Dieser Beitrag wurde von Roxana Gnes der first frame networkers ag für secnovum verfasst.
«Hallo Herr/Frau Roxana! Wir aktualisieren derzeit unsere E-Mailserver Datenbank. Wir empfehlen Ihnen, KLICKEN SIE HIER, um zu verhindern, dass Ihr Konto MORGEN gesperrt wird oder Daten verloren gehen!»
Hatten Sie auch schon ein ähnliches E-Mail in Ihrem Posteingang? Zugegeben, das gefälschte E-Mail ist hier nicht schwierig zu erkennen – die komische Anrede und die Dringlichkeit, auf einen Link zu klicken, weisen auf ein Phishing-Mail hin. Doch erkennen Sie auch professionellere Phishing-Mails?
Phishing
Phishing ist beliebt und das Angriffsvolumen hat in den letzten Jahren exponentiell zugenommen. Mit Phishing bezeichnet man den Versand von gefälschten E-Mails, mit dem Ziel, Menschen dazu zu verleiten, Passwörter und persönliche Informationen preiszugeben. Gemäss IBM Security X-Force Threat Intelligence Index 2022 wurde der Grossteil der Cyberattacken im Jahr 2021 über Phishing-Mails eingeleitet (IBM, Security X-Force Threat Intelligence Index 2022 Full Report). Zu den häufigsten gefälschten Marken in der Schweiz zählen Postanbieter (Schweizerische Post, DHL), Telekomfirmen und E-Mail-Provider.
Das Risiko, einer Phishing-Attacke zum Opfer zu fallen, ist für Unternehmen heutzutage allgegenwärtig. Doch wie können sich Firmen vor Phishing-Attacken schützen bzw. vermeiden, Opfer eines solchen Angriffs zu werden?
Schutz vor Phishing-Attacken
Mittels moderner Sicherheitstechnologien kann ein Grossteil der Angriffe erkannt und blockiert werden, bevor schädlicher Code ausgeführt wird. Dennoch gibt es keine 100-prozentige Sicherheit, wie auch im nachfolgenden Beitrag von secnovum beschrieben: Sicherheitsfaktor Mensch. Denn der grösste Risikofaktor für die IT-Sicherheit von Unternehmen ist und bleibt der Mensch. Deshalb ist es von zentraler Bedeutung, die Mitarbeitenden im Unternehmen regelmässig zu informieren und sensibilisieren. Nachfolgend finden Sie einige Tipps, wie Mitarbeitende Phishing E-Mails erkennen können.
Wie unterscheide ich Phishing-Nachrichten von legitimen E-Mails?
Es gibt einige Grundsätze, wie man gefälschte von echten E-Mails unterscheiden kann.
- Layout, Rechtschreibung und Grammatik
Merkwürdige Satzstellungen und Rechtschreibfehler – hier sollten Sie misstrauisch werden. - Absenderadresse
Ein besonderes Augenmerk sollte auf die Absenderadresse gerichtet werden. Durch das Austauschen oder Weglassen von Buchstaben, versuchen sich Angreifende oftmals als legitime Organisation auszugeben. Beispiel: digitalsicher@secnovum.ch oder digitalsicher@se-covum.ch - Dringender Handlungsbedarf
Wenn in einer E-Mail dringender Handlungsbedarf signalisiert wird und Sie unter Druck gesetzt werden, gilt es Ruhe zu bewahren und die Aufforderung zu hinterfragen. Cyberkriminelle versuchen mit solchen Androhungen das kritische Denken des Opfers ausser Gefecht zu setzen. - Gefälschte Links
Angreifende versuchen oft die angeschriebene Person dazu zu verleiten, auf einen Link zu klicken. Dabei werden die Opfer auf eine gefälschte Webseite weitergeleitet. Prüfen Sie aus diesem Grund die Zieladresse immer genau, indem Sie den Link kopieren oder mit dem Mauszeiger darüberfahren. Wenn Sie sich nicht sicher sind, ob das E-Mail von einem legitimen Unternehmen stammt, können Sie allenfalls die offizielle Webseite manuell aufrufen. - Bösartige Anhänge
Mittels schädlicher Anhänge versuchen Cyberkriminelle bösartigen Code auszuführen oder Schadsoftware auf Ihrem Gerät zu installieren (Beispiel: Schadsoftware Emotet). Prüfen Sie deshalb immer die Absenderadresse und fragen Sie bei Unsicherheit beim Absender telefonisch nach, bevor Sie solche Anhänge öffnen.
Vom Dateiaustausch über E-Mail wird heutzutage grundsätzlich abgeraten. Durch eine falsche Adressierung, fehlenden Kennwortschutz und den Mangel an Kontrolle ist die Informationssicherheit nicht gewährleistet. File Transfer Lösungen bieten eine bessere Alternative zum Austausch von Dateien. Eine solche Lösung muss jedoch genau evaluiert und anschliessend auch verwaltet werden.
Sind Sie bereit Ihr Wissen zu testen? Dann versuchen Sie sich am Phishing-Test von «eBanking – aber sicher» (EBAS): EBAS - Phishing-Test.
Training von Mitarbeitenden
Zur Thematik Awareness Trainings von Mitarbeitenden gibt es unterschiedliche Studien. Erst kürzlich hat das Departement Informatik der ETH Resultate einer Phishing-Studie veröffentlicht. Dabei hat sich herauskristallisiert, dass die Mitarbeitenden durch simulierte Phishing-Attacken nicht widerstandsfähiger, sondern gerade anfälliger werden für Phishing (ETH Zurich, Phishing in Organizations).
Anderer Meinung dagegen ist Linus Neumann, welcher an der Konferenz vom Chaos Computer Club im Jahr 2019 die Ergebnisse seiner eigenen Analyse präsentierte. Seiner Ansicht nach zählen besonders die persönlichen Erfahrungen der Mitarbeitenden, wenn sie merken, dass sie auf eine Phishing-Kampagne reingefallen sind. Auch regelmässige Wiederholungen und verschiedene Angriffsszenarien haben einen grossen Lerneffekt. Ausserdem sollen Mitarbeitende ermutigt und belohnt werden, wenn sie sich bei der IT-Abteilung melden, wenn sie auf ein Phishing E-Mail aufmerksam wurden (media.ccc.de, Hirne Hacken).
Wichtig ist auch, dass sich Mitarbeitende bei der IT-Abteilung melden, wenn sie unsicher sind oder auf einen verdächtigen Link geklickt haben. Durch solche Meldungen kann intern kommuniziert und das Risiko, dass weitere Mitarbeitende ein schädliches Mail öffnen oder auf einen Link klicken, vermindert werden. Dieses positive Verhalten vom Personal sollte dringend gelobt und unterstützt werden.