Phishing-Angriffe erfolgreich abwehren

Phishing Datensicherheit

Zu den großen Bedrohungen aus dem Internet zählt nach wie vor das Phishing. Deshalb ist beim Umgang mit E-Mails stets Vorsicht angebracht, denn Software-Lösungen können das Problem nur reduzieren, aber nicht gänzlich ausschalten.

Wie oft haben Sie schon E-Mails erhalten, in denen sie dazu aufgefordert wurden, sofort aktiv zu werden, um eine drohende Kontoschließung zu verhindern? In der Vergangenheit waren solche Angriffe meist leicht zu durchschauen, weil ein schlechtes Deutsch oder eine merkwürdige Logo-Platzierung solche E-Mails von vornherein als plumpe Fälschung erkennbar machten.

Leider werden die Angriffe immer besser und dreister, so dass vielfach schon sehr genau hingeschaut werden muss, um den Betrugsversuch zu erkennen. Bei zweifelhaften E-Mails darf auf keinen Fall ein Anhang heruntergeladen und geöffnet werden. Auch den oft in solchen E-Mails enthaltenen Links sollte man nicht folgen (auch wenn man gar nicht die Absicht hat sich einzuloggen): Die Zielseite könnte mit Schad-Software verseucht sein.

Dem Autor dieser Zeilen ist es sogar schon passiert, dass er am Telefon vermeintlicherweise von seinem Mobilfunkprovider angerufen und zwecks einer Vertragsverlängerung nach seinem Kundenkennwort gefragt wurde. Weil der Anruf tatsächlich vom passendenden Anbieter kam und eine Vertragsverlängerung anstand, gelangte das Kennwort in die falschen Hände! Glücklicherweise kam mir die Aktion aber dennoch merkwürdig vor (die Dame am Telefon sprach nur ein sehr schlechtes Deutsch), so dass ich sofort beim Provider anrief und das Konto sperren bzw. das Kundenkennwort ändern ließ. Ein Schaden trat nicht ein.

Unternehmen können Opfer solcher Angriffe werden, etwa wenn bei der Personalabteilung Bewerbungen per E-Mail eingehen, deren Anhänge keine harmlosen Lebensläufe enthalten.

Auch die Corona-Krise wird gerne zum Phishing genutzt: Entsprechende E-Mails verweisen auf Webseiten, auf denen etwa Schutzmasken zu günstigen Preisen eingekauft werden können. Entweder sind die Seiten dann mit Schad-Software verseucht oder es wird versucht, an die Daten von Kreditkarten bzw. an Bankverbindungen heranzukommen.

Beim Phishing geht es also um das „Abfischen“ von sensiblen Daten, d. h. Zugangsdaten, Passwörtern, PINs bis hin zu Kontonummern oder Kreditkartennummern. Am Anfang steht dabei stets eine mehr oder weniger täuschend echt erscheinende E-Mail eines vertrauten bzw. vertrauenswürdigen Absenders. Darin enthaltene Links führen auf gefälschte Internetseiten von Banken, Onlineshops und anderen Anbietern (bis hin zu sozialen Netzwerken), bei denen man sich einloggen oder einkaufen soll. Alternativ enthalten solche E-Mails Anhänge, die beim Öffnen eine Schad-Software auf den Rechner laden, um diesen auszuforschen und sensible Inhalte heimlich an den Absender zu schicken. Dieses Ziel kann auch erreicht werden, wenn die Schad-Software auf einer Website hinterlegt wird, auf die man über einen Link in der E-Mail gelangt.

Wie schützt man sich bestmöglich vor solchen Angriffen bzw. Täuschungsmanövern?

Für den Fall, dass man sich Schad-Software eingefangen hat, kann ein Antivirenschutz bzw. eine Anti-Spam-Software, etwa von Kaspersky, wirkungsvollen Schutz bieten. Damit es aber gar nicht erst soweit kommt, muss der E-Mail-Eingang mit größtmöglicher Sorgfalt gehandhabt werden.

Leicht zu durchschauen sind die Nachrichten von Anbietern, bei denen man gar kein Konto hat. Diese sollten umgehend gelöscht werden. Bei Angeboten, die etwa die Einkaufsabteilung von Unternehmen erreichen, kann eine Google-Suche helfen herauszufinden, ob hinter dem gut klingenden Angebot tatsächlich ein ordentlicher Anbieter steht. Jeder seriöse Online-Shop lässt sich über eine Suchmaschine finden! Im Bedarfsfall kann man auch dort anrufen und konkret nachfragen.

Bei E-Mails aus sehr wichtigen Geschäftsverbindungen muss eine Plausibilitätsprüfung durchgeführt werden: Sind hier tatsächlich noch Zahlungen offen? Warum könnte eine Konto-Überprüfung notwendig sein? Im Zweifelsfall kann man über die Website des jeweiligen Anbieters den Login-Bereich aufrufen, sich einloggen und nachsehen ob etwas nicht stimmt. Den Links in der E-Mail sollte man auf keinen Fall folgen. Oft kann man auch schon an der Linkadresse aus solchen E-Mails erkennen, dass diese nicht mit der URL übereinstimmen, bei der man sich üblicherweise einloggt.

Für Unternehmen kann sich auch der Einsatz einer speziellen Software lohnen, die Phishing-E-Mails erkennt und herausfiltert. Auch die im Unternehmen verwendeten Browser sollten vor Betrugsversuchen und Schadprogrammen schützen. Darüber hinaus helfen regelmäßige Schulungen bzw. Sensibilisierungen von Mitarbeitern.

Nicht zuletzt kann mit solchen Interventionen auf die Gefahr von Whaling reduziert werden: Beim Whaling, einem Sonderfall des Phishing, werden gezielt einzelne Mitarbeiter per E-Mail angesprochen. Als Absender fungieren scheinbar hochrangige Manager oder Firmeninhaber, die Zugang zu sensiblen Daten verlangen bzw. Geldüberweisungen auf Konten Dritter. Das kann täuschend echt wirken – und wer misstraut bzw. widerspricht schon gern der eigenen Geschäftsleitung? Leider haben schon etliche Unternehmen damit Geld verloren, wenn etwa per E-Mail die Order an die Buchhaltung erging, einen bestimmten Geldbetrag auf ein Konto im Ausland zu überweisen.

Das Phishing ist also ein sehr vielfältiges Phänomen, das nur zum Teil durch Software-Produkte in Schach zu halten ist. Ebenso wichtig ist ständige Aufmerksamkeit und Sensibilität für ungewöhnliche Anfragen bzw. Angebote.

Photo by Alex Kotliarskyi on Unsplash