Phishing erkennen

Die häufigsten Social-Engineering-Methoden

Die Schlagzeilen berichten täglich davon: Hackerangriffe und IT-Sicherheitsvorfälle haben sich in den letzten Jahren drastisch gehäuft. Im Dezember wurden die Systeme der Funke Mediengruppe durch Ransomware lahmgelegt und der Computerhersteller Acer wird jüngst vermeintlich um die Rekordsumme von 50 Millionen Dollar Lösegeld erpresst.

90 Prozent aller erfolgreichen Cyberattacken beginnen mit einer E-Mail. Klar ist, die Prävention von IT-Angriffen gewinnt zunehmend an Bedeutung. Dennoch sind viele deutsche Unternehmen diesbezüglich mangelhaft aufgestellt und die Informationslage der Mitarbeitenden unzureichend.

Wie sicher ist Ihr Unternehmen vor Social-Engineering-Angriffen? Woran kann ich Phishing erkennen? Und was ist Spoofing? Wir stellen die meistverbreiteten Methoden von Social Engineering vor und erklären, wie man Phishing-Mails und Co erkennt.

IT-Sicherheitsrisiko Mensch

Von der Anzeige lästiger Pop-up-Werbung bis hin zur Verschlüsselung der gesamten IT-Infrastruktur – durch Malware verursachte Schäden sind vielfältig. Erfolgreiche Cyberattacken können in Unternehmen Systemausfälle, Datenverlust und Informationsdiebstahl zur Folge haben und erhebliche finanzielle Schäden, hohe Zeitaufwände zur Schadensbehebung sowie Image- und Vertrauensverlust nach sich ziehen.

Firewalls und verschlüsselte Netzwerke schützen neben anderen technischen Maßnahmen vielerorts immer besser vor ungewolltem Zugriff auf Daten und sensible Informationen. Attraktiv bleibt für Cyberkriminelle jedoch eine Schwachstelle: der Mensch. Denn die Mehrheit der Sicherheitsvorfälle geht auf das Fehlverhalten von Mitarbeitenden zurück. Und dies wird dadurch gefördert, dass viele Unternehmen immer noch nicht genügend Wert auf die Sensibilisierung ihres Personals hinsichtlich der Gefahren von Phishing und Cyberattacken legen.

Mal ehrlich: Wissen alle Mitarbeitenden in Ihrem Team, woran man eine Phishing-Mail erkennt? Hat Sie schon mal eine gefälschte Rechnung oder Anweisung Ihrer Chefin in Ihrem Postfach verunsichert? Haben Sie den versuchten Betrug vorsorglich an Ihre Kolleg*innen kommuniziert?

Phishing erkennen: Mehr als die Hälfte aller Beschäftigten sind im Homeoffice von Phishing-Attacken betroffenIT-Sicherheit ist längst nicht mehr ein Thema, dass nur jene Mitarbeitenden betrifft, die „irgendwas mit der IT“ zu tun haben – es ist relevant für alle. Der pandemiebedingte Digitalisierungsschub hat auch die Angriffsfläche für Cyberkriminalität vergrößert. Sowohl in den Büros als auch im Homeoffice oder Homeschooling. Laut einer Studie von SailPoint haben 51 % der Arbeitnehmer*innen im Homeoffice seit Beginn der Pandemie mindestens einen Phishing-Angriff erlebt.

Social Engineering und Phishing werden überall dort eingesetzt, wo die Beeinflussung von Menschen Zugang zu Geld oder Informationen verspricht. Bei fast jedem dritten Unternehmen richtet sich der Angriff daher gegen den Vertrieb. Stark betroffen sind auch das Management bzw. die Geschäftsleitung sowie das Accounting. Welche Methoden Social Engineers dabei einsetzen und wie man Phishing erkennen kann, erfahren Sie jetzt in diesem Blogbeitrag.

Social Engineering: Sozialer Druck als Masche

Was ist Social Engineering?

Unter Social Engineering versteht man eine Form des Betrugs, die darauf abzielt, bestimmte Handlungsweisen bei den anvisierten Personen hervorzurufen. Durch zwischenmenschliche Beeinflussung und gezielte Manipulation bringen Betrüger*innen ihre Opfer dazu, vertrauliche Informationen wie Passwörter und Bankdaten preiszugeben. Dabei nutzen Cyberkriminelle den Faktor Mensch gezielt als Schwachstelle in der Sicherheitskette von Unternehmen aus. Die häufigsten Motive für Social Engineering sind die Erlangung vertraulicher Informationen oder Geld.

Wie funktioniert Social Engineering?

Die Angriffsmethoden der Social Engineers haben sich gerade in den letzten Jahren diversifiziert. Das Grundschema von Social-Engineering-Maschen läuft immer nach folgendem Muster ab:

Social Engineering in drei Schritten: Vertrauen gewinnen, Daten abgreifen, erlangte Daten verwenden

Damit ihre Opfer im Interesse der Cyberkriminellen handeln, benötigen diese ihr Vertrauen. In Vorbereitung auf einen Phishing-Angriff wird daher nicht selten tiefer gehende Recherche im Internet und in sozialen Netzwerken über die anvisierte Person betrieben. Social Engineers geben sich als Behörden, Sicherheitsbeauftrage oder alte Bekannte aus und nutzen vermeintliche Gemeinsamkeiten, Hilfsbereitschaft oder das Mitleid anderer. Oft sind am Arbeitsplatz Ängste, Arbeitsabläufe zu behindern, schlecht dazustehen oder etwa wichtige Kund*innen nicht angemessen zu behandeln Ausgangspunkt einer erfolgreichen Manipulation.

Social-Engineering-Taktiken können der erste Schritt einer umfassenden Strategie sein, die weitere Cyberattacken wie das Einschleusen von Ransomware beinhaltet. Bei dieser gefährlichen Art von Schadsoftware handelt es sich um Erpressungstrojaner, die den Zugriff auf IT-Systeme sperren. Cyberkriminelle fordern für die Entschlüsselung der Daten hohe Lösegelder.

Security Awareness optimieren?
Mit VINYAs interaktivem Online-Kurs zur IT-Sicherheit am Arbeitsplatz sensibilisieren Sie Mitarbeitende für die frühzeitige Erkennung von Phishing und Co.
E-Learning-Kurs Datenschutz Marketing Vertrieb

Phishing erkennen

Phishing setzt sich aus den englischen Wörtern Password und Fishing zusammen – und bedeutet somit: nach Passwörtern fischen. Phishing ist die verbreitetste Form von Social Engineering und wird häufig über E-Mail, Messenger-Kurznachrichten sowie Direktnachrichten in den sozialen Medien betrieben.

Durch Phishing versuchen Kriminelle unter anderem, an Passwörter und Zugangsdaten zu kommen. Haben sie Zugang erbeutet, können sie z. B. Einkäufe in Onlineshops tätigen oder Kontozahlungen und Kreditkartenabbuchungen durchführen. Um Log-in-Daten abzugreifen, werden gefälschte Nachrichten im Namen bekannter Institutionen oder Unternehmen verschickt, die täuschend echt aussehen können (Beispiele hierfür sind Rechnungen, Mahnungen oder Bestellbestätigungen). Für Phishing-Mails gibt es hauptsächlich zwei Methoden:

Keine Sorge: Der Erhalt einer E-Mail kann an sich noch keinen Schaden verursachen. Erst durch den Klick auf einen Link oder das Herunterladen eines Anhangs können Schäden entstehen.

Eine große Gefahr ist, dass Betroffene häufig nicht erkennen, dass sie bereits Opfer einer Phishing-Attacke geworden sind. Einige Plattformen benachrichtigen Sie daher, wenn ein Log-in festgestellt wird, der Ihnen nicht eindeutig zugeordnet werden kann.

6 Merkmale von Phishing-Mails

Sie haben eine E-Mail erhalten, die Ihnen verdächtig vorkommt oder die von einem Absender stammt, der Ihnen nicht bekannt ist? Schauen Sie genauer hin und achten Sie auf diese Merkmale einer Phishing-Mail:
Phishing erkennen: 6 Merkmale von Phishing-E-Mails

1. Suspekte Absenderadresse: Ist der Absender frei von Rechtschreibfehlern und eindeutig als institutionszugehörig erkennbar? Sollte dies nicht zutreffen, ist dies ein deutliches Indiz für eine Phishing-Mail.

2. Sprachliche Fehler & unpersönliche Ansprache: Eine Institution, mit der Sie in Verbindung stehen, kennt in der Regel Ihren Namen und wird Sie auch mit diesem ansprechen. Unpersönliche Ansprache und Rechtschreibmängel stellen Anzeichen für Phishing dar. Allerdings werden Phishing-Mails zunehmend dahingehend professionalisiert, dass es kaum mehr zu sprachlichen Auffälligkeiten kommt.

3. Abfrage vertraulicher Daten: Werden Sie zur Eingabe vertraulicher Daten aufgefordert oder sogar Passwörter abgefragt? Seriöse Institutionen wenden sich niemals mit diesem Anliegen bei Ihnen. Geben Sie Ihre Daten keinesfalls weiter.

4. Verdächtige Links: So können Sie Phishing erkennen: Achten Sie darauf, zu welcher Website Links führen. Beliebt sind kleine Buchstabendreher, sodass sich die URL nur minimal von der Original-Website unterscheidet. Suchen Sie lieber direkt die Seite der betreffenden Institution auf und prüfen Sie, ob tatsächlich Unstimmigkeiten vorliegen.

5. Unbekannte Anhänge: Die Mail kommt mit einem Anhang, dessen Inhalt oder Dateityp Ihnen unbekannt ist? Laden Sie auf keinen Fall verdächtige Anhänge herunter.

6. Dringender Handlungsbedarf: Wird Ihnen in der E-Mail Druck gemacht, sollten Sie skeptisch sein. Ist es überhaupt möglich, dass Sie eine Mahnung erhalten? Fragen Sie sich immer, ob generelle Relevanz und Zeitpunkt der Nachricht zu Ihrer persönlichen Situation passen.

Vermuten Sie, eine Phishing-Mail erhalten zu haben, sind sich aber unsicher? Melden Sie dies unbedingt intern bei der zuständigen Stelle in Ihrem Unternehmen, damit der Sachverhalt geprüft werden kann.

Spear-Phishing

Was ist der Unterschied zwischen Phishing und Spear-Phishing? Beim Phishing wird in der Regel eine große Menge generischer Nachrichten an ein breites Netzwerk gestreut. Hier wird auf Quantität gesetzt und Hunderte bis Tausende an Empfänger*innen adressiert. Spear-Phishing hingegen ist zielgerichteter und persönlicher. Betrüger*innen geben beispielsweise vor, eine Kollegin oder ein Geschäftspartner ihres Opfers zu sein, um Vertrauen aufzubauen. Dies gelingt den Kriminellen, indem sie die anvisierte Person zuvor auskundschaften.

CEO-Fraud

Der CEO-Fraud, auch bekannt als Business E-Mail Compromise, ist eine beliebte Betrugsmethode, bei der Mitarbeitende dazu manipuliert werden, im vermeintlichen Auftrag der Unternehmensführung Überweisungen zu tätigen. Social Engineers nehmen z. B. per E-Mail oder Anruf Kontakt zur Buchhaltung eines Unternehmens auf und versuchen die Kontaktperson mittels manipulativer Gesprächsführung zu einer Zahlung zu bewegen. Unter dem Tarnmantel der Geschäftsleitung wird beim CEO-Fraud sozialer Druck auf Mitarbeitende ausgeübt und unter dem Vorwand strenger Vertraulichkeit oder besonders zeitkritischer Anliegen für unbedachte Entscheidungen gesorgt.

Ruhe bewahren: Das Ziel von Social Engineers ist es, dass Sie impulsiv und ohne nachzudenken handeln. Seien Sie daher auch vorsichtig, wenn Sie Nachrichten von vermeintlich vertrauenswürdigen Quellen erhalten. Lassen Sie sich nicht unter Druck setzen. Kontaktieren Sie den/die Absender*in bei Unsicherheit auf einem alternativen Kommunikationsweg oder melden Sie Ihren Phishing-Verdacht intern.

Mit transparenten Richtlinien und guten Praxisbeispielen voran.
Hier gehts zu VINYAs E-Learning-Kursen:

Spoofing

Sie sehen die Telefonnummer Ihres Kollegen oder Ihrer Vorgesetzten auf dem Display und haben deshalb vollstes Vertrauen? Kriminelle nutzen sogenanntes Call ID Spoofing, um die Darstellung der Telefonnummer zu manipulieren und ihre Identität zu verschleiern. Es gibt also keine Garantie dafür, dass sich hinter der angezeigten Nummer immer die erwartete Person verbirgt. Spoofing lässt sich glücklicherweise gut aufdecken: Rufen Sie Ihre Kolleg*innen bei Verdacht selbst an und fragen Sie nach, ob der getätigte Anruf tatsächlich zwischen Ihnen stattgefunden hat.

Fazit: Prävention ist die beste Medizin

Cyberkriminalität ist auf steilem Erfolgskurs und die Wahrscheinlichkeit, sich im Fokus von Phishing und anderen Social-Engineering-Attacken wiederzufinden, wird für Unternehmen weiterhin zunehmen.

Die Chancen, dass Urheber*innen von Phishing-Angriffen zurückverfolgt und strafrechtlich belangt werden können, stehen in den meisten Fällen leider ziemlich schlecht. Unternehmen bleibt daher nur, in ein starkes Sicherheitskonzept zu investieren und die IT-Security Awareness am Arbeitsplatz zu fördern. Dazu gehört, dass Mitarbeitende darin geschult werden, Phishing zu erkennen und so Betrugsfälle abwehren können.

Wichtig ist: Opfer eines Cyberangriffs werden kann jede*r. Sollten Sie selbst einmal betroffen sein, gehen Sie offen mit dem Vorfall um. Schäden lassen sich durch den Kontakt zu Expert*innen in jedem Fall besser eindämmen.

Hinweis: Unsere Autoren und Autorinnen arbeiten mit größter Sorgfalt an den Inhalten dieser Website und des Magazins. Die gewissenhafte Recherche ist dabei selbstverständlich. Dennoch übernehmen wir (sowohl interne als auch externe Autoren und Autorinnen) keine Haftung für die Aktualität, Richtigkeit oder Vollständigkeit der hier dargestellten Inhalte. Die Inhalte stellen keine Rechtsberatung dar und ersetzen diese nicht. Bitte lassen Sie sich bei rechtlichen Fragen zusätzlich anwaltlich beraten. Wir übernehmen keine Haftung durch mittelbare oder unmittelbare Schäden, die sich durch jedweden Rechtsgrund aus der Nutzung dieser Inhalte oder der Website ergeben. 

Weitere spannende Beiträge
Ratgeber Pflicht-Unterweisungen

Ratgeber: Welche Unterweisungen sind Pflicht?

Sie hören Begriffe wie Mitarbeiterunterweisung, gesetzliche Grundlage, Bußgelder und Datenschutzschulung immer wieder und stellen sich die Frage, welche Mitarbeiterunterweisungen Sie im Unternehmen eigentlich durchführen müssen? …

Weiterlesen »
Über die Autorin
Kira Schwitzki VINYA

Kira Schwitzki

Kira ist Redakteurin bei VINYA. Mit einem Background in kommunikativer Beratung und Content Development dreht sich bei ihr vieles um die Übersetzung komplexer Sachverhalte in leicht verständliche Inhalte – und gute Geschichten. Als überzeugte niemals Auslernende ist sie auf der Suche nach neuen Vermittlungsmethoden, innovativen Lernformaten und nachhaltigen Lehrkonzepten.

Jetzt zum Newsletter anmelden!
Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Vielen Dank! Wir senden Ihnen eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.