Sicherheitsstrategien im Kampf gegen Phishing


Phishing ist eine digitale Betrugsmethode, bei der Angreifer durch gefälschte E-Mails oder Websites versuchen, an vertrauliche Informationen wie Passwörter und Kreditkartendetails zu gelangen. Da Phishing-Angriffe immer mehr zunehmen und erheblichen materiellen wie immateriellen Schaden verursachen, ist es wichtig, aufmerksam zu sein und entsprechende Sicherheitsmaßnahmen zu ergreifen. Selbst, wenn man ein ausgeprägtes Bewusstsein für die Gefahren von Phishing besitzt, ist es oft schwer, Phishing-Versuche zu erkennen, weil sie immer authentischer gestaltet sind.

Mails als Einstiegspunkt

Phishing-Mails bilden oft den Einstiegspunkt für Cyberkriminalität. In den meisten Fällen folgt ein solcher Angriff einem bestimmten Schema: 

  • Vorbereitung: Cyberkriminelle erstellen eine E-Mail, die täuschend echt wirkt, oft unter dem Deckmantel einer vertrauenswürdigen Quelle wie einer Bank oder einem bekannten Unternehmen.
  • Versand: Um die Erfolgschancen zu maximieren, verschicken die Angreifer die betrügerische E-Mail an eine Vielzahl potenzieller Opfer.
  • Köder: Die Nachricht beinhaltet in der Regel einen dringenden Handlungsaufruf, der den Empfänger z.B. auffordert, einen Link oder einen Anhang zu öffnen. 
  • Täuschung: Der geöffnete Link führt zu einer Website, die einer echten zum Verwechseln ähnlich sieht, und durch den geöffneten Anhang wird Malware heruntergeladen.
  • Datendiebstahl. Gibt das Phishing-Opfer die Anmeldedaten auf der gefälschten Seite ein, werden die Daten direkt an die Cyberkriminellen weitergeleitet. Falls der Betroffene den Anhang der E-Mail öffnet erfolgt in den meisten Fällen die Installation von Malware.
  • Systemzugriff: Mit den erbeuteten Daten sind die Angreifer in der Lage, weitere sensible Daten des Opfers zu stehlen, das System des Opfers zu kontrollieren und weitere schädliche Handlungen auszuführen.

Verdächtige E-Mails erkennen

Auch wenn sich Phishing-Methoden fortlaufenden weiterentwickeln und entsprechend schwerer zu identifizieren sind, lassen sich bei genauerem Hinsehen bestimmte Anzeichen ausmachen, die auf eine betrügerische E-Mail hinweisen können. 

  • Falsche E-Mail-Adressen: Die Absenderadresse mag zunächst authentisch erscheinen, doch oft nutzen Betrüger leicht modifizierte Adressen, die auf den ersten Blick nicht auffallen, wie z.B. support@bank.com anstelle von support@bank-security.com.
  • Dringlichkeit: Die Nachricht setzt den Empfänger unter Druck, unverzüglich zu handeln, etwa mit der Drohung, das Konto zu sperren.
  • Links zu gefälschten Websites: Die URL-Struktur weicht von der regulären Struktur der Ziel-Websites ab.
  • Unpersönliche Anrede: Die E-Mail nutzt eine allgemeine Anrede wie „Sehr geehrter Kunde“ statt des tatsächlichen Namens des Empfängers.

Sind Sie unsicher, ob eine E-Mail „echt“ ist, sollten Sie keinesfalls auf Links klicken oder Anhänge öffnen. Vergewissern Sie sich lieber telefonisch beim Absender, ob die E-Mail tatsächlich von ihm stammt, oder lassen Sie die E-Mail von der hauseigenen IT prüfen. 

Präventionsmaßnahmen gegen Phishing

Um sich und das Unternehmen vor den Gefahren eines Phishing-Angriffs zu schützen, ist es wichtig, dass alle Mitarbeitenden sensibilisiert sind und entsprechende Präventionsmaßnahmen ergriffen werden.  

  • Schulung und Bewusstsein: Regelmäßige Trainings und Phishing-Simulationen helfen, die Mitarbeitenden auf Phishing-Versuche vorzubereiten.
  • Anti-Phishing-Tools: Einsatz von fortschrittlichen Filtern und Software zur Erkennung verdächtiger E-Mails.
  • Sicherheitsrichtlinien: Klare Richtlinien und Verfahren für den Umgang mit verdächtigen E-Mails und Anfragen schaffen.
  • Regelmäßige Sicherheitsüberprüfungen: Überprüfungen und Tests von Sicherheitssystemen und Netzwerken zur Identifikation und Behebung von Schwachstellen.
  • Meldung und Analyse von Sicherheitsvorfällen: Einrichtung einer zentralen Meldestelle, die verdächtige E-Mails und Vorfälle untersucht.
  • Zugangskontrollen und Netzwerksicherheit: Strikte Kontrollen und Netzwerksegmentierung zur Schadensbegrenzung bei erfolgreichen Phishing-Angriffen.


Wichtig ist ein hohes Maß an Bewusstsein und Kenntnis über Phishing-Techniken. Schulungen und fortlaufende Sensibilisierung sind essenziell. Gerne unterstützen wir Sie im Rahmen von Inhouse-Schulungen in Zusammenarbeit mit der Certified Security Operations Center GmbH (CSOC), einem Joint Venture der dhpg IT-Services GmbH und der TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA. Die Analystinnen und Analysten der CSOC bieten auf Wunsch auch eine Rund-um-die-Uhr-Überwachung Ihres Netzwerks an, sodass Auffälligkeiten sofort erkannt und entsprechende Maßnahmen eingeleitet werden können. 

www.csoc.de 

Ähnliche Beiträge

24. Februar 2023

Haftet der GmbH-Geschäftsführer bei Geldtransfers aufgrund von Phishing-E-Mails?

Unter „Phishing“ versteht man den Versand gefälschter E-Mails, die den Empfänger dazu verleiten sollen, auf einen Betrug hereinzufallen, nämlich Finanzinformationen, Zugangsdaten oder andere sensible Daten preiszugeben. Das Oberlandesgericht Zweibrücken hatte sich in diesem Zusammenhang mit der Frage zu befassen, ob der GmbH gegen ihren Geschäftsführer ein Schadensersatzanspruch zusteht, wenn dieser durch betrügerische Phishing-E-Mails zu Geldüberweisungen zulasten der GmbH veranlasst wurde.
Cyber Security
Gesellschaftsrecht
12. August 2022

Phishing-Methode umgeht Zwei-Faktor-Authentifizierung

Dass man gerade bei E-Mails ein waches Auge haben sollte, um sich vor Betrügern zu schützen, die es auf persönliche Daten abgesehen haben, ist im besten Fall bekannt. Auch der sorgsame Umgang mit Zugangsdaten dürfte den meisten vertraut sein. In diesem Kontext spielt die Zwei-Faktor-Authentifizierung eine Rolle, bei der Nutzer mithilfe von zwei unabhängigen Komponenten ihre Identität nachweisen müssen. Nun ist eine neue Phishing-Methode bekannt geworden, die diese Zwei-Faktor-Authentifizierung umgeht.
Cyber Security
IT-Sicherheit
08. August 2019

Überall Hacker: Phishing, Ransomware und IT-Schwachstellen

Aktuell lauert die Gefahr von Cyberangriffen an jeder Ecke und eine Warnmeldung jagt die andere. Ob Phishing, Ransomware oder Spionage: Vorsicht ist geboten. Besonders betroffen sind aktuell Schulen, Krankenhäuser und Privatpersonen. Wir sagen Ihnen, wie Sie sich schützen können.
SOCaaS
IT-Sicherheit
Cyber Security
Zurück

Markus Müller

Diplom-Wirtschaftsinformatiker, Certified Information Systems Auditor (CISA), Certified Data Privacy Solutions Engineer (CDPSE)

Zum Profil von Markus Müller

Cyber Security IT-Sicherheit

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Durch das Laden des Podcast-Players erklären Sie sich damit einverstanden, dass Cookies durch Podigee gesetzt und dadurch Daten an diesen Anbieter übermittelt werden. Wir nutzen diese Daten, um die Zugriffe auf unsere Podcasts zu analysieren und die Wirksamkeit unserer Inhalte zu bewerten. Podigee verarbeitet die Daten auch zu eigenen Zwecken. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Podcast-Player laden