Technical | 21.04.2022 7 min zum lesen Sprache
Sprache

Schützen Sie Ihr Unternehmen vor Phishing-Angriffen

Gil Vega Gil Vega

Wussten Sie, dass über 90 % aller erfolgreichen Hacker-Angriffe und Datenverluste mit einem Phishing-Betrug beginnen? Haben Sie eine Vorstellung, was genau Phishing ist und wie Sie Ihr Unternehmen davor schützen?

Phishing-Betrug wird durch Cyberkriminelle begangen, die Nutzer dazu verleiten wollen, auf einen Link zu klicken, Anmeldedaten einzugeben, einen Anhang zu öffnen oder sogar Änderungen an einem Unternehmensprozess vorzunehmen. Meist ergeht eine entsprechende Aufforderung per E-Mail, es gibt aber auch andere Wege. Die Folgen sind Ransomware, Malware (Viren, Trojaner, Würmer), gestohlene Passwörter, Datenverlust und Geld- oder Identitätsdiebstahl. Phishing-Angreifer nutzen unser ganz normales Verhalten aus, z. B. dass wir Menschen vertrauen, die wir kennen. Dadurch bringen sie uns dazu, Dinge zu tun, die wir im Normalfall nie tun würden.

Die richtige Abwehr

Phishing-Angreifer haben es darauf abgesehen, uns auszutricksen. Wie können wir unser Unternehmen und unsere Mitarbeiter davor schützen? Wie können wir uns gegen immer neue Taktiken wehren? Es ist wichtiger denn je, sich gut zu wappnen und den Cyberkriminellen einen Schritt voraus zu sein.

Optimieren Sie zum Beispiel Ihre technische Abwehr und betrachten Sie Ihre Angestellten als verlängerten Arm Ihres Sicherheitsteams. Mit guten Spamfiltern, einem sicheren E-Mail-Gateway, standardmäßigen Authentifizierungsprotokollen (wie DMARC, DKIM oder SPF) und anderen Technologien sorgen Sie dafür, dass der Großteil der Angreifer es gar nicht bis in die Posteingänge schafft. Dennoch ist es heutzutage fast unmöglich, alle Phishing-Mails abzufangen. Und dann reicht ein Klick einer einzigen Person, um Chaos zu verursachen und die Sicherheit des gesamten Unternehmens zu gefährden.

Wäre es nicht besser, wenn Ihre Mitarbeiter Phishing-Mails sofort erkennen und melden würden, statt im guten Glauben auf einen Link zu klicken? Das wäre die optimale Reaktion. Deswegen sind auch kontinuierliche Sicherheitsschulungen notwendig, um das Bewusstsein für diese Gefahr zu schärfen. Zeigen Sie Ihren Mitarbeitern auf, was Phishing ist und wie sie es erkennen. Prüfen Sie, wenn möglich, wie gut sie solchen Betrug erkennen, und belohnen Sie sie bei richtigem Verhalten. Ermutigen Sie alle im Unternehmen, verdächtige E-Mails dem Sicherheitsteam zu melden. Dafür sollte ein ganz einfacher Prozess genügen. Es reicht nicht, einmal im Jahr über Phishing und Sicherheit zu informieren. Sprechen Sie immer wieder darüber, damit das Thema stets präsent ist.

Die Anatomie eines Phishing-Angriffs

Wenn Sie sich entschlossen haben, die richtigen Vorbereitungen zu treffen und Ihre Mitarbeiter zu schulen, müssen Sie natürlich möglichst genau wissen, wovor Sie sich eigentlich schützen. Wie funktioniert Phishing und worauf haben die Angreifer es abgesehen?

Das Konzept von Phishing ist einfach und nicht einmal neu. Erinnern Sie sich daran, dass man früher manchmal Anrufe zu einem Gewinn bei einem Preisausschreiben bekam, an dem man aber gar nicht teilgenommen hatte? Vor lauter Begeisterung gab man dem Anrufer dann alle Informationen, nach denen gefragt wurde, um den Preis zu erhalten. Phishing verfolgt dieselbe Strategie. Nur das Medium hat sich zu E-Mails oder anderen digitalen Kommunikationskanälen gewandelt.

SEO Description: Phishing-Angreifer ändern immer wieder ihre Taktiken, um noch mehr Opfer zu finden. Es ist wichtiger denn je, sich zu wappnen und ihnen immer einen Schritt voraus zu sein.

 

Graphic caption: E-Mail gesendet -> Empfänger fällt auf Betrug herein -> Empfänger führt erwünschte Handlung aus -> Daten werden gestohlen oder Computer infiziert

So sendet zum Beispiel ein Phishing-Angreifer eine E-Mail an einen Empfänger. In dieser E-Mail versucht er, diesen zu überzeugen, eine bestimmte Handlung auszuführen. Üblicherweise enthält solch eine Mail Hyperlinks oder Anhänge. Die Hyperlinks führen dann meist auf gefälschte Websites, auf denen man Informationen eingeben soll. Manchmal ist die Seite so aufbereitet, dass sie der eines tatsächlich existierenden Unternehmens gleicht. In Anhängen befindet sich oft bösartiger Code, mit dem der Rechner oder das Netzwerk des Empfängers infiziert wird. Sind weder Hyperlinks noch Anhänge enthalten, geht es oft darum, dass der Empfänger auf die E-Mail antwortet oder eine Telefonnummer anruft, um dem Absender Informationen zu übermitteln.

Wenn ein Empfänger auf den Betrug hereinfällt, merkt er es oft nicht einmal. Er glaubt, dass die Mail echt war und nun etwas Positives passieren wird. Doch in Wahrheit hat der Phishing-Angreifer Informationen oder Geld gestohlen oder aber den Computer infiziert.

Verschiedene Arten von Phishing-Angriffen

Phishing ist nicht gleich Phishing. Es gibt verschiedene Arten, die alle in Ihrem Unternehmen kennen sollten. Dazu gehören:

Spear Phishing

Spear Phishing ist ein zielgerichteter Betrugsversuch für eine bestimmte Zielgruppe. Dass Sie eine solche E-Mail erhalten, ist dann kein Zufall. Der Phishing-Angreifer hat vorher herausgefunden, wer Sie sind, und sendet Ihnen eine Nachricht, die für Sie sinnvoll aussieht. So sind Sie vielleicht in der Personalabteilung Ihres Unternehmens tätig und haben kürzlich im Internet gepostet, dass Sie befördert wurden. Darauf zielt der Betrugsversuch dann ab.

Whaling

Whaling ist eine Unterart von Spear Phishing, das sich direkt an die obersten Führungskräfte eines Unternehmens richtet, also an die „großen Fische“. Wer zum Vorstand gehört, ist meist auf der Website gut herauszufinden. Das macht diese Personen zu einem leichten Ziel. Sie haben Zugriff auf vertrauliche Informationen und treffen finanzielle Entscheidungen, sodass sie für die Angreifer lukrativ sein können.

BEC- und CEO-Betrug

BEC steht für Business Email Compromise. BEC- und CEO-Betrug sind eine andere Art des Spear Phishing, bei dem die Angreifer sich als Ihr Unternehmen oder als CEO Ihres Unternehmens ausgeben. Da wir Personen in verantwortlicher Position gerne vertrauen, setzen die Angreifer darauf, dass wir nicht nachfragen, sondern der Bitte „von oben“ schnell entsprechen. E-Mail-Domänen von Unternehmen lassen sich leicht abwandeln, und offizielle Logos sind ganz einfach online zu finden. Auch die Namen der Personen, die im Unternehmen tätig sind, können auf Social-Media-Seiten schnell ermittelt werden. BEC scheint für Angreifer so eine sichere Nummer zu sein.

Vishing

Vishing ist Phishing am Telefon („Voice Phishing“). Das sind im Grunde genau die Telefonanrufe, die wir schon erwähnten und die Sie vermutlich bereits vor Beginn des Computerzeitalters erhalten haben. Diese herkömmlichen Betrugsversuche sind erfolgreich, weil wir schnell Verbundenheit zu menschlichen Stimmen empfinden. So wird es besonders schwer, sich einer Bitte des Anrufers zu entziehen.

Smishing oder SMShing

Smishing oder auch SMShing sind bösartige Textnachrichten, also SMS-Phishing. Dabei handelt es sich um knappere Versionen des E-Mail-Phishing mit einem gekürzten Hyperlink und einer kurzen, prägnanten Aufforderung.

Mehr Bewusstsein für Phishing: Wie entlarven Sie die Betrüger?

Am häufigsten stellen Ihre Mitarbeiter Ihnen wahrscheinlich die Frage, wie sie erkennen, ob es sich um einen Phishing-Versuch handelt. Nun könnten Sie ihnen erklären, wie sie das aus dem E-Mail-Header herauslesen, aber für allgemeine Endnutzer sind bestimmte Warnsignale wichtiger. Doch viel wichtiger ist, dass sie beim geringsten Verdacht, dass eine E-Mail ein Phishing-Versuch sein könnte, das Sicherheitsteam informieren, damit es die Nachricht untersuchen kann. Hier sollten Sie zu einer gesunden Skepsis ermutigen.

Warnsignale für Phishing 

Was sind mögliche Warnsignale? Es gibt viele solcher Signale, die sich jedoch auch ändern können, wenn die Angreifer ihre Taktiken modifizieren. Im Allgemeinen sollten Ihre Mitarbeiter extrem vorsichtig sein, wenn die folgenden Warnsignale (auch kombiniert) auftreten:

  • Allgemein gehaltene Begrüßung oder Signatur
  • Fehlender Absender, fehlende Firmeninformationen
  • Verpixelte oder unscharfe Bilder
  • Unlogische Website-Links
  • Falsche Rechtschreibung oder Grammatik
  • Drohungen oder dringende Aufforderungen
  • Zu gut klingende Angebote
  • Eine Bitte, persönliche Daten zu übermitteln, Geld zu überweisen oder Bankdaten zu ändern
  • Unerwartete E-Mails oder Anhänge​ 
  • Betreff und Nachricht passen nicht zusammen
  • Keine unterstützende Kommunikation

Ist eine E-Mail echt oder ein Phishing-Versuch? Halten Sie sich an diese Punkte: 

  1. Recherchieren Sie. Suchen Sie online nach Informationen zum angeblichen Absender. Sie können sogar nach dem genauen Text suchen, den Sie erhalten haben. Vielleicht wurde er bereits von anderen als Betrug erkannt.
  2. Überprüfen Sie Anfragen über einen zweiten Kommunikationsweg. Antworten Sie dem Sender niemals, indem Sie in der Originalnachricht auf „Antworten“ klicken. Nutzen Sie eine alternative Kontaktmöglichkeit wie eine Telefonnummer oder E-Mail-Adresse von einer aktuellen Rechnung, um die Anfrage vom Absender bestätigen zu lassen.
  3. Halten Sie den Mauszeiger über die Links in der E-Mail, um herauszufinden, ob die Adresse des Hyperlinks der echten Website-Domain des Unternehmens entspricht. Geben Sie, wenn Sie unsicher sind, den Hyperlink manuell in den Browser ein. Klicken Sie niemals auf den Link in der Mail.
  4. Prüfen Sie die Dateinamen der Anhänge. Überlegen Sie, ob Sie Dateien erwarten. Öffnen Sie niemals Anhänge, die Sie nicht erwarten oder die eine falsche Endung haben (zum Beispiel .exe, obwohl in der Mail steht, es handle sich um ein Word-Dokument).
  5. Verlassen Sie sich auf Ihre Urteilskraft. In den meisten Fällen sagt uns der gesunde Menschenverstand, ob eine E-Mail echt ist oder ein Phishing-Versuch.

Unsicher, ob eine angegebene Website echt ist? Dann helfen Ihnen diese Tipps: 

  • Überprüfen Sie die Webadresse. Ist der Unternehmensname in der URL richtig geschrieben? Beginnt die Adresse mit http statt https? Nur weil sie mit https beginnt, bedeutet dies zwar nicht, dass sie echt ist, sondern nur, dass es sich um eine sichere Verbindung handelt, Beginnt sie jedoch nicht mit https, ist dies ein Zeichen, dass Sie keine weiteren Informationen eingeben sollten. Ebenso ist ein geschlossenes Vorhängeschloss oder ein Schlüssel in der Adressleiste keine Garantie dafür, dass die Website echt ist. Doch wenn nichts davon angezeigt wird, geben Sie zur Sicherheit keine Informationen ein.  
  • Achten Sie auf Popup-Fenster. Wenn Sie eine Website öffnen und viel Popup-Werbung angezeigt wird, sollten Sie vorsichtig sein.   
  • Sehen Sie sich dasBranding an. Entspricht es dem „Look and Feel” der Website des Unternehmens, das Sie angeblich besuchen?

Was tun, wenn im Unternehmen ein Phishing-Angriff erfolgt ist?

Niemand ist letztendlich vor Phishing gefeit. Auch mit den besten Gegenmaßnahmen und ausgefeilten Awareness-Programmen kann es passieren, dass ein Nutzer auf einen Betrugsversuch hereinfällt. Das lässt sich nicht vermeiden. Dann ist es wichtig richtig zu reagieren.

Befolgen Sie diese Schritte zur Wiederherstellung und arbeiten Sie mit Ihren Cybersicherheitsteams zusammen, um einen passenden Reaktions- und Wiederherstellungsplan für Ihr Unternehmen zu entwickeln:

Mögliche Risiken minimieren

Wenn ein Nutzer auf eine Phishing-Mail reagiert hat, trennen Sie den Rechner vom Netzwerk. Das Sicherheitsteam sollte sofort mit der Untersuchung beginnen.

Kennwörter ändern

Fordern Sie den Nutzer auf, sein Kennwort zu ändern. Werden mehrere Kennwörter benutzt, sollten alle aktualisiert werden, da erst einmal ungewiss ist, wie weit der Angriff vordringen konnte.

Reaktionsprozesse für Vorfälle befolgen

Ein Phishing-Angriff ist ein Angriff auf die Cybersicherheit. Halten Sie sich an Ihre Reaktionsprozesse für Vorfälle, d. h. entfernen Sie die Phishing-E-Mail, überprüfen Sie die Posteingänge der anderen Nutzer auf dieselbe Nachricht und löschen sie gegebenenfalls, untersuchen Sie die Auswirkungen des Angriffs und leiten Sie entsprechende Gegenmaßnahmen ein.

Eine Malware-Prüfung durchführen

Scannen Sie den Computer des Nutzers und Ihr Netzwerk mit entsprechenden Tools auf Malware (wie Viren, Trojaner, Würmer), verdächtige Aktivitäten und Auffälligkeiten.

Personenbezogene Daten schützen

Je nach Art des Phishing-Angriffs kann der Nutzer personenbezogene Daten herausgegeben haben. In diesem Fall sollte er seine Bank, seinen Kreditkartenanbieter, die Schufa usw. informieren. Falls der Angreifer sich als echtes Unternehmen ausgegeben hat, informieren Sie dieses Unternehmen, sodass es andere Nutzer und Kunden warnen kann.

Ein ausführliches Fazit ziehen

Wie bei jedem Cyberangriff ist das, was Sie daraus lernen können, oft wertvoller als die Daten, die gestohlen wurden. Erstellen Sie eine „Lessons-Learned-Liste” und überprüfen Sie Ihre bestehenden Prozesse und Kontrollen dahingehend, ob Sie etwas ändern müssen. Und sorgen Sie dafür, dass Ihre Nutzer das Thema Phishing noch ernster nehmen.

Phishing-Angriffe gehören zu den beliebtesten Angriffsvektoren von Cyberkriminellen, bei denen die Empfänger dazu verleitet werden, eine bestimmte Handlung auszuführen, die ganz normalem menschlichen Verhalten entspricht. Nur wenn Sie Ihre Abwehr stärken und Ihre Mitarbeiter darauf vorbereiten, können Sie sich erfolgreich gegen Phishing wehren.

Zusätzliche Ressourcen:

Gil Vega
Gil Vega
Gil is Veeam’s Chief Information Security Officer and the Senior Vice President for Global Information Security. Prior to joining Veeam, Gil worked as a CISO for many years at systemically-important financial institutions and spent many years leading classified cybersecurity programs in Washington, D.C. for national security civilian agencies, the Department of Defense and the intelligence community.
More about author
Vorheriger Beitrag Nächster Beitrag
Inhalt des Artikels
Similar Blog Posts
Business | 5.12.2023

Mit Veeam-Lösungen zu umfassender Resilienz

Weiterlesen
Business | 12.09.2023

Ransomware-Schutz: Angriffe erkennen und abwehren

Weiterlesen
Business | 18.08.2023

Backup für Microsoft 365-Daten? Das spricht dafür

Weiterlesen
Stay up to date on the latest tips and news
Durch das Abonnieren unserer Blog-Updates erklären Sie sich mit der Verwaltung Ihrer Daten gemäß der Datenschutzrichtlinie von Veeam einverstanden.
You're all set!
Watch your inbox for our weekly blog updates.
OK
Veeam Data Platform
Free trial
Veeam Data Platform
We Keep Your Business Running
Try now