Das Stehlen von Informationen durch das Vortäuschen falscher Tatsachen per E-Mail ist eine der häufigsten und gefährlichsten Angriffsformen für Unternehmen.
1. Alle Welt redet über Phishing: Was versteht man darunter?
Bei einem Phishing-Angriff versuchen Kriminelle mit Hilfe von betrügerischen E-Mails, gefälschten Internetseiten und anderen Methoden an vertrauliche Unternehmensdaten zu gelangen. Oft geben die Betrüger vor, eine Person oder Organisation aus dem näheren Umfeld zu sein – zum Beispiel eine gängige Bank oder ein entfernter Verwandter. Das hiermit verbundene Vertrauen des Opfers nutzen sie aus, damit es die Informationen bereitwillig preisgibt.
Neben der klassischen E-Mail gibt es übrigens auch das Phishing über SMS oder Telefon. Ein vermeintlicher Dienstleister ruft an und bittet Sie darum, dass Sie ihm Zugang zu Ihrem Computer geben, um ein angeblich dringendes Problem zu lösen.
2. Wie gefährlich ist solch ein Phishing-Angriff und worauf genau zielt er?
Derartige Angriffe können ziemlich gefährlich sein. Eine Befragung des Gesamtverbands der Deutschen Versicherungswirtschaft hat ergeben, dass 59% der erfolgreichen Cyberattacken auf kleine und mittlere Unternehmen per E-Mail erfolgen.
Welches Ziel tatsächlich hinter einem Angriff steckt, lässt sich schwer sagen, solange man den Täter nicht festnimmt. In den meisten Fällen geht es darum, an Daten zu gelangen, mit denen sich der Kriminelle bereichern kann. Das kann direkt, aber auch indirekt geschehen.
Stiehlt der Täter beispielsweise komplette Kreditkarteninformationen oder Bankdaten, dann ist es für ihn ein Leichtes, damit online Geld zu überweisen oder einzukaufen. Aber auch mit den Zugangsdaten für das Computersystem eines Unternehmens lässt sich auf Handelsplätzen im Darkweb gutes Geld verdienen. In seltenen Fällen werden diese Informationen gezielt gestohlen, um den Ruf eines Konkurrenten zu zerstören oder Betriebsgeheimnisse auszuspionieren. Auch das ist nicht zu unterschätzen, da in Deutschland unter den kleinen und mittelständischen Unternehmen viele Vordenker und versteckte Weltmarktführer, sogenannte Hidden Champions, existieren. Ihre Daten sind aus Gründen der Wirtschaftsspionage hochinteressant.
3. Wie genau bringen Kriminelle ihre Opfer dazu, die gewünschten Daten preiszugeben?
Die Betrüger nutzen beim Phishing geschickt verschiedene psychologische Strategien, damit ihre Opfer die gewünschten Informationen preisgeben. Angst kann ein treibender Faktor sein, zum Beispiel die Befürchtung gleich nicht mehr arbeitsfähig zu sein. Aber auch Neugier („Wir haben eine Überraschung für Sie.“), sozialer Druck („Alle Kollegen haben an der Aktion teilgenommen.“) oder Gewinnstreben („Loggen Sie sich ein und erhalten Sie einen Gutschein über 50 Euro.“) können effektive Mechanismen sein, um an die gewünschten Daten zu gelangen. Je nach seiner Persönlichkeit ist jeder Mitarbeiter unterschiedlich anfällig für verschiedene Formen von Cyberangriffen. Lassen Sie sich daher nicht unter Druck setzen und prüfen Sie die Identität von E-Mail-Absendern und Anrufern ausreichend.
4. Gibt es ein Praxisbeispiel für das Vorgehen bei einem Phishing-Angriff?
Ein gutes Beispiel für eine erfolgreiche Phishing-Masche ist die vermeintliche E-Mail von einer beliebten Bank. Das Opfer wird aufgefordert, sich schnellst möglich in seinem Kunden-Konto anzumelden und seine Identität zu bestätigen, da ansonsten das Firmenkonto gesperrt wird. Ist das Opfer tatsächlich Kunde der Bank und hält daher die E-Mail für echt, dann klickt es auf einen Link, der zu einer gefälschten Internetseite des Finanzinstituts führt. Dort gibt es seine Zugangsdaten und weitere Informationen ein, auf diese können die Kriminellen dann problemlos zugreifen. Häufig sind die E-Mails und Internetseiten täuschend echt konzipiert: Design, Name des Absenders, Anrede und Signatur entsprechen denen des Unternehmens – erst die genaue Prüfung der Absender- und Internetadresse lassen auf einen Betrug schließen.