Was ist Phishing?

Unter dem Begriff Phishing versteht man den Versuch, Personen mit einer schädlichen E-Mail so zu täuschen, dass sie diese öffnen und eine Aktion ausführen. Dies gelingt, indem der Absender eine scheinbar vertrauenerweckende E-Mail-Adresse verwendet, z. B. von einem Ministerium, einem Zulieferer oder Kunden des Unternehmens.

Die E-Mail kann beispielsweise eine schädliche PDF- oder Word-Datei als Anhang enthalten, die nach dem Öffnen auf dem Computer Malware installiert. Es ist auch möglich, dass im Text der Phishing-E-Mail ein schädlicher URL-Link auftaucht. Klickt der Nutzer auf diesen Link, wird er auf eine Website geleitet, die auf den ersten Blick legitim erscheint. In Wahrheit wird sie nur dafür genutzt, um vertrauliche Informationen wie Nutzernamen und Passwörter zu stehlen oder Malware auf dem Gerät zu installieren.

Wie funktioniert das?

Um dies zu erreichen, nutzen Cyberkriminelle ganz einfach kompromittierte E-Mail-Konten oder manipulieren die E-Mail-Adresse des Absenders, um unerkannt zu bleiben. Und das ist überhaupt kein Hexenwerk. Dabei wird lediglich der E-Mail-Header so geändert, dass der Absender im Posteingang nicht als johndoe@beispiel.de, sondern als info@beispielbank.de erscheint.

Cyberkriminelle nutzen ganz einfach kompromittierte E-Mail-Konten oder manipulieren die E-Mail-Adresse des Absenders.

Leider überprüfen die E-Mail-Eingangsserver standardmäßig nicht, ob beispiel.de berechtigt ist, eine E-Mail im Auftrag von beispielbank.de zu senden. Bisher wurden bereits unzählige technische Lösungen vorgeschlagen und bereitgestellt, um diese Schwachstelle bei der E-Mail-Authentifizierung zu beseitigen, doch diese können sich nur langsam durchsetzen.1 Die Herausforderung besteht unter anderem darin, dass sowohl der Ausgangs- als auch der Eingangsserver richtig konfiguriert werden müssen, um Adressen entsprechend zu authentifizieren.

Phishing-Angriffe per E-Mail sind normalerweise Bestandteil groß angelegter E-Mail-Angriffe, bei denen Botnets kompromittierter Computer unzählige Nachrichten senden. 2016 stieg die Anzahl von Spam-E-Mails um 400 %. Dabei war nahezu die Hälfte aller weltweit verschickten E-Mails Spam.2 Mit der Bekämpfung des Necurs-Botnet konnte allerdings das Spam-Aufkommen 2017 um 50 % reduziert werden.3 Trotz dieser positiven Entwicklung sind E-Mails weiterhin das beliebteste Mittel zur Verbreitung von Malware.4

Welche Arten von Phishing gibt es?

Trügerisches Phishing: Das ist die häufigste Art des Phishing-Betrugs, bei der Cyberkriminelle sich als legitimes Unternehmen ausgeben oder eine vertrauenerweckende Domäne darstellen und so versuchen, personenbezogene oder Anmeldedaten zu stehlen. Diese Phishing-Methode läuft oft nach dem sogenannten „Gießkannenprinzip“ ab und wird kaum angepasst oder personalisiert. Angreifer hoffen, dass bei einer sehr großen Anzahl von E-Mails ausreichend Nutzer diese öffnen werden.

Zu dieser Betrugsmasche zählen beispielsweise E-Mails, die scheinbar von Banken an eine breite Zielgruppe gesendet werden, in der Hoffnung, dass einige der Empfänger Kunden dieser manipulierten Bank sind. Der Betreff dieser E-Mails signalisiert für gewöhnlich Dringlichkeit: „Ihr Bankkonto wurde kompromittiert – aktualisieren Sie umgehend Ihr Passwort“ oder „Überfällige Rechnung – jetzt zahlen, um gerichtliche Klage zu vermeiden.“ Wie zuvor beschrieben, entsteht der Schaden, sobald auf den Link geklickt oder der Anhang geöffnet wird.

„Ihr Bankkonto wurde kompromittiert – aktualisieren Sie umgehend Ihr Passwort“

Spear Phishing: Anders als bei allgemeinen Phishing-E-Mails werden die E-Mails beim Spear Phishing personalisiert. Der Absender passt die E-Mail so an, dass sie den Namen, das Unternehmen oder den Titel des Empfängers enthält oder Kollegen oder Geschäftsbeziehungen erwähnt. Das Ziel ist allerdings dasselbe – den Empfänger dazu zu verleiten, auf einen schädlichen URL-Link zu klicken oder einen Anhang zu öffnen. Durch diese persönlichen Daten ist es sehr viel wahrscheinlicher, dass auf schädliche Inhalte auch reagiert wird. Und angesichts der unzähligen Business-Plattformen und sozialen Netzwerke ist es für Cyberkriminelle relativ einfach, persönliche Informationen in Erfahrung zu bringen, die dann überzeugend in die E-Mail eingebaut werden.

Whale Phishing/CEO Fraud/Business Email Compromise (BEC): Diese Phishing-Methode zielt auf die Führungskräfte von Unternehmen ab und will dem englischen Wortursprung nach (Whale = Wal) die größtmöglichen Fische an den Haken bekommen und deren Anmeldedaten stehlen. Ist dies gelungen, geben sich Cyberkriminelle als die Führungskraft aus, betreiben sogenannten CEO Fraud mittels Business Email Compromise (BEC) und autorisieren Überweisungen oder andere wichtige Aktionen. Ein Beispiel dafür wäre die dringende E-Mail „von“ einer CEO an das Finanzteam, in der sie einen Geldtransfer autorisiert, da sie gerade beruflich in China ist und dringend eine ausstehende Rechnung an eine Lieferanten vor Ort zahlen muss. Zwischen 2014 und 2016 waren 12.000 Unternehmen von CEO Fraud betroffen, was Kosten in Höhe von 2 Mrd. US-Dollar verursachte.5

Zwischen 2014 und 2016 waren 12.000 Unternehmen von CEO Fraud betroffen, was Kosten in Höhe von 2 Mrd. US-Dollar verursachte.

Minimieren der Risiken durch Phishing

Das schwächste Glied in der Kette sind die fehlenden Grundlagen der Mitarbeiter. Beim Phishing muss ein Nutzer auf etwas Schädliches klicken oder es öffnen. Die Schulung von Mitarbeitern zur Erkennung, Vermeidung und Meldung der verschiedenen Phishing-Methoden ist deshalb unerlässlich. Auch Übungen, bei denen Mitarbeitern Test-Phishing-E-Mails gesendet werden, können Nutzer effektiv darin schulen, zwischen echter Zuliefererkommunikation und Phishing-Mails mit Betreffzeilen wie „Wichtig: Rechnung angehängt – bitte öffnen” unterscheiden zu können. Unternehmen müssen ein Programm zur kontinuierlichen Weiterbildung einführen und Bewusstsein im gesamten Unternehmen schaffen.

Auch die Unternehmensführung muss geschult werden. Führungskräfte sind ebenso fehlbar wie ihre Mitarbeiter, doch ein Fehltritt in Sachen Sicherheit durch die Unternehmensführung hat weitaus größere Folgen. Stellen Sie sicher, dass auch Führungskräfte an Ihrem Programm für Fort- und Bewusstseinsbildung teilnehmen, da Whale Phishing, CEO Fraud und Business Email Compromise (BEC) weiterhin auf dem Vormarsch sind und Cyberkriminelle immer erfahrener werden.

Auch die Unternehmensführung muss geschult werden.

Prüfen Sie Ihre Finanzprozesse. In der heutigen hypervernetzten und anspruchsvollen Welt steigen Geschäftskosten unaufhörlich. Dementsprechend müssen hohe Geldbeträge immer häufiger und dringender rund um den Erdball überwiesen werden. Dabei wird ein unterschiedliches Maß an Strenge angewendet und/oder akzeptiert. Informieren Sie sich über Prozesse, die überprüfen, ob solche Überweisungen rechtmäßig sind. Niemand möchte eine Führungskraft verärgern oder Aktionen in Frage stellen, doch wenn nicht Hunderttausende an Euros aus den Unternehmenskassen gespült werden sollen, ist absolute Vorsicht geboten.

Verwenden Sie eine mehrschichtige Sicherheit. Angesichts der Tatsache, dass Cyberkriminelle alles daransetzen werden, Ihre Sicherheitsvorkehrungen zu umgehen, und ihre Taktik kontinuierlich ändern, ist eine umfassende Verteidigungsstrategie empfehlenswert. Sinnvoll ist hierbei ein E-Mail-Filter, der alle eingehenden E-Mails scannt. So wird schon ein Großteil der Phishing-Versuche blockiert. Installieren Sie ein Anti-Virus-Produkt auf Endpunkten, das auch Phishing-Schutz beinhaltet. Nutzen Sie nicht zuletzt noch eine Lösung, die ausgehende Webanfragen unter die Lupe nimmt, wenn ein Nutzer auf einen schädlichen Link klickt. Das kann entweder eine DNS- oder proxybasierte Lösung sein.

Der Einsatz einer tiefgründigen Verteidigungsstrategie ist eine bewährte Best Practice.

Aktivieren Sie Multi-Faktor-Authentifizierung Selbst wenn Sie alle der oben genannten Vorkehrungen treffen, besteht immer noch die Möglichkeit, dass ein Phishing-Angriff erfolgreich ist und Nutzername und Passwort eines Mitarbeiters gestohlen werden. Um dieses Risiko zu vermeiden, sollten Sie eine Multi-Faktor-Authentifizierung einsetzen, um sicherzustellen, dass, selbst wenn Anmeldedaten gestohlen wurden, Hacker nicht auf Anwendungen, Dienste und vertrauliche Daten zugreifen können.


1 https://luxsci.com/blog/state-domain-based-email-authentication-part-1.html
2 https://www.ibm.com/security/data-breach/threat-intelligence-index.html
3 https://www.proofpoint.com/sites/default/files/pfpt-us-tr-q117-threat-report.pdf
4 http://www.verizonenterprise.com/verizon-insights-lab/dbir/2017/
5 https://www.ft.com/content/19ade924-d0a5-11e5-831d-09f7778e7377
6 https://www.ibm.com/security/data-breach/threat-intelligence-index.html
7 https://www.symantec.com/security-center/threat-report
8 https://www.symantec.com/security-center/threat-report
9 https://www.symantec.com/security-center/threat-report
10 https://www.proofpoint.com/us/human-factor-2017
11 https://www.proofpoint.com/us/human-factor-2017