Hinweis: Zur Wiedergabe der Vorlesen-Funktion wird der Dienst von LinguaTec GmbH verwendet. Mit Aktivierung des Vorlesen-Buttons erteilen Sie Ihre Einwilligung darin, dass LinguaTec möglicherweise Ihre Nutzerdaten erhebt, nutzt und weiterverarbeitet.

Mitarbeiter im Visier von Phishing-Mails

Fakt: Mitarbeiter und Unternehmensdaten sind Ziel von Phishing.

© ProPK (auf Bild klicken zum Vergrößern)

Phishing-Mails stellen für Unternehmen ein hohes Sicherheitsrisiko dar. Dabei ist es nicht mehr die reine Flut an verdächtigen Mails. Es sind die immer raffinierteren Tricks der „Fischer“, denen drei von vier ungeschulten Mitarbeitern ins Netz gehen. Wir erklären Ihnen, worum es sich bei diesen E-Mails handelt und wie Sie Ihr Unternehmen vor Schäden schützen können.

Drei von Vier ungeschulten Mitarbeitern klickt auf verdächtigen Link

Wie groß die Gefahr ist, einem Täuschungsversuch ins Netz zu gehen, zeigt eine aktuelle Studie eines Sicherheitsunternehmens: Über alle Branchen und Unternehmensgrößen hinweg, würden 29,9 Prozent der ungeschulten Mitarbeiter wahrscheinlich auf einen verdächtigen Link klicken oder einer betrügerischen Anfrage nachkommen. Bei größeren Unternehmen mit mehr als 1.000 Mitarbeiterinnen und Mitarbeitern sind es sogar 31,1 Prozent. (Quelle: Phishing by Industry Benchmark Report 2022, KnowBe4, Inc.)

 

Gefälschte Mails werden im Namen seriöser Unternehmen oder Kunden verschickt

"Phishing-Mails" sind Nachrichten, die meist von einem vermeintlich seriösen Unternehmen versendet werden – das können auch „Kunden“ oder „Geschäftspartner“ sein. In den Mails werden die Empfänger dazu aufgefordert, private oder vertrauliche (Unternehmens-)Daten, Passwörter oder PINs preiszugeben. Dazu sollen die Empfänger meist einem Link folgen, welcher jedoch auf eine gefälschte Webseite führt, die der echten täuschend ähnlich ist. In manchen Fällen werden auch Vorgänge (wie nicht bezahlte Rechnungen/Mahnungen) fingiert, die dann eine dringende Überweisung rechtfertigen sollen.

 

Auch Identitätsdiebstahl kann Motiv von Phishing sein

Vor allem beruflichen Kontext werden per sogenanntem Spear-Phishing persönliche Daten von Vorgesetzten und Mitarbeitern zusammengetragen – oft auch schlicht über öffentlich zugängliche Quellen, wie Unternehmenswebsite, Blogs oder soziale Netzwerke. Diese Informationen werden dann z. B. für einen sogenannten CEO-Fraud missbraucht. Dabei geben sich die Betrüger als Vorgesetzter aus und weisen unter einem Vorwand z.B. kurzfristig eine Überweisung an.

Auch geben sich Cyberkriminelle als Kunden aus und versenden fingierte Rechnungen, in denen sie falsche Bankverbindungen (meist im Ausland) angeben.

 

Phishing-Mails erkennen

Phishing-Mails weisen in der Regel mindestens eines der folgenden Merkmale auf.

  • Der Text der Mail gibt dringenden Handlungsbedarf vor – oft in Verbindung mit einer Drohung (Kontosperrung, letzte Mahnung, Gerichtsverfahren oder Strafandrohung, …)
  • Die Mail scheint von einer bekannten Person oder Organisation zu stammen, jedoch kommt Ihnen das Anliegen des Absenders ungewöhnlich vor.
  • Sie werden aufgefordert, vertrauliche Daten wie die PIN für Ihren Online-Bankzugang oder eine Kreditkartennummer anzugeben oder diese Daten mit einer TAN zu bestätigen. Es soll kurzfristig Geld (ins Ausland) überwiesen werden.
  • Die E-Mail enthält Links oder Formulare.

 

Vier Tipps der Polizei zum Schutz für Unternehmen gegen Phishing

  • Informieren Sie Ihre Mitarbeiter regelmäßig über Phishing und die Betrugsmasche "CEO-Fraud".
    Achten Sie darauf, welche Informationen Sie über Ihr Unternehmen veröffentlichen.
  • Prüfen Sie die Absenderadresse und Anliegen in der E-Mail genau. Lassen Sie sich nicht unter (zeitlichen) Druck setzen.
  • Öffnen Sie keine Dateien, Anhänge oder Links von unbekannten Adressaten. Seien Sie auch misstrauisch, wenn es sich um Anhänge in E-Mails von scheinbar offiziellen Stellen handelt.
  • Folgen Sie keiner Aufforderung in E-Mails, Programme oder Dateien herunterzuladen (Starten Sie keinen Download über einen direkten Link). Seien Sie bei Zahlungsaufforderungen grundsätzlich misstrauisch.

Bevor Sie handeln: Prüfen Sie das Anliegen in einer E-Mail auf Plausibilität! Stellen Sie sich z. B. folgende Fragen, bevor Sie einer Aufforderung nachkommen: Erwarte ich einen Anhang? Ist diese Rechnung/Zahlungsaufforderung wirklich berechtigt und stimmen die Daten aus der Rechnung mit den bekannten Bankdaten überein? Fragen Sie im Zweifel beim Absender nach – nutzen Sie dafür immer die Ihnen bereits bekannten Kontaktdaten und niemals die Kontaktdaten aus der Mail und antworten Sie nicht auf die Nachricht.

 

Checklisten mit Handlungsempfehlungen bei Phishing und Ransomware

Gehen Sie nicht auf mögliche Geldforderungen ein, wenn Ihr PC gesperrt wird. Was Sie tun können, wenn Ihr Rechner mit einer Ransomware oder anderer Schadsoftware infiziert wurde, erfahren Sie in der Checkliste für den Ernstfall. Für Wirtschaftsunternehmen gibt es außerdem die Zentralen Ansprechstellen Cybercrime (ZAC) der Polizeien der Länder und des Bundes.

Zentrale Ansprechstelle Cybercrime (ZAC)

Handeln bei Ransomware-Infektion

 

Online-Betrüger werden immer raffinierter, um Passwörter und andere Zugangsdaten abzugreifen. Für Opfer von Phishing gibt die Checkliste des Bundesamts für Sicherheit in der Informationstechnik du der Polizeilichen Kriminalprävention entscheidende Hinweise für den Ernstfall.

Phishing-Schutz-Checkliste

 

Laden Sie sich unser passendes kostenloses Social Media Paket zur Bewerbung des Themas herunter:

Phishing-Fakt