Seit es das Internet gibt, existiert auch das sogenannte Phishing. Damit ist ein Fischen nach Kundendaten gemeint, welches von Cyberkriminellen vollführt wird. Weil Phishing per se nichts Neues ist und auch nichts, wofür es einen ultimativen Schutz gibt, ist es wichtig, dieses Thema vollumfänglich zu begreifen und sich vor dem Phishing mit effektiven Maßnahmen zu schützen.
In unserem heutigen Artikel betrachten wir das Phishing daher mit einer Lupe. Wir klären, worum es genau geht, welche Formen es vom Phishing gibt, und vor allem beleuchten wir das Thema aus Sicht von Unternehmer*innen. Daher beantworten wir abschließend auch die Frage, wie eben jene sich vor bösartigen Phishing-Angriffen schützen können und wo die Grenzen derartiger Schutzsysteme liegen.
Was ist Phishing?
Beim Phishing geht es darum, nach Informationen zu fischen. Angreifer versuchen häufig über gefälschte Websites und E-Mails Zugriff auf persönliche Logins der Kund*innen zu erhalten. Weil die nachgebauten Internetseiten und E-Mails dabei den Originalen verblüffend ähnlich sehen, ist Phishing auch heutzutage immer noch äußerst erfolgreich.
Das Problem dabei ist, dass gewöhnliche Kund*innen eines Unternehmens nicht unbedingt darauf achten, ob die Absender*innen einer E-Mail oder die URL einer Website wirklich korrekt sind. Das hat zum einen damit zu tun, dass viele Mail-Programme und Browser derartige Informationen ausblenden. Zum anderen ist es jedoch auch die Faulheit. Oder prüft ihr bei jeder einzelnen E-Mail, ob die Absender*innen korrekt sind? Vermutlich nicht.
Weil es mit etwas Raffinesse im Großen und Ganzen somit recht einfach sein kann, Daten von Kund*innen via Phishing zu ergaunern, gibt es auch heute immer noch viele Versuche diesbezüglich. Das sind dann meist simple E-Mails zum Zurücksetzen des Passworts oder Hinweise auf AGB-Änderungen, weshalb ein Login über eine bestimmte URL notwendig ist, damit alles wie gewohnt funktioniert. Angreifer*innen sind da kreativ, zum Glück oft aber auch sehr plump und dumm.
Warum ist Phishing für Unternehmen gefährlich?
Vor allem, weil es die eigenen Kund*innen betrifft und somit direkten Einfluss auf das Verhältnis zwischen Unternehmen und Kund*innen nimmt. Außerdem beschädigt es das Vertrauen in das jeweilige Unternehmen, selbst wenn selbiges rein gar nichts damit zu tun hatte. Weil Kund*innen am Ende immer erbost sein werden, fällt das Problem somit stets auch auf das Unternehmen zurück.
Natürlich nimmt es ebenso ganz direkten Einfluss. Wenn Daten von Kund*innen durch eine Phishing-Attacke ergaunert werden, ist das auch für die Unternehmen ein großer Ärger, die sich nun um die geschädigten Personen kümmern müssen. Wenn eine Phishing-Attacke bei einer Bank dafür sorgt, dass das Konto leer geräumt wird, so wird sich die betroffene Person zunächst an die Bank wenden. Die muss ihm dann mit Supportaufwand zur Seite stehen, um beispielsweise Konten zu sperren, Überweisungen zu stoppen oder andere Maßnahmen einzuleiten, um die Sache schnellstmöglich zu lösen.
Unternehmen erleiden durch Phishing-Versuche also vor allem den Nachteil, dass das Vertrauensverhältnis mit den eigenen Kund*innen geschädigt wird. Auf der anderen Seite haben sie anschließend den Aufwand im Support, Sperrungen oder Kontrollen durchzuführen und eventuell auch rechtliche Probleme, weil Kund*innen oft gar nicht klar ist, dass es kein Hack bei dem jeweiligen Unternehmen war, sondern sie selbst die Daten via Phishing preisgegeben haben.
Was können Unternehmen bei Phishing-Attacken tun?
Es gibt einige wichtige Schritte, die jedes Unternehmen vollziehen sollte, um seine eigene Kundschaft vor Phishing-Attacken zu schützen. Der erste und grundlegendste Schritt ist immer, auf akute Phishing-Versuche hinzuweisen. Ist bekannt, dass es derzeit zu vielen Phishing-Attacken kommt und Kund*innen betroffen sind, sollten diese sofort per E-Mail darüber in Kenntnis gesetzt werden. Nur so können sie eventuell eintreffende Mails mit gegebener Vorsicht betrachten und werden sie nicht einfach hinnehmen und blind auf Links klicken.
Dann gibt es noch den sogenannten DMARC-Eintrag. DMARC steht für Domain-based Message Authentication Reporting and Conformance und ist ein Protokoll zur E-Mail-Authentifizierung. Ohne jetzt zu technisch zu werden, erlaubt DMARC eine Prüfung, Protokollierung und einen sicheren Versand, indem E-Mails verifiziert werden müssen oder nur von bestimmten IP-Adressen des jeweiligen Unternehmens versendet werden können.
Das Wichtigste bei all dem ist jedoch, die eigenen Mitarbeiter*innen im Unternehmen entsprechend auszubilden, damit auch diese keinem Phishing-Angriff zum Opfer fallen. Es gibt Studien, die zeigen, dass Angestellte durchaus effektiv erkennen können, ob es sich um Phishing handelt, sie oft aber einfach nicht darauf achten. Im eigenen Unternehmen müssen daher alle entsprechend geschult werden. Außerdem sollte immer wieder klar sein, dass jede Anfrage potenziell auch Phishing sein könnte und dementsprechend betrachtet werden muss. Es soll ein Gespür dafür entstehen, Mails nicht blind hinzunehmen, wenn diese komisch wirken.
Es sind die kleinen Dinge, die entscheidend sind
Oft sind es kleine Aufmerksamkeiten, die eine Phishing-Attacke entlarven. Die meisten Angriffe sind zudem schlecht gemacht. Rechtschreibfehler und merkwürdige vielleicht sogar veraltete Logos sind da an der Tagesordnung. Dementsprechend offensichtlich ist der Phishing-Versuch häufig und somit sollte er schnell erkannt werden.
Natürlich muss im eigenen Unternehmen ebenfalls für entsprechende Sicherheit gesorgt werden, indem E-Mail-Postfächer geschützt, Mitarbeiter*innen geschult und Arbeitsrechner nicht mit Privatrechnern kombiniert werden. Auch firmeninterne VPNs spielen hier eine wichtige Rolle. Die Sicherheit in Unternehmen ist jedoch ein anderes Thema und ein ebenso komplexes.
Weil Phishing-Attacken tagtäglich sein können, müssen Kund*innen immer entsprechend darauf hingewiesen oder informiert werden. Genau wie Mitarbeiter*innen geschult werden können, um Phishing-Mails direkt zu erkennen, sind Unternehmen ebenso gefragt, ihre Kund*innen dafür zu sensibilisieren. Kleine Hinweise reichen, um den Personen immer wieder ins Gedächtnis zu rufen, dass es eine Phishing-Attacke sein könnte und eine Kontrolle für sich genommen schnell erledigt ist. Genau darum geht es am Ende. Sensibilität für die Details aufbauen, die Phishing für gewöhnlich schnell als solches entlarven.
by A-DIGITAL one
Unsere Herzen schlagen Digital, unsere Projekte leben Digital, unsere Kunden lieben und schätzen Digital! Die einzigartige digitale Performance, die wir seit 1999 an den Tag legen.
Mit unserem Team von über 45 Experten begleiten wir Sie auf Ihrem Weg der digitalen Transformation. Mit klaren Strategien, persönlicher Betreuung und exzellenter Ausführung entwickeln wir, innovativ und individuell, maßgeschneiderte digitale Lösungen, die performen und verkaufen können.