Cyber Security Awareness, Cyber Security Gefahren

Guide: Was tun bei einem Phishing-Angriff? | 6 Tipps zum Erkennen von Phishing-Mails

16 September 2022 · 9 Min

Groß angelegte Cyberangriffe haben in den vergangenen Jahren unzählige Organisationen auf der ganzen Welt getroffen – und viele weitere alarmiert. Darunter waren schlagzeilenträchtige Attacken wie NotPetya, der SolarWinds-Angriff und die log4j-Schwachstelle. Die Ereignisse zeigen: Wir sehen uns heute einer innovativen Dark Economy gegenübergestellt, in der Cybercrime-as-a-Service ein gängiges Geschäftsmodell ist und Phishing-Angriffe – trotz technologischer Fortschritte bei ihrer Erkennung – häufiger und ihre Folgen weitreichender werden. 

Durch die Pandemie hat sich die Bedrohungslage weiter verschärft. Die Einführung von hybriden Arbeitsmodellen hat unseren Arbeitsalltag grundlegend verändert. Die meisten Mitarbeitenden können zuhause nicht das gleiche Level an Cybersicherheit aufrechterhalten wie im Büro. In vielen Fällen verbinden sich Mitarbeitende so beispielsweise mit ihren privaten Geräten mit den Unternehmensnetzwerken, was die Wahrscheinlichkeit von erfolgreichen Phishing-Angriffen erhöht. Hybride und mobile Arbeitsmodelle werden uns aber wohl längerfristig erhalten bleiben – auch über die Pandemie hinaus. Und das alles, während sich Angriffstaktiken wie Phishing kontinuierlich weiterentwickeln: Das ThreatLabz-Forschungsteam von Zscaler hat im Jahr 2021 im Vergleich zu 2020 einen Anstieg von Phishing-Angriffen um 29 Prozent festgestellt. 

Der Mensch ist und bleibt dabei das primäre Einfallstor für Kriminelle: Mehr als 82 Prozent aller Angriffe gehen auf den Faktor Mensch zurück. In unserem Human Risk Review 2022 haben wir über 4,3 Millionen simulierte Angriffe aus dem Jahr 2021 anonym ausgewertet. Die Daten zeigen, dass zwei von drei Personen Phishing-Mails öffnen, und fast jede dritte Person auf Links, Anhänge oder andere schädliche Inhalte klickt. 

Phishing ist damit eine ernsthafte Bedrohung sowohl für Mitarbeitende als auch für Organisationen. Denn oft kommen Phishing-Angriffe Unternehmen teuer zu stehen. Deshalb ist es wichtig, dass Mitarbeitende lernen, wie sie Sicherheitsrisiken frühzeitig abwenden können. Dieser Guide soll Mitarbeitenden helfen, Phishing-Mails in ihrem Postfach zielsicher zu erkennen – und abzuwehren. 

Schauen wir uns zunächst aber einmal an, was ein Phishing-Angriff eigentlich ist. 

Was ist ein Phishing-Angriff?

Phishing ist eine Art von Social-Engineering-Angriff, der meist per E-Mail durchgeführt wird. Eine E-Mail wird an eine Empfängerin oder einen Empfänger gesendet, um diese Person dazu zu bringen, etwas Bestimmtes zu tun, zum Beispiel auf einen Link zu klicken, einen Anhang zu öffnen oder sensible Daten wie Kreditkartennummern und Anmeldedaten preiszugeben. Cyberkriminelle nutzen Phishing-Mails gerne und oft, weil sie leicht zu erstellen, kostenlos und zugleich sehr effektiv sind. Mit wenig bis gar keinem Aufwand können sich Hacker so schnell Zugang zu wertvollen Daten verschaffen, diese weiterverkaufen oder Lösegeldforderungen stellen. 

Eine andere häufig genutzte Art von Phishing-Angriffen ist Vishing, bei denen Cyberkriminelle die gleiche Taktik per Telefon verfolgen. Sie verwenden dabei stimmverändernde Software, um Nutzende dazu zu bringen, persönliche Informationen preiszugeben. Sogenannte Smishing-Angriffe erbeuten sensible Informationen derweil per SMS. Seit der Pandemie werden darüber hinaus auch Kollaborationstools in großem Umfang für Cyberangriffe genutzt. Cyberkriminelle versuchen nun verstärkt, Mitarbeitende auf den täglich genutzten Plattformen wie Microsoft Teams und Slack anzugreifen

Auch bei vielen Ransomware-Angriffen auf Lieferketten steht am Anfang Phishing: Ein bemerkenswerter Fall war der Kaseya-Angriff im Juli 2021, bei dem eine Reihe von Managed Service Providern (MSPs) und deren Kunden Opfer eines Ransomware-Angriffs wurden. Dieser Angriff verursachte bei mehr als 1.000 Organisationen beträchtliche Ausfallzeiten. Vorfälle mit solch schwerwiegenden Folgen verdeutlichen, dass Angestellte im Kampf gegen Cyberkriminalität ein aktiver Teil der Lösung sind und dass eine starke Sicherheitskultur in jeder Organisation unerlässlich ist.

Die häufigsten Arten von Phishing-Angriffen per E-Mail in Organisationen

E-Mail-Phishing-Angriffe, die mitunter auch in Verbindung mit Vishing, Smishing oder anderen Formen von Cyberangriffen auftauchen, gibt es in jeglichen Formen und Größen. Alle Angestellten einer Organisation, einschließlich der Führungsebene, können ihnen zum Opfer fallen. Die beliebtesten Methoden unter Hackern, Malware-Developern und anderen Angreifenden sind: 

1. Massen-Phishing

Massen-Phishing ist eine der von Cyberkriminellen am häufigsten genutzten Arten von Phishing-Angriffen. Sie besteht im Wesentlichen darin, betrügerische E-Mails an so viele Personen wie möglich zu senden, um ihnen sensible Informationen zu entlocken. Sie sind weder personalisiert noch auf ein bestimmtes Unternehmen ausgerichtet. Kriminelle, die Tausende von Phishing-Mails verschicken, können so auch dann noch erhebliche Mengen an Informationen und hohe Geldbeträge erbeuten, wenn nur ein winziger Prozentsatz der Empfängerinnen und Empfänger der Attacke zum Opfer fällt. 

2. Spear-Phishing

Spear-Phishing ist eine raffiniertere Version des Phishings, da es auf bestimmte Personen, Unternehmen und Organisationen abzielt, um Zugang zu vertraulichen Daten zu erlangen. 

Dies erreichen Angreifende in der Regel, indem sie persönliche Daten des Opfers – wie Wohnort, Freundinnen und Freunde oder Arbeitgeber – zum Beispiel auf Social Media oder anderen Online-Plattformen ausspähen. Sie geben sich dann als Bekannte oder vertrauenswürdige Personen aus, um an sensible Informationen zu gelangen. 

Eine der häufigsten Spear-Phishing-Methoden ist der CEO Fraud, bei dem sich Angreifende als leitende Angestellte, häufig als CEO, ausgeben. Sie versuchen dabei, Mitarbeitende der Buchhaltungs- oder Personalabteilung dazu zu bringen, beispielsweise unerlaubte Überweisungen vorzunehmen oder vertrauliche Steuerdaten zu übermitteln. Ein berühmtes Beispiel ist der Fall Snapchat, bei dem versehentlich Angestelltendaten an Kriminelle gesendet wurden, nachdem ein Teammitglied auf eine Phishing-Mail hereingefallen war, die angeblich vom CEO stammte. 

3. Whaling

Whaling ist eine weitere Art von Cyberangriff, die auf das Top Management und Führungskräfte abzielt. Die Angreifenden senden eine legitim erscheinende E-Mail von einer scheinbar ebenso vertrauenswürdigen Quelle, häufig einem Mitarbeitenden, einem Partner oder einem Lieferanten. Die Führungskräfte werden darin aufgefordert, sensible Informationen wie Gehaltsdaten oder Kontonummern preiszugeben oder sogar eine Überweisung auf ein betrügerisches Bankkonto zu genehmigen.  

Ein aufsehenerregendes Beispiel ereignete sich im November 2020, als der Mitbegründer des australischen Hedgefonds Levitas Capital auf einen gefälschten Zoom-Link klickte, der Malware in seinem Netzwerk installierte. Die Angreifenden versuchten, mit gefälschten Rechnungen 8,7 Millionen Dollar zu stehlen. Obwohl sie letztendlich nur 800.000 Dollar erbeuten konnten, war der Imageschaden groß genug, um den größten Kunden von Levitas dazu zu bringen, die Geschäftsbeziehung zu beenden. Der Hedgefonds musste schließen.

6 praktische Tipps: Wie erkenne ich eine Phishing-E-Mail? 

Wir haben bereits besprochen, wie Phishing funktioniert und welche Folgen es sowohl für Angestellte als auch Organisationen haben kann. Schauen wir uns jetzt an, wie Mitarbeitende Phishing-Mails erkennen und so sicherer mit den Cyberbedrohungen umgehen können: 

1. Verlassen Sie sich nicht auf den angezeigten Namen – überprüfen Sie immer die E-Mail-Adresse.

Eine typische Masche der Cyberkriminellen ist es, den Anzeigenamen einer E-Mail zu ändern, um sich als eine bestimmte Organisation oder Person auszugeben, obwohl die E-Mail von einer völlig anderen Adresse aus versandt wird. Wenn die E-Mail von einer Organisation stammt, mit der Sie häufig in Kontakt stehen, können Sie die Absenderadresse mit früheren E-Mails der gleichen Organisation vergleichen. Wenn das nicht der Fall ist, überprüfen Sie die Adresse und stellen sicher, dass keine anderen Anzeichen wie Tippfehler oder seltsame Formulierungen vor „.com“ vorhanden sind. Hier ein Beispiel: 

Absender-Adresse einer E-Mail auf einem mobilen Gerät anzeigen lassen

Wenn Sie die Absenderdetails anzeigen möchten, gibt es dafür je nach verwendetem Gerät verschiedene Möglichkeiten. Auf Desktop-Geräten fahren Sie mit dem Mauszeiger über den Namen, ohne ihn anzuklicken. Auf mobilen Geräten können Sie die Details des Absenders anzeigen lassen, sobald Sie die E-Mail geöffnet haben. In der Regel befindet sich in der Kopfzeile ganz rechts dafür ein kleiner Pfeil, auf den Sie klicken können. Auf manchen Geräten können Sie den Namen der Absenderin oder des Absenders auch etwas länger gedrückt halten, um sich weitere Details anzeigen zu lassen. 

Absenderdetails auf einem Desktop-Gerät anzeigen lassen

2. Scheint die Begrüßung zu unpersönlich? Dann seien Sie auf der Hut.

Beim Massen-Phishing nutzen Cyberkriminelle unpersönliche Begrüßungen wie „Sehr geehrter Kunde“ oder „Sehr geehrte Damen und Herren“, um möglichst viele Personen anzusprechen. Das sollte Sie alarmieren: Wenn die Begrüßung in der E-Mail derart vage ist, handelt es sich wahrscheinlich um eine Betrugsmasche. Seriöse Organisationen werden normalerweise Ihren Vor- und Nachnamen verwenden. 

3. Achten Sie auf Rechtschreibfehler oder unnatürliche Sprache

Vertrauenswürdige Organisationen geben sich bei E-Mails an ihre Kunden normalerweise große Mühe. Auch wenn Hacker mit ihren Angriffen immer raffinierter werden, machen sie oft noch einfache Fehler, insbesondere beim Massen-Phishing. Wenn der Text viele Rechtschreib- oder Grammatikfehler enthält oder die Formatierung ungewöhnlich erscheint, ist die Wahrscheinlichkeit groß, dass es sich um eine betrügerische E-Mail handelt. 

Markierung einer dringenden Anfrage in einer E-Mail

4. Bleiben Sie ruhig, auch wenn die E-Mail scheinbar schnelles Handeln erfordert.

Bei den meisten Phishing-Angriffen werden die Menschen aufgefordert, schnell zu handeln, um eine Belohnung zu erhalten oder eine Strafe zu vermeiden. Diese emotionale Manipulation nennt man Social Engineering. Cyberkriminelle nutzen die Methode, um die Empfängerinnen und Empfänger zum Handeln zu bewegen, noch bevor diese Zeit haben, weiter nachzudenken und die E-Mail auf Rechtschreibfehler, Schwachstellen oder Ungereimtheiten zu analysieren. Versuchen Sie, bei wichtigen Anfragen ruhig zu bleiben und sehen Sie sich die E-Mail genau an, bevor Sie auf einen Link klicken oder sensible Informationen teilen. 

Markierung einer dringenden Anfrage in einer E-Mail

5. Geben Sie vertrauenswürdige Informationen nicht vorschnell heraus.

Das Ziel einer Phishing-Mail ist in der Regel, dass Opfer persönliche Daten eingeben oder eine Geldüberweisung vornehmen. Dafür können Spear-Phisher beispielsweise fingierte Anmeldeseiten erstellen, die sehr realistisch aussehen. Links in Phishing-Mails führen auf diese Seiten und die eingegebenen Daten landen anschließend direkt in den Händen der Kriminellen. Geben Sie also keine sensiblen Daten weiter, wenn Sie eine solche E-Mail erhalten, es sei denn, Sie sind sich zu 100 Prozent sicher, dass die E-Mail legitim ist. Im Zweifelsfall empfehlen wir Ihnen, sich direkt an die Organisation oder eine vertrauenswürdige Kontaktperson zu wenden, um sich die Legitimität bestätigen zu lassen. 

Login-Seite auf einem Mobilgerät

6. Untersuchen Sie unerwartete Anhänge oder verdächtige Links.

Phishing-Mails enthalten in der Regel Links, Anhänge oder Formulare, die die Zielperson des Angriffs öffnen soll. Wenn Dateien für die Arbeit gemeinsam genutzt werden, findet das heute meistens in Kollaborationstools wie Google Drive, OneDrive oder SharePoint statt. Wenn Sie eine E-Mail mit verdächtigen Links oder Anhängen erhalten, insbesondere wenn diese unbekannte Dateitypen enthalten, sollten Sie lieber zu vorsichtig sein und sich die Legitimität durch ein Teammitglied über die üblichen Kommunikationswege bestätigen lassen. 

Markierung eines verdächtigen Links in einer E-Mail

Wie können Organisationen und Mitarbeitende sich vor Phishing-Angriffen schützen?

Die Welt heute ist grundverschieden von dem, was noch vor wenigen Jahren Standard war. In jeder Organisation gibt es heute unweigerlich digitale Sicherheitsrisiken. Darum gilt nun: Die Sicherheitsmaßnahmen von Organisationen sind nur so gut wie ihre Sicherheitskultur insgesamt. Regelmäßige Schulungen der Mitarbeitenden sind ein wichtiger Beitrag zur Informationssicherheit von Unternehmen. 

Von lernpsychologisch fundiertem E-Learning bis hin zum Versand von Phishing-Simulationen, die von interaktiven Lernseiten begleitet werden, haben Organisationen mittlerweile zahlreiche Tools, um ihre Sicherheitskultur mit Leichtigkeit zu stärken. Die Awareness-Plattform von SoSafe minimiert menschliche Risiken nachhaltig. Testen Sie unsere Simulation in unserer Phishing-Demo, um mehr zu erfahren und sich selbst effektiver vor Online-Bedrohungen zu verteidigen.