„Sehr geehrte Kundinnen und Kunden, Ihre Sicherheit und Gesundheit und auch die unserer Mitarbeiter liegen uns sehr am Herzen.“ So beginnt die E-Mail einer Bank, die während der Pandemie ihre kleineren Filialen schließen muss und sich deshalb nun digital an ihre Kunden wendet. „Bitte nehmen Sie sich zwei Minuten Zeit, um Ihre Daten zu überprüfen und zu aktualisieren, um weiterhin eine reibungslose Kommunikation gewährleisten zu können.“
Die täuschend echt aussehende E-Mail mit dem Link stammt aber tatsächlich nicht von jener Bank. Sie wurde von Betrügern aufgesetzt, um direkt Konto- und Adressdaten von ahnungslosen Nutzern abzugreifen, die eigentlich dachten, sie tun das genau Richtige – ihre Daten in Zeiten erschwerter Kommunikation zu aktualisieren. Dabei appelliert die E-Mail am Ende noch einmal besonders emotional an das Gewissen der Empfänger: „Prävention ist keine Hysterie, und Ignoranz ist auch kein Mut! Wir hoffen sehr auf Ihre Solidarität und Ihr Verständnis!
Faktor Mensch beim Thema IT-Sicherheit
Beim „Phishing“ werden per E-Mail, Social Media oder sogar per Telefon emotionale Köder ausgeworfen, in der Hoffnung, dass jemand „anbeißt“. Und das ist in Ausnahmesituationen wie einer weltweiten Pandemie viel wahrscheinlicher. „Cyber-Kriminelle nutzen die Verunsicherung und das allgemeine Bedürfnis nach Schutz und Informationen gezielt aus“, heißt es vom Bundesamt für Sicherheit in der Informationstechnik (BSI), das seit Beginn des vergangenen Jahres einen hohen Anstieg an Phishing-Mails mit Corona-Bezug verzeichnet hat. „Unternehmen müssen den Faktor Mensch nun intensiver in Maßnahmen zur Stärkung der IT-Sicherheit miteinbeziehen, um wenig Angriffsfläche zu bieten.“ Das bedeutet: Mitarbeiter müssen gezielt geschult werden.
Phishing-Mails ködern mit Angst-Szenarien
Denn bei Phishing-Attacken hilft eine gute Antiviren-Software nur bedingt weiter. Zwar kann sie beispielsweise auf gefährliche Links und Anhänge in E-Mails hinweisen – doch Phishing zielt tatsächlich gar nicht auf technische Sicherheitslücken ab, sondern auf den Menschen, der hinter dem Rechner sitzt. Damit wird es zur einfachsten Art des Cyberangriffs, aber auch zur gefährlichsten. Bei allen Arten geben die Versender vor, jemand zu sein, der sie nicht sind – eine seriöse Bank, ein Internetanbieter oder ein anderer Dienstleister. Erfolg hat das Phishing in der Regel, wenn der Empfänger zufällig einen Bezug zum vermeintlichen Versender hat – also zum Beispiel, weil er zufällig Kunde bei der Bank ist, von der die E-Mail vermeintlich stammt. Eine andere Strategie der Cyber-Kriminellen ist auch, den Betreff so zu formulieren, dass er geradezu nach einer Reaktion schreit, wie zum Beispiel „Ihr Konto wurde gesperrt“ oder „Ihr System wurde erfolgreich gehackt“. Viele Empfänger öffnen bei so einem angsteinflößenden Szenario die E-Mail und können so schneller zum Opfer einer Phishing-Attacke werden, weil sie glauben, direkt handeln zu müssen.
Phishing-Gefahren im Homeoffice
Wie schon das Beispiel zu Beginn mit der Bank zeigte, versprechen subtile Phishing-Attacken den Kriminellen in Corona-Zeiten nicht nur mehr Erfolg, weil sie emotional an das Gewissen der Menschen appellieren und ihre Unsicherheit ausnutzen. Ihnen hilft auch, dass auf einmal vieles nur noch digital läuft. Da ein Großteil der Mitarbeiter im Homeoffice ist, fehlt die Face-to-Face-Kommunikation – das meiste läuft per Telefon, Chat oder E-Mail. Gerade da setzt das sogenannte Spear-Phishing an. Im Gegensatz zu den meisten Phishing-Aktionen, bei denen massenhaft E-Mails, SMS oder Direct Messages in der Hoffnung versendet werden, dass einige Personen anbeißen (sog. „Spray and Pray Phishing“), wird Spear-Phishing ganz gezielt ausgeführt. Bei dieser Attacke suchen die Kriminellen systematisch Informationen von einer Person inklusive ihrer Verbindungen zu anderen Angestellten im Unternehmen (sog. Social Engineering), um auf diese Weise eine besonders glaubwürdige Nachricht eines Kollegen oder Vorgesetzten vorzutäuschen. So gibt sich der Angreifer zum Beispiel als Geschäftsführer des Unternehmens aus und drängt darauf, entweder eine bedeutende Zahlung anzuweisen oder schnell Informationen herauszugeben, auf die er aufgrund der aktuellen Lage angeblich keinen Zugriff hat.
Perfide Unterart: Clone-Phishing
Eine ebenso perfide Unterart des Phishings ist das sogenannte Clone-Phishing. Dabei erstellen die Angreifer eine Kopie von einer zuvor gesendeten, echten E-Mail aus dem Unternehmen, die einen Link oder einen Anhang enthält. Die Kriminellen ersetzen jedoch Link oder Anhang durch einen bösartigen Ersatz und versenden sie erneut mit einem täuschend ähnlich aussehenden E-Mail-Kopf. Klicken die Empfänger dann darauf, weil sie glauben, die Original-E-Mail vor sich zu haben, kann Malware ins System geraten, die dann weitere Schäden anrichten; z. B. verschlüsselt sie wichtige Daten und macht diese somit unbrauchbar. Im schlimmsten Fall erlangen die Angreifer die Fremdkontrolle über das System, wodurch sie Zugriff auf alle Daten erhalten. Ein solcher Angriff ist in der Regel nur möglich, wenn zuvor schon das Postfach gehackt und sich die Phisher so illegal Zugang zu den E-Mails verschafft haben, um sie als Vorlagen verwenden zu können.
Wie schütze ich mich vor Phishing-Attacken?
Der sicherste Schutz vor Phishing-Attacken ist, alle E-Mails, in denen Sie zu etwas aufgefordert werden, einmal genauer unter die Lupe zu nehmen – und auf bestimmte Signale zu achten. Zum Beispiel: Ist das wirklich die richtige Absenderadresse, oder ist da bei genauerem Hinsehen ein Buchstabendreher zu finden? Wo führen die Links hin? Sind Anrede und Inhalt seltsam allgemein gehalten? Wenn nach PINs oder TANs gefragt wird, ist das ebenfalls ein häufiges Anzeichen für einen Phishing-Versuch.
Es gibt viele kleine Details, für die auch die Mitarbeiter in Schulungen sensibilisiert werden können. Insbesondere das Buchhaltungspersonal wird gezielt für das Spear-Fishing ausgewählt und sollte daher im Fall der Fälle wissen, wie es mit mutmaßlichen Phishing-Nachrichten umgehen sollte, um die Attacke abzuwehren – zum Beispiel, die IT-Kollegen rechtzeitig zu benachrichtigen. Denn nur so kann gewährleistet werden, dass es in einer sonst technisch einwandfreien IT-Security keine Einfallstore für Cyberkriminelle gibt.
Die m2solutions EDV-Service GmbH ist ein IT-Dienstleister mit Sitz in Neustadt in Schleswig-Holstein. Das Unternehmen ist sowohl Full-Service-Systemhaus für den Mittelstand als auch IT-Dienstleister für global agierende Systemhäuser. So bietet m2solutions von der konzeptionellen und organisatorischen Beratung über individuelle IT-Infrastrukturlösungen (Hard- und Software) bis zu IT-Security-Management und Communication-Lösungen individuell auf den Kunden ausgerichtete Einzel- oder Komplettlösungen an. Die mehr als 150 Mitarbeiter werden dazu bundes- und europaweit eingesetzt. m2solutions versteht sich als Partner, der nicht nur eine sichere IT-Infrastruktur realisiert, sondern durch den Einsatz geeigneter Technologien einen Support für mehr Erfolg und Wachstum der Kunden leistet. Gegründet wurde das Unternehmen im Jahr 2000 von Mirko Müller und Reiner Matthiessen. Seit 2014 gehört auch Lukas Stockmann zur Geschäftsführung.
m2solutions EDV-Service GmbH
Industrieweg 37
23730 Neustadt
Telefon: +49 (4561) 5280-130
Telefax: +49 (4561) 5280299
https://m2solutions.de
Pressekontakt
Telefon: 0451/54692373
E-Mail: modrow@agenturhoch3.de