Phishing ist eine der häufigsten Cyberbedrohungen im Unternehmensumfeld. Angreifer versenden gefälschte E-Mails, SMS oder Teams-Nachrichten, die den Empfänger dazu bewegen sollen, Schadsoftware herunterzuladen oder Passwörter und Zugangsdaten preiszugeben. Mögliche Ziele sind Erpressung, Kontoübernahme, Gelddiebstahl, Spionage, Rufschädigung,...
Laut Bitkom waren insgesamt 84 Prozent der Unternehmen in Deutschland im Jahr 2022 von Datenklau, Sabotage oder Spionage betroffen. Seitdem ist das Erstellen realistischer Phishing-Mails dank generativer KI noch einfacher geworden.
Effektive Anti-Phishing-Maßnahmen waren also nie wichtiger. Wir zeigen dir, wie du dein Unternehmen schützen kannst.
Phishing-Angriffe gehören technisch nicht zu den raffiniertesten Angriffsmethoden, aber zu den gefährlichsten. Wie alle Social-Engineering-Angriffe nutzen sie das menschliche Verhalten aus und manipulieren den Nutzer, damit er eine bestimmte Handlung ausführt.
Typische Phishing-Mails sind täuschend echt aussehende Paketbenachrichtigungen, E-Mails zum Zurücksetzen eines Passworts oder auch Fake-Nachrichten von bekannten Unternehmen wie Paypal.
Es gibt aber auch ausgeklügeltere Varianten: Der Angreifer kann zum Beispiel vorher über Social Media oder durch das Mitlesen der E-Mails private Informationen sammeln und die Phishing-Mail so individuell anpassen, dass das Opfer keine Chance hat, Verdacht zu schöpfen.
Letzteres wird vor allem für Spear-Phishing verwendet. Dabei wird eine bestimmte Person, meist ein Geschäftsführer oder Manager mit viel Verantwortung, gezielt angegriffen.
Typische Merkmale von Phishing-Mails sind folgende:
Aber nicht immer ist das offensichtlich: Echte Paketbenachrichtigungen von DHL werden normalerweise von [email protected] gesendet. Man muss die richtige E-Mailadresse kennen, um [email protected] oder [email protected] als Fake-Adressen zu erkennen. Es hilft, eine Liste der korrekten Absenderadressen von Unternehmen, von denen man häufig Mails empfängt, parat zu haben.
Es gibt einige Standard-Sicherheitslösungen, die dafür sorgen, das Phishing-Mails gar nicht erst im Postfach landen. Die meisten cloud-basierten E-Mail-Lösungen wie Google Mail, Microsoft 365 und auch On-Premise-Server wie Microsoft Exchange haben in der Regel bereits integrierte Tools zum Herausfiltern verdächtiger Mails.
Weitere kostenlose Standard-Protokolle bieten verschärften Schutz:
Das Sender Policy Framework ist eine Methode, um E-Mails zu authentifizieren. Dazu wird ein SPF-Eintrag erstellt, der eine Liste aller autorisierten Mail-Server erhält, die E-Mails im Namen deiner Domain versenden dürfen.
Die Domain ist der Teil der E-Mailadresse, die nach dem @-Zeichen kommt. Da das für E-Mails verwendete Standardprotokoll die Absenderadresse nicht authentifiziert, könnte ein Angreifer einfach eure Unternehmens-Domain angeben.
Ist eure Unternehmens-Domain zum Beispiel @beispiel.de, könnte der Angreifer den E-Mail-Header [email protected] verwenden, um damit eine schädliche Datei an einen eurer Mitarbeiter zu schicken. Der Mitarbeiter glaubt, Peter wäre auch Teil des Unternehmens, öffnet die Datei und schon war der Phishing-Angriff erfolgreich.
Mit einem SPF-Eintrag wird der Mail-Server des Angreifers allerdings mit der autorisierten Liste abgeglichen und fällt auf, sodass die Phishing-Mail nicht durchkommt.
DKIM ist ebenfalls eine Authentifizierungsmethode für E-Mail-Domains. Dafür generiert der E-Mai-Provider einen öffentlichen und einen privaten Schlüssel für eure Unternehmens-Domain. Der öffentliche Schlüssel kann von jedem E-Mail-Server verwendet werden, um zu prüfen, ob eine eingehende E-Mail der Domain mit dem privaten Schlüssel signiert ist. Ist sie das nicht, landet sie im Spam Ordner.
Das DKIM-Verfahren sorgt nicht nur dafür, dass ausschließlich authentifizierte Personen Deine Unternehmens-Domain verwenden, sondern garantiert als Nebeneffekt auch, dass die E-Mail während der Übertragung nicht verändert wurde. Die Schlüssel-Signatur dient wie ein fälschungssicheres Siegel.
DMARC ist eine Authentifizierungsmethode, die zusätzlich zu DKIM und SPF verwendet wird. Nachdem eine E-Mail mit den SPF- und DKIM-Einträgen abgeglichen wurde, bestimmt die DMARC-Richtlinie, ob die E-Mail blockiert, als Spam markiert oder zugestellt wird.
Auch ohne DMARC-Richtlinie, also nur mit DKIM und SPF, können E-Mails als Spam markiert werden. Mit DMARC gibt es allerdings klare, zuverlässige Anweisungen, sodass weniger Phishing-Mails durchkommen.
Trotz aller Sicherheitsprotokolle und
Spam-Ordner gibt es immer wieder E-Mails, die nicht als schädlich identifiziert
werden und dann doch im Postfach landen. Außerdem lassen sich E-Mail-Protokolle
nicht auf Phishing-Angriffe per SMS, Teams und Co. anwenden. Kommt Mail durch,
sind die Menschen die größte Schwachstelle deines Unternehmens - und das ist ja
auch das Ziel eines Social-Engineering-Angriffs.
Noch effektiver, als alle möglichen Schutzprotokolle gegen Phishing-Angriffe einzustellen, ist deshalb die regelmäßige Schulung und Sensibilisierung der Mitarbeiter.
Dazu dienen Workshops, in denen die Mitarbeiter lernen, wie sie Phishing-Mails erkennen, wie sie damit umgehen und was zu tun ist, wenn man eben doch auf den verdächtigen Link klickt.
Phishing-Simulationen sind in vielen Unternehmen mittlerweile gang und gäbe, da die Mitarbeiter dadurch aufmerksam bleiben. Gleichzeitig sieht die Unternehmensführung klar, ob Mitarbeiter (und sie selbst) auf Phishing-Mails hereinfallen und weitere Maßnahmen notwendig sind, oder nicht.
Eine Übersicht unserer Sicherheits- und Anti-Phishing-Schulungen findest du hier.
Mit Maßnahmen wie strikter Passwort-Hygiene und Zwei-Faktor-Authentifizierung bei sensiblen Zugängen kann das Risiko eines Phishing Angriffs stark verringert werden. Denn selbst wenn durch eine Phishing-Mail ein Passwort kompromittiert wird, kann der Angreifer damit nur wenig anfangen.
Passwort-Hygiene bedeutet unter anderem, Passwörter nicht mehrfach zu verwenden, sondern für jeden Zugang ein individuelles und am besten völlig unterschiedliches Passwort zu erstellen. Wird ein Passwort kompromittiert, das gleich für alle Social-Media-Accounts und das Online-Banking gilt, ist das ein deutlich größeres Problem, als wenn der Angreife “nur” das Paypal-Passwort herausfindet.
Denn hier kommt die Zwei-Faktor-Authentifizierung ins Spiel, die mittlerweile fast alle Zahlungsdienstleister nutzen. Das Passwort reicht jetzt nicht mehr, um sich anzumelden. Stattdessen muss die Anmeldung zusätzlich durch einen einmaligen Code, der an ein anderes Gerät oder E-Mail-Konto verschickt wird, bestätigt werden. Kennt der Angreifer nur das Paypal-Passwort, kann er sich also ohnehin nicht einloggen.
Beide Punkte sind also ein wichtiger Teil der Anti-Phishing-Strategie und sollten auch Teil der Sicherheitsschulung in deinem Unternehmen sein.