Was ist Phishing und wie kann ich mich schützen?

Eine scheinbar harmlose E-Mail kann direkt in die Insolvenz führen. Wir zeigen Euch, was Phishing ist und wie Ihr Euch gegen Attacken von Kriminellen verteidigen können.

„Hiermit teilen wir Ihnen mit, dass wir Ihr Giro-Konto gesperrt haben. Unsere Sicherheitsabteilung hat gravierende Risiken festgestellt.“

Ahh! Die Bank schreibt mir! Konto gesperrt!? Ist mein Geld jetzt weg?

„Um das Konto zu entsperren, benötigen wir einige Angaben von Ihnen. Das können Sie bequem auf unserer Service-Plattform erledigen. Einfach hier klicken.“

Puh! Zum Glück kann ich das schnell klären. Einfach hier klicken…

Was ist Phishing?

Wenn Ihr jetzt auf den blauen Link in der Mail oder der Textnachricht klickt, dann hat der Angreifer Euch dort, wo er Euch haben will – nämlich am Haken. Ihr werdet dann auf eine gefälschte Seite gelenkt, die eine täuschend echte Kopie der Bank-Website ist. Wenn Ihr hier Eure persönlichen Daten eingebt, können Angreifer Eure Identität stehlen und in Eurem Namen shoppen gehen – im Durchschnitt erzeugt ein erfolgreicher Phishing-Angriff einen Schaden von 4.000 Euro.

Doch es kann noch schlimmer kommen: Eingeschleuste Schadsoftware wie Viren oder Trojaner können ganze Firmennetzwerke infizieren. Es drohen Betriebsausfall, Reputationsverlust, Konkurs.

Phishing leitet sich vom englischen fishing ab. Es ist der Versuch von Kriminellen, sich Passwörter und persönliche Daten zu angeln. Dazu verschicken sie fake E-Mails, SMS oder gefälschte Nachrichten in sozialen Netzwerken. Manche Angreifer versuchen auch, ihren Opfern Kennwörter bei einem Phishing-Anruf abzuschwatzen. 

Wie schütze ich mich vor einem Phishing-Angriff?

Angreifer möchten, dass Ihr impulsiv reagiert, ohne die Seriosität der Nachricht zu überprüfen. In unserem Beispiel verbreiten sie Angst („Giro-Konto gesperrt“) und Schrecken („gravierende Risiken“) und bieten gleichzeitig einen vermeintlichen Ausweg an („Einfach hier klicken.“). 

Darum heißt die wichtigste Regel: Ruhe bewahren! Lasst Euch sich bloß nicht unter Druck setzen! Atmet kurz durch und stellt Euch dann folgende Fragen:

  1. Wie plausibel ist der geschilderte Fall?
  2. Ist das Szenario wahrscheinlich?
  3. Würde eine Nachricht wirklich so aussehen?

Denn keine Bank der Welt schreibt Euch eine Mail, dass ein Problem mit Eurem Konto vorliegt. Microsoft ruft Euch nicht an und niemand mit seriösen Absichten fragt nach Usernamen und Passwort.

Am einfachsten entlarvt Ihr Phishing-Mails am Schreibstil: Oft gibt es Rechtschreib- und Grammatikfehler, die Anrede ist ungewohnt oder die Formatierung merkwürdig. Überprüft den Namen des Absenders. Ist der Betreff verdächtig? Kommt Euch ein Link komisch vor, dann fahrt mit dem Mauszeiger – ohne Klicken – darüber. Es wird dann angezeigt, auf welche Webseite Sie der Link wirklich führen würde.

Spear-Phishing-Angriffe sind besonders treffsicher

Noch schwieriger abzuwehren sind Spear-Phishing-Angriffe. Dabei attackieren Kriminelle gezielt einzelne Personen. Sie nutzen dazu Informationen, die sie aus sozialen Netzwerken wie LinkedIn oder Facebook gewinnen. Fragt im Zweifelsfall beim Absender ruhig nach, ob die Nachricht echt ist. So ein Anruf zeigt Eurem Gegenüber, dass Ihr mit sensiblen Daten sorgsam umgeht – das schafft Vertrauen.

Was ist, wenn ich eine Phishing-Mail geöffnet habe?

Klick! Jetzt ist es im Alltagsstress doch passiert und Ihr habt eine merkwürdige E-Mail angeklickt! Die gute Nachricht: Das Öffnen einer Phishing-Mail ist meist harmlos. Gefährlich wird es erst, wenn Ihr einen dubiosen Link anklickt oder einen infektiösen Anhang herunterladet. Besondere Vorsicht ist bei angehängten Dateien wie Office-Dokumenten geboten, die Makro-Viren enthalten können.

„Wir danken für Ihr Verständnis…“

Verständnis ist das Letzte, was Ihr für eine Phishing-Mail aufbringen müssen. Wenn Ihr die Nachricht der vermeintlichen Bank als eine Täuschung entlarvt habt, dann bleibt die Lösung dennoch ein simpler Klick. Aber nicht der auf den Link in der Nachricht, sondern der auf „löschen“.

Puhh… das war knapp!

SECUTAIN Sensibilisierung für Phishing

Wir bieten Euch diverse Maßnahmen zur Sensibilisierung Eurer Mitarbeitenden für das Thema Phishing an. Angefangen bei Webinaren, E-Learnings und Schulungen bis hin zu Phishing-Simulationen oder individuellen Coachings. Erfahrt mehr über unsere Angebote.

Henning Seelmeyer
Awareness-Engineer | teccle group

Henning ist Experte und Erklärer für Informationssicherheit. Mithilfe von anschaulichen Beispielen übersetzt er komplizierte Details in allgemein verständliche Sprache. Mithilfe von Storytelling macht er auch technische Aspekte zugänglich und erfahrbar. Besonderen Wert legt er dabei auf leicht umsetzbare Tipps, mit denen Mitarbeitende von Unternehmen und Behörden Cybergefahren wirkungsvoll abwehren können. Als Awareness-Engineer setzt er alle Hebel in Bewegung, um für den Schutz von Informationen zu sensibilisieren.