitarbeitenden als auch die IT vereinfacht, Aufwand auf beiden Seiten erspart und gleichzeitig die Phishing-Melderaten erhöht. Wichtig ist vor allem: Hat man bereits auf schädliche Inhalte in einer Phishing-Mail geklickt, sollte man den Computer unverzüglich vom Internet trennen und die IT-Abteilung einschalten, bevor größere Schäden verursacht werden.
Welche Schutzmaßnahmen gegen E-Mail Phishing gibt es?
Julian Geils: Mit Lösungen wie Spamfilter und Antivirenprogrammen gibt es technische Möglichkeiten, um verdächtige E-Mail-Anhänge zu filtern und löschen, bevor sie Schaden anrichten können. Jedoch lassen sich damit vor allem gewöhnliche Angriffe blockieren. Hacker gehen oftmals andere ausgeklügelte Wege, damit ihre Phishing Mails dennoch den Weg in die Unternehmen finden. Fakt ist deshalb, dass die beste Technik nur im Zusammenspiel mit geschulten Mitarbeitenden wirksam ist. Gerade in Bezug auf Phishing sollten Sicherheitsverantwortliche auf die Stärkung des Sicherheitsbewusstseins der gesamten Belegschaft setzen. Hierfür bietet SoSafe eine ideale interaktive Lernplattform und die DGC das Praxiswissen zur Durchführung von Security Awareness Trainings.
Franka Beyer: Tatsächlich finden rund 20 Prozent der Phishing Mails ihren Weg durch die technischen Filter. Die wichtigste Schutzbarriere ist deshalb sicheres Verhalten im Umgang mit den E-Mails. Mit Security Awareness Trainings wird der bewusste Umgang mit Cybergefahren wie Phishing Mails gefördert, damit Mitarbeitende diese im Ernstfall abwehren können. Mit Blick auf aktuelle Statistiken zeigt sich, dass ein solches Training eine wichtige Komponente in den Sicherheitsstrategien von Organisationen sein sollte: Laut Verizon ist heute bei 82 Prozent aller Cyberangriffe der Faktor Mensch involviert. Oft starten diese Angriffe mit einer Phishing-Mail. Und der Human Risk Review 2022 zeigt, dass ein Drittel aller Mitarbeitenden auf schädliche Inhalte in diesen Mails klickt. Durch präventive Security- und Awareness-Maßnahmen schützen sich Organisationen vor den oftmals kostspieligen Folgen.
Welche Schritte sollten Unternehmen gehen, um sich und die Mitarbeitenden vor Mail Phishing zu schützen?
Julian Geils: Schritt eins sollte sein, den Ist-Zustand der IT-Sicherheit zu analysieren, um mögliche Differenzen zu einem guten Sicherheitskonzept zu ermitteln. Darauf aufbauend sollten zügig passende technische Maßnahmen implementiert werden. Parallel dazu sollten IT-Sicherheitsverantwortliche – und das ist ein entscheidender Faktor – eine Lösung dafür finden, wie Mitarbeitende optimal für den Umgang mit fraglichen E-Mails vorbereitet werden können.
Franka Beyer: IT-Verantwortliche haben oft damit zu kämpfen, die Relevanz der Thematik in die Führungsebene zu tragen. Sie sind gut beraten, in den Gesprächen auf unterstützende Daten zurückgreifen, um die positiven Effekte gewählter Maßnahmen auf die Sicherheit der Organisation aufzuzeigen. Psychologisch fundierte und effektive Security Awareness Trainings reduzieren Cyberrisiken bei Phishing messbar . Zur Stärkung der Awareness bieten sich beispielsweise interaktive E-Learnings an: Je nach Kenntnisstand wird relevantes Wissen zur Thematik vermittelt und mit Hilfe von Phishing-Simulationen das Verhalten der Mitarbeitenden geschult.
Dem gesamten Team die Tools an die Hand zu geben, sich zu schützen, ist der wichtigste Schritt, um die ganze Organisation vor Angriffen zu bewahren.
Sie möchten mehr darüber wissen, wie Ihre Mitarbeitenden durch Cyber Awareness Trainings zur IT-Absicherung befähigt werden? Kontaktieren Sie uns – wir beraten Sie gerne.
