Phishing Mails erkennen und sinnvolle Schutzmaßnahmen

Erhalten Sie manchmal komische Mails von Amazon oder PayPal? Werden Sie öfter zu Zahlungen aufgefordert, die Sie gar nicht erwartet haben? Oder wird Ihnen eine Gutschrift eines Online-Shops angeboten? In diesen Fällen kann es sich um gefährliche Phishing E‑Mails handeln. Wir bieten Ihnen im Folgenden umfassende Informationen zu dieser Betrugsmasche, liefern eine Definition und bieten Ihnen sinnvolle Schutzmaßnahmen für Ihr Unternehmen und Ihre Mitarbeiter an.

Die folgenden Themen finden Sie auf dieser Seite:

Definition Phishing: Was wird darunter verstanden?
Wie funktioniert Phishing genau?
So können Sie Phishing-Mails erkennen
5 Tipps zum Schutz vor Phishing
Strategien zum Schutz Ihres Unternehmens

Definition Phishing: Was wird darunter verstanden?

Beim Phishing versuchen Cyber-Kriminelle über Spam-Mails oder gefälschte Webseiten an sensible Informationen zu kommen. Getarnt als Bank oder seriöser Dienstleister wie Amazon oder PayPal fordern sie ihre Opfer in E‑Mails mit falschem Absender zur Eingabe von persönlichen Daten auf. Mit diesen Informationen begehen sie Identitätsdiebstahl und versuchen beispielsweise die Konten ihrer Zielpersonen zu plündern. Dieses Vorgehen wird als Phishing definiert. Der Begriff Phishing setzt sich aus „Password Harvesting“ und „Fishing“ zusammen.

Wie funktioniert Phishing genau?

Phishing beginnt meist mit einer offiziell wirkenden E‑Mail, beispielsweise von einem Zahlungsdienstleister wie PayPal oder einer bekannten Marke wie Amazon. In der Nachricht wird der Empfänger zur Eingabe seiner Login-Daten auf einer externen Website oder auch in einem Formular direkt in der Mail selbst aufgefordert. Beim Klick auf den Link in der E‑Mail wird das Opfer auf eine gefälschte Seite weitergeleitet. Diese sieht oft täuschend echt aus: Die Betrüger gestalten sie im Corporate Design der echten Website des Anbieters. Auf der gefälschten Seite soll die Zielperson unter einem Vorwand ihre Daten eingeben. Manchmal wird auch beim Besuch der Website direkt Malware auf dem Computer installiert. Diese Szenarien werden oft unter dem Begriff Phishing zusammengefasst.

Es gibt allerdings diverse Phishing-Strategien. Hier ein Überblick über die am weitesten verbreiteten Betrugsmaschen:

Phishing durch E‑Mails, z.B. augenscheinlich von Amazon oder PayPal

Nachrichten von gefälschten Absendern sind meist Bestandteil einer Phishing-Attacke. Spam-Mails werden oft an eine große Zahl von Empfängern geschickt – So erhöht sich die Wahrscheinlichkeit, dass ein Opfer anbeißt. Die Anrede in den E‑Mails ist daher oft unpersönlich gestaltet, beispielsweise mit „Lieber Kunde“ statt mit dem Nachnamen. Da viele E‑Mailprogramme einen Spamfilter haben, müssen Betrüger ihre Nachrichten immer sorgfältiger gestalten. Achten Sie vor allem auf den Absender und hinterfragen Sie sich immer, ob Sie vom entsprechenden Anbieter eine Mail erwarten.

Phishing auf Webseiten

Spam-Mails leiten oft auf gefälschte Webseiten weiter. Diese sind meist Nachahmungen der Seiten vertrauenswürdiger Unternehmen wie Versicherungen oder Banken. Die Betrüger nutzen das Logo, die Schriftart, die Farben und das Layout der echten Seite des Anbieters, um die Besucher zu täuschen. Geben Sie hier keine Daten ein. Haben Sie stattdessen lieber die genau URL im Auge.

Spear-Phishing

Beim Spear-Phising werden keine Massen an Spam-Mails verschickt: Abgeleitet vom englischen Wort für „Speer“ geraten einzelne Personen oder Unternehmen in den Fokus der Cyber-Kriminellen. Die Betrüger sammeln Informationen über ihre Zielpersonen und nutzen diese zur Personalisierung ihrer Attacke. Das Sammeln von sensiblen Daten wird so noch effektiver und ist oft nur der Beginn einer Angriffskette. Eine Sonderform des Spear-Phishings ist Whaling („Walfang“), eine gezielte Attacke gegen eine hohe Führungspersönlichkeit wie den CEO eines großen Unternehmens.

So können Sie Phishing-Mails erkennen

Diese Tipps helfen Ihnen bei der Zuordnung von Spam-Mails:

Unpersönlichkeit: In Massen-Mails werden Sie als Empfänger nicht direkt angesprochen. Die Betrüger nutzen allgemeine Anreden wie „Sehr geehrter Kunde“.
Fehlen von Kundendaten: In echten Mails von Online-Shops und Co. sind oftmals Kundendaten wie Ihr Benutzername enthalten. Das ist bei Massen-Spam nicht der Fall.
Sprache: Phishing-Mails enthalten oft Rechtschreib- oder Grammatikfehler. Auch Umgangssprache, fehlende Umlaute, kyrillische Buchstaben oder der Einschub von englischen Sätzen sind Anhaltspunkte.
Dringlichkeit: Phishing-Mails täuschen oft dringenden Handlungsbedarf vor und nutzen drohende Formulierungen wie „Handeln Sie jetzt, oder Ihr Account wird unwiderruflich gelöscht.“.
Absender: Der angezeigte Absender der E‑Mail stimmt bei Phishing-Mails im HTML-Format oft nicht mit der Mail-Adresse überein. Bewegen Sie den Cursor Ihrer Maus über die Adresszeile und Sie sehen, ob sich hinter dem Absender eine andere Adresse versteckt.
Internet-Suche: Sie sind sich nicht sicher, ob es sich um eine Phishing-Mail handelt? Geben Sie in der Google-Suche Textpassagen aus der E‑Mail ein. So finden Sie bekannte Spam-Mails.

Sie haben eine Phishing-Mail erhalten? Melden können Sie die Nachrichten je nach Bundesland bei der Verbraucherzentrale oder auch bei der Polizei. Informieren Sie sich über Initiativen an Ihrem Wohnort.

5 Tipps zum Schutz vor Phishing

Mit diesen Strategien sichern Sie sich gegen Phishing ab:

Klicken Sie nicht auf Links in dubiosen E‑Mails, laden Sie keine Anhänge herunter und starten Sie keine Downloads.
Speichern Sie sich die Login-Seiten Ihrer Bank, Versicherung und Ihrer Lieblingsshops ab. Geben Sie Ihre Zugangsdaten nur auf diesen offiziellen Seiten ein.
Nutzen Sie die Logout-Funktion dieser Seiten, anstatt nur den Browser zu schließen.
Behalten Sie Ihr Bankkonto im Auge und prüfen Sie die einzelnen Abbuchungen. So können Sie schnell reagieren.
Installieren Sie regelmäßig Updates auf Computer und Smartphone. Diese schließen oft Sicherheitslücken.

Strategien zum Schutz Ihres Unternehmens

95% der Spionageangriffe auf Unternehmen nutzen Phishing oder Spear-Phishing. Schützen Sie Ihre Firma und finden Sie in unserem Portfolio das passende Angebot. Wir beraten Sie umfassend zu Präventions- und Sicherheitsmaßnahmen rund um das Thema Phishing. Wir gehen dabei stets auf die Lebenswelt Ihrer Mitarbeit ein und vermitteln wissen mit unserem didaktischen Konzept stets am lebenden Objekt und nicht mit trockenen Schulungsunterlagen.

Damit Sie sich ein Bild von unserem Service machen können, haben wir im Folgenden exemplarisch den Ablauf einer kompletten Phishing-Beratung inkl. passender Trainings für Sie zusammengestellt, die in vier Schritten abläuft.

Schritt 1: Kickoff mit Zielfestlegung

Kickoff

Zunächst müssen wir uns natürlich kennenlernen. In diesem Zusammenhang klären wir gerne über die Möglichkeiten der Beratung auf und geben Ihnen anhand unserer Expertise Input zu passenden Trainings, die zu Ihrer Branche und zu Ihren Mitarbeitern passen. Zudem planen wir mit Ihnen die kommende unternehmensinterne Kommunikation und führen beispielsweise das Thema mit Hilfe eines Awareness-Clips ein:

Schritt 2: Phishing-Simulation im ersten Durchlauf

Erste Phishing-Standortbestimmung

Bei einer Phishing-Standortbestimmung erhalten alle Beschäftigten zwei bis drei ungefährliche Phishing-Mails. Ihr Mitarbeiter werden zuvor aufgefordert, diese zu erkennen.So finden wir heraus, ob Ihre Mitarbeiter bereits für das Thema sensibilisiert sind und wie sie ggf. auf mögliche Betrugsfälle reagieren. Zudem erhalten Sie belastbare Daten darüber, welche Ansprachen in Ihrer Organisation besonders gut funktionieren und wie viele Informationen über Ihre Mitarbeiter in Business-Netzwerken abgegriffen werden können. Nach der Simulation werten wir die Ergebnisse aus und evaluieren zusammen mit Ihnen, wo die Ansatzpunkte für eine erhöhte Awareness liegen und wie sich als Unternehmen insgesamt noch sicherer aufstellen können.

Schritt 3: Phishing E‑Learning oder Workshop

Phishing E‑Learning, Workshop oder Webinar

Nun kommen die Mitarbeiter aktiv ins Spiel. In einem individuellen Workshop vor Ort oder remote per Webinar lernen Ihre Mitarbeiter den Ablauf von Phishing- und Spear-Phishing-Attacken kennen. Sie lernen Phishing-Mails zu identifizieren und wir erarbeiten gemeinsam Strategien zum Schutz Ihres Unternehmens. In unserem Grundlagenkurs Informationssicherheit lernen Ihre Mitarbeiter neben dem Thema Phishing auch weitere Betrugsstrategien und wirkungsvolle Schutzmechanismen kennen. Wir setzen dabei auf ein didaktisches Konzept, das die Inhalte nachhaltig ins Bewusstsein bringt.

Schritt 4: Erneute Phishing-Simulation zur Erfolgsmessung

Erneute Phishing-Simulation

In unserem exemplarischen Ablauf bildet eine erneute Phishing-Simulation den Abschluss. Haben Ihre Mitarbeiter die neu gelernten Inhalte verinnerlicht und reagieren nun konsequent auf Betrugsversuche? Wir finden es heraus und schauen, ob diese Sicherheitslücke in Ihrem Unternehmen geschlossen werden konnte.

Sie können unsere Angebote auch kombinieren. Das gilt sowohl für unser Angebot zum Phishing als auch zu anderen Inhalten, die wir Ihnen anbieten. Falls Sie dafür Bedarf sehen, lassen sich unsere Inhalte elegant verbinden und bspw. um das Thema Social Engineering oder Mobile Sicherheit ergänzen. Sprechen Sie uns gerne an, damit wir das passende Angebot für Sie gemeinsam entwickeln können.