Zur Startseite
KI-generiert

Phishing ist eine Form des Cyberbetrugs, bei dem Kriminelle versuchen, sensible Informationen wie Passwörter, Kreditkartendaten oder persönliche Informationen durch Täuschung zu erlangen. Dies geschieht häufig über gefälschte E-Mails, Websites oder andere Kommunikationsmittel, die so gestaltet sind, dass sie vertrauenswürdige Institutionen, wie Banken oder bekannte Unternehmen, imitieren.

Die Opfer werden dazu gebracht, ihre Daten preiszugeben, in der Annahme, dass sie mit einer legitimen Entität interagieren.

Phishing-Angriffe sind nicht nur auf E-Mails beschränkt. Sie können auch über SMS (Smishing), soziale Medien oder sogar telefonisch (Vishing) erfolgen. Die Angreifer nutzen oft ein Gefühl der Dringlichkeit oder Angst, um die Opfer zur sofortigen Aktion zu bewegen, beispielsweise durch Warnungen über verdächtige Kontoaktivitäten oder drohende Sicherheitsprobleme.

Entwicklung des Phishings

Phishing-Angriffe haben sich seit den frühen Tagen des Internets stark weiterentwickelt. In den 1990er-Jahren, als das Internet in der breiten Masse populär wurde, begannen die ersten Phishing-Angriffe, die hauptsächlich per E-Mail durchgeführt wurden. Diese frühen Versuche waren oft leicht zu erkennen, da sie zahlreiche Rechtschreibfehler und offensichtliche Anomalien in der Gestaltung aufwiesen.

Mit der Zeit wurden Phishing-Angriffe jedoch immer ausgefeilter. Kriminelle begannen, hochgradig überzeugende E-Mails und Websites zu erstellen, die kaum von echten Kommunikationsmitteln zu unterscheiden sind. Zudem nutzten sie soziale Medien und andere Plattformen, um ihre Angriffe zu verbreiten. Phishing ist heute eine globale Bedrohung, die sich ständig weiterentwickelt und zunehmend schwieriger zu erkennen ist. Durch den Einsatz von Technologien wie Künstlicher Intelligenz und maschinellem Lernen haben Angreifer ihre Methoden weiter verfeinert und automatisiert.

Auswirkungen von Phishing auf Unternehmen und Mitarbeiter

Die Auswirkungen von Phishing können für Unternehmen und deren Mitarbeiter verheerend sein. Ein erfolgreicher Phishing-Angriff kann zu erheblichen finanziellen Verlusten, Reputationsschäden und rechtlichen Konsequenzen führen. Unternehmen können gezwungen sein, hohe Geldstrafen zu zahlen oder in teure Schadensbegrenzungsmaßnahmen zu investieren. Darüber hinaus kann ein Phishing-Angriff sensible Unternehmensdaten kompromittieren, was zu weiteren Sicherheitslücken und potenziellen Angriffen führen kann.

Für Mitarbeiter kann ein Phishing-Angriff ebenfalls schwerwiegende Folgen haben. Sie könnten unwissentlich ihre eigenen oder die Daten des Unternehmens preisgeben, was zu Disziplinarmaßnahmen oder sogar zur Entlassung führen kann. Zudem kann ein Phishing-Angriff das Vertrauen der Mitarbeiter in die Sicherheit der IT-Systeme eines Unternehmens untergraben, was sich negativ auf das Arbeitsklima und die allgemeine Produktivität auswirken kann.

Informationssicherheit: Mobiles Arbeiten

Alle Informationen zum mobilen Arbeiten & Homeoffice

Jetzt eTraining „Mobiles Arbeiten“ testen   

Komprimittierung geschäftlicher E-Mails (BEC)

Ein weiteres ernsthaftes Problem im Zusammenhang mit Phishing-Angriffen ist die Kompromittierung geschäftlicher E-Mails, auch bekannt als Business Email Compromise (BEC). BEC ist eine Art von Cyberangriff, bei dem Kriminelle Zugang zu einem geschäftlichen E-Mail-Konto erlangen, um betrügerische E-Mails im Namen des Kontoinhabers zu versenden. Ziel solcher Angriffe ist es oft, Geldtransfers zu veranlassen oder vertrauliche Informationen zu stehlen.

BEC-Angriffe sind besonders gefährlich, weil sie in der Regel von hochrangigen Mitarbeitern oder Führungskräften ausgehen, deren E-Mails in der Regel nicht hinterfragt werden. Die Angreifer können beispielsweise eine E-Mail an die Buchhaltung senden, die scheinbar von einem Geschäftsführer stammt, und die Überweisung großer Geldbeträge auf ein betrügerisches Konto anordnen. Diese E-Mails sind oft so geschickt verfasst, dass sie kaum von echten E-Mails zu unterscheiden sind.

Der Schutz vor BEC-Angriffen erfordert eine Kombination aus technologischen und organisatorischen Maßnahmen. Technologisch gesehen sollten Unternehmen erweiterte E-Mail-Sicherheitslösungen einsetzen, die in der Lage sind, ungewöhnliche Aktivitäten in E-Mail-Konten zu erkennen, wie z. B. ungewöhnliche Login-Standorte oder verdächtige Änderungen an E-Mail-Weiterleitungsregeln.

Organisatorisch gesehen sollten klare Prozesse für finanzielle Transaktionen und sensible Anfragen etabliert werden. Beispielsweise könnte eine Anweisung zur Überweisung großer Beträge immer eine mündliche Bestätigung durch eine zweite Person erfordern, selbst wenn die E-Mail scheinbar von einem autorisierten Absender stammt. Auch regelmäßige Schulungen, die speziell auf die Bedrohungen durch BEC abzielen, können dazu beitragen, das Risiko zu verringern.

Phishing & Homeoffice

Mit der zunehmenden Verbreitung von Homeoffice-Arbeitsplätzen hat sich die Art und Weise, wie Phishing-Angriffe durchgeführt werden, weiterentwickelt. Während Unternehmen ihre Büros oft mit robusten Sicherheitsmaßnahmen schützen, sind die Heimarbeitsplätze der Mitarbeiter häufig weniger gesichert und bieten Cyberkriminellen neue Angriffsflächen. Dies macht das Homeoffice zu einem bevorzugten Ziel für Phishing-Angriffe.

Ein großer Teil der Sicherheitsproblematik im Homeoffice liegt in der Nutzung persönlicher Geräte für berufliche Zwecke. Diese Geräte verfügen möglicherweise nicht über die gleichen Sicherheitsvorkehrungen wie Unternehmensgeräte. Zudem werden Heimnetzwerke häufig nicht mit derselben Sorgfalt geschützt wie Unternehmensnetzwerke, was sie anfälliger für Angriffe macht.

Phishing-Angriffe im Homeoffice sind oft darauf ausgelegt, die Isolation und das Gefühl der Dringlichkeit auszunutzen, das viele Mitarbeiter empfinden. Beispielsweise könnten Angreifer gefälschte E-Mails versenden, die angeblich vom IT-Support stammen, und um die Bestätigung von Zugangsdaten bitten, unter dem Vorwand, es gäbe ein Problem mit der Verbindung zum Unternehmensnetzwerk. In der Abgeschiedenheit des Homeoffice fehlt oft der direkte Austausch mit Kollegen, der im Büro für Rückversicherung sorgen könnte, ob eine Anfrage legitim ist oder nicht.

Um Phishing im Homeoffice zu bekämpfen, sollten Unternehmen klare Richtlinien und Schulungen anbieten, die auf die spezifischen Herausforderungen des Homeoffice eingehen. Dazu gehört die Verwendung von VPNs (Virtual Private Networks), die Absicherung von Heimnetzwerken und die Schulung der Mitarbeiter im Erkennen von Phishing-Versuchen, die auf Remote-Arbeitende abzielen. Zudem sollten Unternehmen sicherstellen, dass die Sicherheitssoftware auf allen Geräten, die für die Arbeit verwendet werden, aktuell ist.

Psychologie hinter Phishing-Angriffen

Phishing-Angriffe sind oft erfolgreich, weil sie die menschliche Psychologie geschickt ausnutzen. Angreifer setzen auf Emotionen wie Angst, Gier, Dringlichkeit und Neugier, um ihre Opfer zu täuschen. Eine gängige Methode besteht darin, das Opfer glauben zu lassen, dass eine sofortige Aktion erforderlich ist, beispielsweise durch eine E-Mail, die behauptet, dass das Bankkonto des Opfers gesperrt wurde oder eine dringende Rechnung bezahlt werden muss.

Darüber hinaus nutzen Phishing-Angreifer soziale Manipulationstechniken, um Vertrauen aufzubauen. Sie imitieren bekannte Marken, Unternehmen oder sogar persönliche Kontakte des Opfers, um Glaubwürdigkeit zu erlangen. In einigen Fällen führen sie gezielte Angriffe durch (sogenanntes Spear-Phishing), bei denen sie spezifische Informationen über das Opfer sammeln, um ihre Täuschung noch überzeugender zu gestalten.

Phishing-Angriffe auf spezifische Branchen

Während jedes Unternehmen potenziell Ziel von Phishing-Angriffen sein kann, gibt es bestimmte Branchen, die besonders häufig ins Visier genommen werden. Dazu gehören:

Finanzdienstleistungen
Banken und Finanzinstitute sind ein Hauptziel für Phishing-Angriffe, da sie große Mengen sensibler Daten verwalten und Kriminelle oft auf finanzielle Gewinne aus sind.
Gesundheitswesen
Krankenhäuser und andere Gesundheitsorganisationen speichern wertvolle medizinische Daten, die für Cyberkriminelle von großem Interesse sind. Der Verlust oder die Kompromittierung dieser Daten kann schwerwiegende Konsequenzen für die betroffenen Patienten und Einrichtungen haben.
Einzelhandel & E-Commerce
Diese Branche ist ebenfalls ein beliebtes Ziel, insbesondere während der Hochsaison für Online-Einkäufe. Kriminelle nutzen oft gefälschte Websites oder E-Mails, um Kunden dazu zu bringen, ihre Zahlungsinformationen preiszugeben.
Bildungseinrichtungen
Universitäten und Schulen sind zunehmend Ziele von Phishing-Angriffen, da sie oft weniger gut geschützt sind und wertvolle persönliche und finanzielle Daten von Studierenden und Mitarbeitern speichern.
Regierungsbehörden
Angriffe auf Regierungsbehörden können besonders gravierende Folgen haben, da sie nicht nur sensible Informationen kompromittieren, sondern auch nationale Sicherheitsinteressen gefährden können.
Industrie
In der Industrie werden zunehmend automatisierte Steuerungssysteme und das Internet der Dinge (IoT) eingesetzt. Phishing-Angriffe könnten darauf abzielen, Zugang zu diesen Systemen zu erlangen, um Produktionsprozesse zu sabotieren oder Sicherheitsprotokolle zu umgehen.

Phishing-Typen

Phishing ist ein Sammelbegriff für verschiedene Arten von Betrugsversuchen, bei denen Angreifer versuchen, an sensible Informationen zu gelangen. Zu den gängigsten Phishing-Typen gehören:

  1. E-Mail-Phishing:
    Dies ist die häufigste Phishing-Form. Die Angreifer senden dabei gefälschte E-Mails, die vorgeben, von einer vertrauenswürdigen Quelle zu stammen. Darin fordern sie den Empfänger auf, auf einen Link zu klicken oder Anhänge zu öffnen, die Malware enthalten.

  2. Spear-Phishing:
    Im Gegensatz zum Massen-E-Mail-Phishing zielt Spear-Phishing auf spezifische Personen oder Organisationen ab. Diese Angriffe sind in der Regel besser vorbereitet und glaubwürdiger, da sie auf Informationen basieren, die der Angreifer über das Opfer gesammelt hat.

  3. Whaling:
    Bei dieser Phishing-Form sind Angriffe gegen hochrangige Führungskräfte oder Entscheidungsträger innerhalb eines Unternehmens gerichtet. Da diese Personen oft Zugang zu sensiblen Informationen und finanziellen Ressourcen haben, sind sie besonders lohnende Ziele.

  4. Smishing:
    Phishing-Angriffe, die über SMS-Nachrichten durchgeführt werden. Die Nachrichten enthalten oft einen Link zu einer gefälschten Website oder fordern Empfänger auf, sofort zu antworten oder Informationen preiszugeben.

  5. Vishing:
    Hierbei werden Angriffe über das Telefon durchgeführt. Die Angreifer geben sich oft als vertrauenswürdige Institutionen aus, um das Opfer dazu zu bringen, persönliche Informationen zu kommunizieren.

  6. Clone Phishing:
    Bei dieser Methode kopieren die Angreifer eine echte E-Mail, die das Opfer zuvor erhalten hat, und fügen einen bösartigen Anhang oder Link hinzu, bevor sie sie erneut senden. Da die E-Mail auf einer echten Kommunikation basiert, ist das Opfer eher geneigt, darauf zu vertrauen.

Technologische Abwehrmechanismen gegen Phishing

Um sich gegen Phishing-Angriffe zu schützen, nutzen Unternehmen und Einzelpersonen eine Reihe von technologischen Abwehrmechanismen:

Filter-Mechanismen

Filter-Mechanismen

Moderne E-Mail-Filter können Phishing-Versuche erkennen und blockieren, bevor sie den Posteingang des Benutzers erreichen. Web-Filter blockieren den Zugriff auf bekannte Phishing-Websites.

Zwei-Faktor-Authentifizierung (2FA)

Zwei-Faktor-Authentifizierung (2FA)

Durch die Implementierung von 2FA wird es für Angreifer schwieriger, auf Konten zuzugreifen, selbst wenn sie die Zugangsdaten des Opfers erlangt haben. 2FA erfordert eine zweite Form der Authentifizierung, wie einen Code, der per SMS gesendet wird.

Antiviren- und Anti-Malware-Software

Antiviren- und Anti-Malware-Software

Diese Software kann Phishing-Mails und bösartige Links erkennen und blockieren, bevor sie Schaden anrichten können.

Schulungen und Sensibilisierung

Schulungen und Sensibilisierung

Technologische Abwehrmechanismen allein sind oft nicht ausreichend. Regelmäßige Schulungen und Sensibilisierungs-maßnahmen helfen Mitarbeitern, Phishing-Versuche zu erkennen und zu vermeiden.

Verantwortung des Managements bei der Bekämpfung von Phishing

Das Management spielt eine entscheidende Rolle bei der Bekämpfung von Phishing-Angriffen in einem Unternehmen. Es liegt in der Verantwortung des Managements, eine Kultur der Cybersicherheit zu fördern und sicherzustellen, dass alle Mitarbeiter die Risiken von Phishing verstehen und wissen, wie sie darauf reagieren sollen.

Implementierung von Sicherheitsrisiken
Führungskräfte sollten klare Sicherheitsrichtlinien festlegen und sicherstellen, dass diese regelmäßig aktualisiert werden. Dazu gehört auch die Regelung, wie auf Phishing-Versuche reagiert werden soll.

Regelmäßige Schulungen
Es ist unerlässlich, dass alle Mitarbeiter regelmäßig geschult werden, um die neuesten Phishing-Techniken zu erkennen und zu vermeiden. Diese Schulungen sollten praxisnah und auf die spezifischen Bedürfnisse des Unternehmens abgestimmt sein.

Förderung einer Sicherheitskultur
Das Management sollte die Wichtigkeit der Cybersicherheit auf allen Ebenen des Unternehmens betonen. Dies kann durch interne Kommunikation, Belohnungssysteme für sicherheitsbewusstes Verhalten und durch die Vorbildfunktion der Führungskräfte geschehen.

Bereitstellung von Ressourcen
Führungskräfte müssen sicherstellen, dass genügend Ressourcen zur Verfügung stehen, um effektive Sicherheitsmaßnahmen umzusetzen. Dazu gehören Investitionen in Technologien, Schulungen und spezialisiertes Fachpersonal.

Auf Phishing reingefallen: Was tun?

Wenn du oder jemand in deinem Unternehmen auf einen Phishing-Angriff hereingefallen ist, ist schnelles Handeln entscheidend, um den Schaden zu minimieren. Die Checkliste für schnelles Handeln bekommst du hier:

Jetzt Checkliste anfordern

Anmeldung

Fordere jetzt deine Checkliste für den Ernstfall an.

 

Phishing ist eine anhaltende Bedrohung, die sich ständig weiterentwickelt. Durch eine Kombination aus technologischem Schutz, Sensibilisierung und einem starken Management-Engagement können Unternehmen das Risiko erheblich reduzieren. Es ist unerlässlich, dass alle Mitarbeiter – von der Führungsebene bis hin zu operativen Einheiten – sich der Bedrohhung bewusst sind und wissen, wie sie sich schützen können.

 

Aktuelle Phishing-Versuche

Die neuesten Angriffe in unserem Phishing-Radar

 

10. Oktober

Die ING benötigt die aktuelle Telefonnummer

9. Oktober

Aktualisierung der Telefonnummer bei Targobank-Kunden erforderlich.

8. Oktober

Phishing-Mail erklärt bestätigtes Endgerät von Commerzbank-Kunden fälschlicherweise für ungültig

7. Oktober

Ungewöhnliche Aktivitäten bei Amazon-Kunden festgestellt

4. Oktober

Comdirect fordert zur Bestätigung vertraglicher Anpassungen auf
 

Skill-Gap-Analyse

Finde die passenden eTrainings für dein Team


Hoch
Mittel
Niedrig


Hoch
Mittel
Niedrig


Hoch
Mittel
Niedrig

 

Das könnte dich auch interessieren:

LMS

LMS – wichtige Tipps für die Einführung | WTT

Lernmanagementsysteme (LMS) sind aus dem Bildungsbereich nicht mehr wegzudenken. Sie unterstützen Unternehmen, Bildungseinrichtungen und Organisationen dabei, Schulungen und Weiterbildungsmaßnahmen effizient und effektiv zu verwalten. In diesem Blogbeitrag erfährst du alles, was du über LMS, seine Funktionen und die Nutzung wissen musst.
Mehr erfahren
Onboarding

Digitales Onboarding – so gelingt es | WTT

Digitales Onboarding von neuen Mitarbeitern gilt längst nicht mehr als bloße administrative Aufgabe. Es ist vielmehr ein strategischer Prozess, der entscheidend dazu beiträgt, dass neue Mitarbeiter schnell produktiv werden, sich in die Unternehmenskultur integrieren und langfristig zum Erfolg des Unternehmens beitragen können. Besonders das Konzept des digitalen Onboardings hat in den letzten Jahren stark an Bedeutung gewonnen, da es Unternehmen ermöglicht, diesen Prozess effizienter, flexibler und vor allem personalisierter zu gestalten.
Mehr erfahren
eLearning

Cyberkriminalität – so schützt du dich | WTT

In der Welt der Cyberkriminalität kämpfen Datenschützer und IT-Experten täglich an vorderster Front. Während Unternehmen und öffentliche Verwaltungen ihre Systeme mit modernster Software und strengen Einschränkungen schützen, bleibt eine entscheidende Sicherheitslücke oft vernachlässigt – die Schulung der Mitarbeiter. Erfahre, warum die Wissensvermittlung an Mitarbeiter ein entscheidender Faktor im Kampf gegen Cyberkriminalität ist.
Mehr erfahren

Die wichtigsten News für digitales Lernen

Die neuesten E-Learning-Inhalte, die nächsten StudioTalks, unsere aktuellen Auszeichnungen und weitere Neuigkeiten findest du hier.

Jetzt anmelden

portraits

Du hast eine Frage?
Unsere Experten helfen dir gerne weiter.

Expertengespräch