TRIALOG-NEWSLETTER

Sie möchten künftig keine wichtigen Tipps für Ihr Unternehmen verpassen?

Mit dem kostenlosen Newsletter halten wir Sie auf dem Laufenden.

Jetzt abonnieren
Suche
Mitarbeiter & Ausbildung

Phishing mit E-Mails erkennen und Angriffe abwehren

Phishing hat große Be­deu­tung für die IT-Si­cher­heit – da­her müs­sen die Be­schäf­tig­ten wis­sen, was Phi­shing-Mails sind und sie er­ken­nen kön­nen. Wer un­be­darft in Mails nicht klar iden­ti­fi­zier­ter Ab­sen­der auf Links klickt, ver­ur­sacht schlimms­ten­falls den Kon­kurs der Firma.
Von

Teilen auf

LinkedIn Xing
Phishing mit E-Mails erkennen und Angriffe abwehren

Featured image: ©Antonioguillem – Adobe Stock

Jeder dürfte sie schon im privaten oder beruflichen Posteingang gefunden haben: Phishing-E-Mails, mit denen Hacker sich persönliche Informationen oder Zugangsdaten verschaffen wollen. Ihr Ziel ist der direkte Zugriff auf Accounts oder das Sammeln von Interna, um eine Social-Engineering-Attacke besser vorbereiten zu können. Deshalb sollten Unternehmerinnen und Unternehmer ihre Beschäftigten für die Gefahr sensibilisieren und am besten entsprechende Schulungen organisieren. Die wichtigsten Inhalte: Was sind Phishing-Mails, wie lassen sie sich erkennen, wie sehen Beispiele für Phishing aus – sowohl erfolgreiche wie gescheiterte Versuche? Die Bedeutung des Themas Phishing ist nicht zu unterschätzen – per Phishing-Mail sind schon viele Informationen gestohlen, eigentlich nicht authorisierte Geldüberweisungen veranlasst und Firmendaten verschlüsselt worden, auf die sich erst nach Zahlung eines Lösegelds wieder zugreifen ließ. Deshalb sollten alle im Unternehmen nicht nur die Definition von Phishing kennen, sondern auch Hinweise auf eine Phishing-Mail entdecken sowie angemessen reagieren können.

Was ist Phishing – nicht nur per Mail – laut Definition?

Warum nimmt die Bedeutung von Phishing zu?

Welche Arten von Phishing gibt es neben der Mail?

Was sind Beispiele für das Phishing mit E-Mails?

Woran lassen sich Phishing-Mails leicht erkennen?

Was ist Phishing – nicht nur per Mail – laut Definition?

Der Begriff Phishing stammt aus dem Englischen, zusammengesetzt aus mehreren Elementen. Fishing steht für das Ködern von Fischen, Passwort Harvesting das Ernten von Passwörtern. Die Schreibweise kommt aus der Hacker-Sprache, die häufig das Ph nutzt. Phreaking etwa bezeichnet schon lange das Entern von Telefonsystemen durch IT-Fans, sogenannte Freaks, deren übergroße Begeisterung auch Schrecken verbreiten kann. Qua Definition ist die Bedeutung von Phishing, dass sich jemand den Zugang zu persönlichen Informationen oder Account-Daten verschafft. Häufig kommen beim Phishing E-Mails zum Einsatz. Das erklärt auch, was Phishing-Mails sein sollen: Für die Empfänger überzeugend wirkende Köder, die zum Anbeißen animieren. Anbeißen bedeute, zu tun, was der Absender will, etwa Links der Phishing-Mail anklicken. Die bekanntesten Beispiele für Phishing-E-Mails sind Nachrichten, die zum Bestätigen von Account-Daten auffordern, tatsächlich aber nicht wie vorgetäuscht vom Onlineshop oder Finanzinstitut kommen, sondern von unbefugten Dritten, die das Konto damit kapern könnten. Deshalb ist es wichtig, Phishing-Mails zu erkennen.

Im Visier: Zugangsdaten und persönliche Informationen

Die Definition von Phishing geht über E-Mails aber weit hinaus. Zwar hat die Mail beim Phishing enorme Bedeutung, wie immer wieder neue Beispiele für den Versuch des Informationsdiebstahls zeigen. Deshalb ist es auch so wichtig, Phishing-Mails zu erkennen. Aber Phishing-Mails sind nicht die einzige Bedrohung. Es gibt auch andere Methoden als die E-Mail, um jemanden im Internet zur Preisgabe von vertraulichen Daten zu bewegen. Dazu zählen etwa gefälschte Webseiten oder auf echten Webseiten eingeschmuggelte Schadprogramme, aber auch SMS-Nachrichten oder manipulierte WLAN-Zugänge. Hierbei ist das Ziel der Attacken stets gleich. Es geht darum, Zugangsdaten und/oder persönliche Informationen der Opfer zu erbeuten. Damit können Cyber-Kriminelle auf einzelne Accounts und schlimmstenfalls auf komplette Firmen-IT-Netzwerke zugreifen – falls sie einen IT-Administrator überlisten. Oder sie nutzen erbeutete persönliche Informationen etwa aus dem E-Mail-Verkehr für Social-Engineering-Attacken auf Beschäftigte, die in der Hierarchie höher stehen. Erst gewinnen Hacker deren Vertrauen, dann versuchen sie, dadurch Geldüberweisungen zu veranlassen.

Die Angriffe mit Phishing hat sich im März 2022 gegenüber dem Vorjahr fast verdoppelt

Warum nimmt die Bedeutung von Phishing zu?

Die Bedeutung von Phishing war schon immer groß – dass Cyber-Kriminelle ein Unternehmen mit Phishing-E-Mails angreifen, ist nicht neu. Doch die Angreifer gehen zunehmend geschickter vor, wenn sie jemanden attackieren. Manche Phishing-Mails lassen sich kaum noch erkennen, weil sie so gut gemacht sind. Auch einige gefälschte Webseiten, auf denen Internetnutzer und -nutzerinnen landen, unterscheiden sich nur in Nuancen vom Original. Es lässt sich manchmal kaum noch sagen, was Phishing-Mails sind und was authentische elektronische Nachrichten. Das liegt daran, dass sich Hacker mit Recherchen in offiziellen Quellen – etwa sozialen Netzwerken oder der Firmenwebsite – aktuelle Informationen besorgen. Sich gegebenenfalls ins Vertrauen ausgewählter Beschäftigter einschleichen, um an Details zu kommen. Sich von einem Unternehmen zum nächsten vorarbeiten und dabei Besonderheiten über die Zusammenarbeit erfahren. Und diese Interna inhaltlich so gut aufbereiten sowie optisch derart überzeugend im (gefälschten) Unternehmensdesign umsetzen, dass man Angriffsversuche kaum erkennt. Deshalb ist Phishing eine größere Bedrohung als je zuvor.

Technologien und Arbeitsweisen laden zu Angriffen ein

Zudem profitieren die Hacker von technischen und arbeitsorganisatorischen Veränderungen – auch daher wächst die Bedeutung von Phishing als Bedrohung. Neue digitale Lösungen erleichtern die Zusammenarbeit in Teams, deren Mitglieder räumlich weit voneinander entfernt sind. Und die Corona-Pandemie hat zahlreiche Unternehmen regelrecht dazu gezwungen, mehr Homeoffice oder mobiles Arbeiten zuzulassen. Nicht überall haben die technischen Sicherheitsvorkehrungen hier allerdings Schritt gehalten mit dem Umbau des IT-Netzwerks für Arbeiten aus der Distanz oder über Cloud-Lösungen. Oder es fehlt an fundierten Schulungen, was Phishing-Mails sind und wie man sie erkennen kann. Dabei dürfte jedem klar werden, wie gefährlich solche E-Mails sind, wenn die Definition einer Phishing-Mail inklusive verständlicher Beispiele für Phishing besprochen wird. Die Dimension des Problems zeigen aktuelle Daten, nach denen sich die Zahl der E-Mail-Bedrohungen 2021 im Vergleich zum Vorjahr verdoppelt haben. Konkret ging es hier um Angriffe in Cloud-basierten Systemen, die abgeblockt wurden. Als Hauptziel solcher Attacken erwiesen sich dabei hybride Arbeitsmodelle.

Die E-Mail-Verschlüsselung ist ein probates Mittel gegen Phishing, wie dieses Video zeigt.

Welche Arten von Phishing gibt es neben der Mail?

eim Phishing geht der erste Gedanke oft in Richtung Mail. Tatsächlich dienen als Ausgangspunkte für Angriffe zum Abgreifen von persönlichen Informationen und Account-Daten häufig Phishing-E-Mails. Deshalb ist es so wichtig, zu wissen, was Phishing-Mails sind, und sie erkennen zu können. Aber es ist ebenso wichtig, das Konzept hinter dem Phishing und die Bedeutung der Schulung von Beschäftigten zu begreifen. Denn qua Definition zielt Phishing stets darauf ab, etwas zu erbeuten – Adresse, Geburtsdatum, Kontoverbindung, idealerweise die Kombination aus Zugangsdaten und Passwörtern. Aber dies geschieht dann meistens nicht direkt mit der E-Mail. Sie ist beim Angriff nur das Mittel zum Zweck, die Empfänger zu bestimmten Aktionen zu bringen. Etwa einen Link anzuklicken, Software zu installieren oder eine Geldüberweisung zu veranlassen. Das tatsächliche Daten-Abgreifen findet nicht per E-Mail statt, sondern auf einer Internetseite oder nach der Überredung, (Schad-) Software herunterzuladen. Deshalb sollten möglichst viele Beschäftigte die per E-Mail oft nur angestoßenen Betrugstechniken verstehen.

Echte Webseiten oder WLANs können manipuliert sein

Phishing beginnt also qua Definition meistens per Mail. Nur wer weiß, was Phishing-E-Mails sind, und sie erkennen kann, kann der darin vorbereiteten Falle ausweichen. Hilfreich dafür ist natürlich, mit den Beschäftigten diverse Beispiele für Phishing beziehungsweise die dahinterstehenden Abgreifmethoden zu besprechen. Zu den gängigsten Angriffen auf Daten gehören derzeit folgende Methoden, wobei stets neue Tricks hinzukommen können:

  • Link-Manipulation. In der Phishing-Mail befindet sich ein Link zum Anklicken – vermeintlich geschickt von einer Organisation, bei der man einen Account hat. Der Klick führt zu einer Webseite, die aussieht wie die offizielle Homepage des Unternehmens, tatsächlich aber von Cyber-Kriminellen gefälscht wurde. Wer hier seine Zugangsdaten – Kontokennung und Passwort – eingibt, hat sie freiwillig Hackern überlassen.
  • Content-Injection. Manchmal gelingt es Hackern, offizielle Webseiten mit schädlichen Inhalten zu infizieren. Wer über einen Link oder direkt ankommt, landet zwar auf der Originalseite – aber ein manipuliertes Pop-Up-Fenster bittet um Dateneingabe oder leitet zu einer manipulierten Webseite weiter.
  • Spear-Phishing/Whaling. Bei derartigen Angriffen zielen Phishing-E-Mails nicht per Schrotschuss auf eine große Menge von Adressen, sondern chirurgisch wie mit einer Harpune auf besonders wichtige Personen, eben einen dicken Fisch – den Wal. Der könnte in der Geschäftsleitung sein oder als Administrator in der IT – deren Passworte zu erhalten, wäre für Hacker der Jackpot. Diese Phishing-Mails zu erkennen, ist eine echte Herausforderung, denn sie sind mit Worten und Inhalten speziell auf die Adressaten zugeschnitten.
  • CEO-Betrug. Spear-Phishing und Whaling können auch Bestandteil des Social Engineering sein. Dann dienen die erbeuteten Informationen dazu, Phishing-Mails insbesondere an Personen im Finanzbereich glaubwürdiger erscheinen zu lassen. Als Geschäftsführer auftretend, schaffen es Hacker dann, per E-Mail-Korrespondenz eine Überweisung zu ihren Gunsten zu veranlassen.
  • WLAN-Zwilling. Zunehmend überlisten Cyber-Kriminelle auch Menschen, die ein kostenloses WLAN-Netz nutzen wollen. Sie bringen sie dazu, sich mit einem manipulierten Hotspot zu verbinden. Dann lassen sich über diesen schädlichen Router wertvolle Daten abgreifen.

Phishing als Vehikel zum Einschleusen von Malware

Um sich bestmöglich zu schützen, sollte die Definition von Phishing keinesfalls zu eng sein. Es geht nicht nur darum, mithilfe von Phishing-E-Mails direkt Informationen zu erbeuten. Oft reicht es den Angreifern, mit ihrer Phishing-Mail zu einer bestimmten Handlung zu bewegen, durch die man sich dann erst richtig in die Bredouille bringt. Dazu kann das Herunterladen von Schadprogrammen ebenso gehören wie die direkte Kontaktaufnahme mit Betrügern.

  • Malware-Download. Phishing hat auch eine große Bedeutung beim Verbreiten von Schadsoftware. Oft soll es nicht zum Anklicken eines Links motivieren, sondern zum Herunterladen einer Software. Beispiele dafür sind Schadprogramme, die ungefährlich aussehen, aber nach der Installation im Hintergrund nach Daten suchen und das Unternehmen ausspionieren. Aber auch Schadprogramme in Form von Ransomware, die möglichst viele Daten auf den Firmenrechnern verschlüsselt. Erst nach Zahlung eines Lösegelds erhalten die betroffenen Unternehmen den Code zur Entschlüsselung, um wieder ihre Daten nutzen zu können. Die Sicherheitsbehörden warnen dringend davor, das geforderte Lösegeld – meist in Form einer Kryptowährung – zu zahlen. Erstens sei nie klar, ob man den Code zur Freigabe tatsächlich erhält. Zweitens finanziere man damit künftige, vielleicht noch ausgefeiltere Attacken und schade langfristig allen Unternehmen, die Ziel solcher Angriffe werden könnten.
  • Smishing/Vishing. Beim Smishing kommen SMS-Nachrichten zum Einsatz, die zum Öffnen schädlicher Seiten auf dem Smartphone animieren sollen, ähnlich wie bei den klassischen Phishing-E-Mails. Beim Vishing werden Nachrichten hinterlassen, man solle eine bestimmte Telefonnummer anrufen. Mit der Kontaktaufnahme wird erstens die Existenz beziehungsweise Attraktivität von Zielpersonen bestätigt und zweitens der konkrete Betrugsversuch gestartet.

Was sind Beispiele für das Phishing mit E-Mails?

Die Beispiele für Phishing per Mail sind so zahlreich wie die Möglichkeiten, irgendwo einen Account zu eröffnen oder zu bestellen. Qua Definition geht es beim Phishing meistens darum, spezifische Informationen und/oder Zugangsdaten zu erbeuten. Daher lassen sich Phishing-Mails oft daran erkennen, dass sie Probleme mit einem Account thematisieren und als dringlich darstellen. Ohne Konto beim genannten Unternehmen ist es natürlich leicht, Phishing-E-Mails zu erkennen. Wer kein Kunde der Postbank, löscht deren vermeintliche Nachricht einfach. Zum allgemeinen Problem wird Phishing durch das Erwähnen von Dienstleistern, deren Angebote viele Menschen nutzen. Bei Paypal, Ebay, Amazon, Microsoft oder Google haben viele ein Konto, von DHL und Hermes bekommen sie Pakete. Ist man unkonzentriert, besteht gerade bei etablierten Marken die Gefahr, geistesabwesend Links anzuklicken, statt erst den Absender zu prüfen oder zu überlegen, ob man überhaupt etwas bestellt hat, das eine Sendungsverfolgung erfordert. Dies sind einige der gängigen Phishing-E-Mails:

  • Rechnungen. Per Phishing-Mail kommt eine Rechnung, die man bezahlen soll. Wer das Dokument anklickt, um den Betrag zuzuordnen, hat verloren.
  • Konto-Upgrade. Über echt aussehende Phishing-E-Mails erhält man das Angebot für ein Upgrade, eventuell von der vermeintlich eigenen IT mit dem Verweis auf Microsoft-Programme. Wer klickt, landet aber nicht auf einer geschützten Unternehmensseite, sondern bei Abzockern – und soll dort natürlich Zugangsdaten eingeben.
  • Dokumenten-Sharing. Google Docs, Teams oder Dropbox-Dienste – auch hinter der Aufforderung zur gemeinsamen Bearbeitung von Dateien stehen oft Hackerangriffe. Diese Beispiele zeigen, dass Phishing in jedem Gewand daherkommt und vor einem Klick die Absenderdaten stets genau zu prüfen sind.
  • Finanzkonten. Auch Konten bei Paypal oder Banken und Sparkassen sowie Onlineshops finden in solchen E-Mails häufig Erwähnung. Meistens heißt es, nur eine unverzügliche Verifizierung der Kontoinformationen verhindere die Sperrung. Oder es gelte, verdächtige Kontobewegungen sofort zu überprüfen und unlautere Abbuchung zu stornieren. Der Einfachheit halber ist der entsprechende – natürlich gefälschte – Link beigefügt.

Woran lassen sich Phishing-Mails leicht erkennen?

Wie kann man also Phishing-Mails erkennen und sie von authentischen Nachrichten unterscheiden? Natürlich gibt es technische Hinweise sowie entsprechende technische Möglichkeiten, um eine Mail genauer zu analysieren. Das erfordert aber spezielle Erfahrungen, die viele sich nicht aneignen wollen – und außerdem bliebe dafür in Arbeitsalltag kaum genug Zeit. Trotzdem ist niemand solchen Angriffen schutzlos ausgesetzt. Erstens treffen die gängigen Mail-Programme schon eine Vorauswahl, was möglicherweise Phishing-Mails sind, und markieren diese entsprechend. Zweitens ist zumindest ein Großteil der E-Mails zum allgemeinen Phishing leicht zu erkennen, wie Beispiele zeigen. Dies beginnt schon damit, dass man zuerst mit der Maus den Absender in der Kopfleiste der Mail anklickt. Meistens verbirgt sich hinter dem manipulierten Absender eines Unternehmens wie DHL eine kryptische E-Mail-Adresse aus Buchstaben sowie Ziffern, die dann gezeigt wird. Das dürfte eine Phishing-E-Mail sein. Mit solchen Tricks und etwas gesundem Menschenverstand beim Lesen lassen sich viele Phishing-Mails erkennen.

Das Erkennen von Phishing-Mails ist oft nicht schwer

Deshalb ist es wichtig, Beschäftigte nicht nur über die Bedeutung von Phishing aufzuklären, sondern in Schulungen für Merkmale einer klassischen Phishing-Mail zu sensibilisieren. Als Indikatoren gelten etwa:

  • Es geht ums Geld. Entweder gibt es tolle finanzielle Angebote, oder das eigene Geld ist gefährdet. Dies darf nicht blind machen und verhindern, dass man die Mail auf Echtheit überprüft.
  • Es ist dringend. Oft, zeigen Beispiele, wird mit Fristen gearbeitet, um Empfänger unter Druck zu setzen. So soll etwa binnen 24 Stunden eine niedrige Summe bezahlt werden, weil danach eine massive Strafgebühr anfällt. Oder das Konto wurde mit hohen Beträgen belastet – wer nicht sofort die Geldbewegungen überprüft, kann Fehlbuchungen nicht zurückholen. Oder ein wertvoller Gutschein droht zu verfallen.
  • Es klingt bedrohlich. Eine kleine Summe ist offen – wer nicht sofort bezahlt, sollte einen Schufa-Eintrag oder den Besuch von Inkasso-Fachleuten erwarten.
  • Es menschelt. Attraktive Frauen aus Asien oder Osteuropa lassen Männern aufreizende Bilder zukommen, schmeicheln ihnen, möchten sie kennenlernen, weil ihnen ein angeblicher Kontakt bei einer Party/im Cafe/auf dem Dating-Portal nicht mehr aus dem Kopf geht. Oder es wartet ein Gutschein für das neueste iPhone-Modell auf den Empfänger der E-Mail sowie einen Freund, der für beide ein Gewinnspiel ausgefüllt hat. Man muss den gemeinsamen Gewinn sofort per Klick auf den beigefügten Link bestätigen. Wer will einem Freund schon durch übertriebene Vorsicht die Chance auf ein iPhone vermasseln?

Viele Phishing-Mails lassen sich leicht erkennen, wenn man kurz über die Plausibilität des Inhalts nachdenkt und prüft, ob Orthografie und Formulierungen eventuell Fehler enthalten, die sich kein seriöses Unternehmen leisten würde. Also: Eine nach Phishing riechende Mail kurz prüfen und im Zweifelsfall lieber nichts anklicken, sondern den Kontakt zum vermeintlichen Absender erst auf einem anderen, gern klassischen Weg aufnehmen – am besten einfach direkt anrufen und fragen, ob die E-Mail tatsächlich von dort kommt.

  • Hat Ihnen der Beitrag gefallen?
  • JaNein

Teilen auf

LinkedIn Xing
Frank Wiercks

ist Mitglied der Redaktion von TRIALOG, dem Unternehmermagazin für Mittelständler, Selbständige und Freiberufler. Außerdem arbeitet er für verschiedene Wirtschafts- und Managementmagazine. Zuvor war er unter anderem Chefredakteur von handwerk magazin und Markt und Mittelstand.

  • Trialog-Newsletter

    Sie möchten künftig keine wichtigen Tipps für Ihr Unternehmen verpassen?
    Mit dem kostenlosen Newsletter halten wir Sie auf dem Laufenden.

  • Experten-Suche

    Mit dem richtigen Partner die Digitalisierung der unternehmerischen Prozesse angehen! Finden Sie auf DATEV SmartExperts den passenden Experten.

    Ich suche








  • Auf Facebook mitdiskutieren

    Sie möchten das Thema vertiefen?
    Dann werden Sie gerne Fan und beteiligen sich an der Diskussion auf unserer Facebook-Seite

    Jetzt DATEV-Fanpage besuchen

  • DATEV im Web