PHISHING – WIE MAN DURCH MITARBEITERTRAINING/ -SCHULUNG VORBEUGEN KANN
Spam bezeichnet umgangssprachlich unerwartete und unerwünschte E-Mails; der Anteil von Spam beträgt im Verhältnis zu allen versendeten E-Mails um die 60 %.
Diese Menge verstopft nicht nur E-Mail-Postfächer und bahnt Betrugsversuche an, sondern infiziert oft auch das Empfängersystem mit einem Schadprogramm zum Ausspionieren persönlicher Daten.
Diese Massen von Spam-E-Mails[1], die im Netz unterwegs sind, richten durchaus hohe Schäden an; sowohl bei einzelnen Nutzern als auch bei Unternehmen, z.B.
- das Aussortieren von Spam kostet (Arbeits-)Zeit,
- notwendige Schutzsysteme kosten Geld und müssen administriert werden,
- Spam-E-Mails verursachen „überflüssigen“ Datenverkehr – dies kann sich z.B. auf das monatliche Datenvolumen auswirken, wenn sie E-Mails über mobile Netze abrufen und
- wo viele E-Mails unterwegs sind, braucht es leistungsfähigere Server bzw. andere E-Mails werden langsamer zugestellt.
Phishing heißt eine besondere Art der Cyberkriminalität – ein Kunstwort, das sich aus Passwort und Fishing zusammensetzt. Das sogenannte Fischen nach Passwörtern hört sich harmloser an, als es in der Realität tatsächlich ist. Es beschränkt sich nicht nur auf Passwörter, sondern zielt z.B. auch auf Kreditkarten- und Login-Daten ab.
Phishing steht meist am Anfang verschiedenartiger Delikte, die vom „einfachen“ Datendiebstahl über illegale Kontoabbuchungen bis hin zu Angriffen auf kritische Infrastrukturen (z.B. Energieversorger) reicht.[2]
Woran erkennt man ein Phishing-E-Mail?[3]
Eine Phishing-Mail wird zumeist sorgfältig nachgeahmt. Dies gelingt durch professionelle Imitation von z.B. Logo, Farbgebung, Schriftarten und sogar durch eine täuschend echt wirkende Absender-Adresse. Die folgenden Hinweise dienen beispielhaft als mögliche Erkennungspunkte:
- Grammatik- und Rechtschreibfehler
Enthält die E-Mail, bzw. bereits der Betreff fehlerhaftes Deutsch, wie etwa kyrillische Buchstaben oder fehlende Umlaute? Dann wurde der Text meist in einer anderen Sprache geschrieben und mit einem Übersetzungsdienst übersetzt. - E-Mails in fremder Sprache
Sollten Sie nicht regelmäßig mit Partnern im Ausland kommunizieren, dann können Sie mit hoher Sicherheit von einem Phishing-Versuch ausgehen, wenn Sie ein Nachricht in Englisch oder einer anderen Sprache erhalten. - Fehlender Name in der Anrede
Unternehmen, wie z.B. Banken, sprechen Ihre Kunden im Schriftverkehr grundsätzlich mit ihrem Namen und niemals mit „Sehr verehrter Kunde“ an. Ab und an lauten Anreden auch „Sehr geehrte Frau Max Mustermann“. - Dringender Handlungsbedarf
Sie werden aufgefordert, ganz dringend und innerhalb einer (kurzen) Frist zu handeln – hier sollten sie bereits stutzig werden. Vor allem, wenn die Aufforderung auch noch mit einer „Drohung“ verbunden ist. - Eingabe von Daten
Die Aufforderung zur Eingabe von persönlichen Daten (möglicherweise sogar von PIN oder TAN) ist ebenfalls ein Hinweis darauf, dass versucht wird Ihre Daten abzugreifen. So fragen Geldinstitute niemals Zugangsdaten per E-Mail ab. - Links oder eingefügte Formulare
Banken und andere Dienstleister versenden nur in Ausnahmefällen E-Mails mit Links, auf die der Empfänger klicken soll. Dann geht es beispielsweise um neue AGBs, niemals aber um das Einloggen in Ihr Kundenkonto. Rufen Sie immer die entsprechende Internetseite selbst auf – aber nur, indem Sie diese in das Adressfeld des Browsers eintippen oder bereits vorhandene Lesezeichen nutzen. - Aufforderung zum Öffnen einer Datei
Werden Sie als Empfänger dazu aufgefordert eine Datei zu öffnen, die entweder als Anhang der E-Mail direkt beigefügt ist oder alternativ über einen Link zum Download bereitsteht. Bei E-Mails mit einem Dateianhang sollten Sie grundsätzlich misstrauisch sein; denn in der Regel beinhaltet diese Datei ein schädliches Programm wie ein Virus oder ein trojanisches Pferd. - Sie haben bisher noch nie E-Mails von diesem Absender erhalten
Wenn Ihre Bank Ihnen nie E-Mails schickt, eventuell Ihre E-Mailadresse gar nicht kennen kann, oder ein anderer Dienstleister sie kontaktiert, mit dem Sie keine Geschäftsbeziehung haben – löschen Sie die E-Mail. - Mail-Header
Manche Phishing-Mails sind sehr gut gemacht. Die Absender-E-Mailadresse scheint vertrauenswürdig, der Link im Text auch, das Deutsch ist flüssig? Trotzdem muss diese E-Mail nicht echt sein. Auch Absenderangaben von E-Mails lassen sich fälschen. Zur schnellen Ansicht der Absender-E-Mailadresse stellen Sie den Mauszeiger in ihrem Mail-Programm über die Absenderadresse; i. d. R. wird ihnen dann die E-Mail-Adresse des Absenders angezeigt. Mehr zu diesem Thema erfahren sie unter So lesen Sie den Mail-Header.
Tipps zum Schutz vor Phishing[4]
- Vergewissern Sie sich, mit wem Sie es zu tun haben. Überprüfen Sie die Adressleiste in Ihrem Browser. Bei geringsten Abweichungen sollten Sie stutzig werden.
- Klicken Sie niemals auf den angegebenen Link in der übersandten E-Mail.
- Übermitteln Sie keine persönlichen oder vertraulichen Daten (bspw. Passwörter oder Transaktionsnummern) per E-Mail.
- Folgen Sie Aufforderungen in E-Mails, Programme herunterzuladen, nur dann, wenn Sie die entsprechende Datei auch auf der Internet-Seite des Unternehmens finden (Starten Sie keinen Download über den direkten Link).
- Beenden Sie die Online-Sitzung bei Ihrer Bank, indem Sie sich abmelden. Schließen Sie nicht lediglich das Browserfenster und wechseln Sie vor Ihrer Abmeldung nicht auf eine andere Internetseite.
- Kontrollieren Sie regelmäßig Ihren Kontostand sowie Ihre Kontobewegungen. So können Sie schnell reagieren, falls ungewollte Aktionen stattgefunden haben.
- PIN und TANs sollten Sie nur dann eingeben, wenn eine gesicherte Verbindung mit Ihrem Browser hergestellt ist. Eine Sichere Verbindung erkennen Sie an dem https:// in der Adresszeile: Im Browserfenster erscheint ein kleines Icon, z. B. in Form eines Vorhängeschlosses, das den jeweiligen Sicherheitsstatus symbolisiert („geschlossen“ bzw. „geöffnet“).
Viel Information zu Spam, Phishing und drumherum – wo bleibt jetzt der Mensch[5]?
Ja wo denn nun eigentlich?
Cybersicherheit wird in vielen Unternehmen zu technisch gesehen – hier steht der Mensch im Mittelpunkt. Angriffe gelten zwar den Daten und IT-Systemen, doch meistens starten diese mit dem Versuch, Menschen (z.B. Benutzer, Administratoren) zu manipulieren und so bestehende Sicherheitsmaßnahmen auszutricksen.
So wichtig Sicherheitsmaßnahmen und -techniken auch sind, letztlich steht der Mensch im Mittelpunkt, als Nutzer, Administrator oder Entscheider.
So erklärt zum Beispiel die EU-Agentur für Cybersecurity ENISA, dass das Bewusstsein für die Risiken und verfügbaren Schutzmaßnahmen die erste Verteidigungslinie für die Sicherheit von Informationssystemen und -netzen darstellt. Auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) führt unter Präventionsmaßnahmen gegen die Gefahren durch Ransomware deshalb Awareness, Schulungen und Mitarbeitersensibilisierung auf.
Security Awareness sollte dabei nicht gleichgesetzt werden mit den klassischen Frontalschulungen, bei denen die Teilnehmer passiv zuhören. Es ist wichtig, die Awareness durch Schulungsmethoden zu steigern, die die verschiedenen Lerntypen (wie Lernen durch Hören, durch Sehen und durch Aktivität) ansprechen, interaktiv sind, den Lernfortschritt zeigen und eine regelmäßige Schulung ermöglichen.
Die drei wichtigsten Regeln im Umgang mit „SPAM“[6]
- Klicken Sie niemals auf Links.
- Öffnen Sie niemals Datei-Anhänge.
- Antworten Sie nicht auf diese Mails.
Punkte, die man zur Ausarbeitung von Trainings/ Schulungen beachten sollte
Zur Steigerung des Bewusstseins für die Notwendigkeit von Informationssicherheit, die Rolle jedes Einzelnen und seines Mitwirkens und zur Erhöhung der Awareness im Unternehmen sollten folgende Punkte beachtet werden:
- Der Mensch bleibt Schwachstelle Nummer eins
- Sensibilisieren Sie ihre Mitarbeiter für Social Engineering, da dies meist die Grundlage für Phishing bildet!
- IoT-Geräte bieten lohnende Angriffsziele
- Bewusstsein für Informationssicherheit und für den Beitrag jedes Einzelnen für ein „sicheres Unternehmen“ sind elementar
- Schulen Sie ihre Mitarbeiter nach den neuesten Methoden und zeigen Sie auch den Nutzen (persönlichen Mehrwert) für den privaten Umgang mit Daten auf
- Schaffen Sie eine positive Meldekultur, um es Ihren Mitarbeitern zu ermöglichen, ohne Sorge auch „vermeintlich“ unwichtige Beobachtungen zu melden
- Regeln Sie den internen Umgang mit Sicherheitsvorfällen (z.B. Phishing); es ist elementar, dass Mitarbeiter wissen, wie sie richtig agieren, um möglichen Schaden zu minimieren!
- Sorgen Sie dafür, dass die Geschäftsführung und die verantwortlichen Führungskräfte und Abteilungsleiter/Vorgesetzte mit einer positiven Einstellung die Informationssicherheit vorleben und dadurch als Vorbild dienen.
- Härten Sie Ihre wichtigsten Unternehmensprozesse
Geschulte Mitarbeiter können mit ein paar einfachen Informationen (als Training oder Schulung durchgeführt) bereits eine Vielzahl an Täuschungsversuchen identifizieren und damit Schaden verhindern.
Wir unterstützen Sie gerne dabei!