Bestehen Bedenken im Hinblick auf VPN-Sicherheitslücken? Erfahren Sie, wie Sie von unserem VPN-Migrationsangebot inklusive 60 Tagen kostenlosem Service profitieren können.

Sprechen Sie mit einem Experten

Was ist Phishing?

Phishing ist eine Form von Cyberangriff, bei der Personen mithilfe von „Social Engineering“-Techniken dazu gebracht werden, vertrauliche Informationen preiszugeben oder Geldbeträge zu überweisen. Phishing-Angriffe sind in der Regel als harmlose Interaktionen getarnt, die die Opfer dazu verleiten, dem Angreifer zu vertrauen. Sie können den unterschiedlichsten Zwecken dienen, von finanziellem Profit bis hin zur Unternehmensspionage.

Zum Phishing-Report von ThreatLabz 2022

Wie funktioniert Phishing?

Der einfachste Weg, jemanden auszurauben, besteht vermutlich darin, die Opfer davon zu überzeugen, dass sie gar nicht bestohlen werden. Genau das ist das gängige Vorgehen der Phishing-Betrüger.

Phishing-Angriffe beginnen üblicherweise mit E-Mails, Telefonanrufen, SMS oder Social-Media-Beiträgen, die scheinbar von einer seriösen Quelle stammen. Danach kann der Angreifer alle möglichen Ziele verfolgen, beispielsweise das Opfer dazu verleiten, Kontodaten preiszugeben, eine PayPal-Überweisung vorzunehmen oder getarnte Malware herunterzuladen.

Ein gängiges Beispiel sieht wie folgt aus: Das Opfer erhält scheinbar eine E-Mail oder SMS von seiner Bank. In der Phishing-Nachricht wird ein auslaufendes Sonderangebot, ein möglicher Identitätsdiebstahl oder Ähnliches erwähnt und das Opfer aufgefordert, sich in seinem Bankkonto anzumelden. Der Link führt zu einer gefälschten Anmeldeseite, und das Opfer übermittelt dem Angreifer unwissentlich seine Zugangsdaten.

Wie bei den meisten Phishing-Angriffe besteht auch in diesem Beispiel dringender Handlungsbedarf, wodurch das Opfer seine Wachsamkeit vernachlässigt und nicht überprüft, ob die Nachricht verdächtig ist. Die gebotene Vorsicht an den Tag zu legen ist jedoch leichter gesagt als getan, denn die Angreifer haben eine ganze Reihe von Tricks auf Lager.

Arten von Phishing-Angriffen

Angreifer haben eine Vielzahl von Phishing-Techniken entwickelt, um verschiedene Technologien, Trends, Branchen und User auszunutzen. Hier ist ein Überblick über einige gängige Methoden:

  • E-Mail-Phishing: Mithilfe einer E-Mail von einem scheinbar legitimen Absender soll der Empfänger dazu verleitet werden, auf einen bösartigen Link zu klicken und/oder eine infizierte Datei herunterzuladen. E-Mail-Adressen und URLs in Phishing-E-Mails können durch Spoofing aussehen, als stammten sie von einer seriösen Quelle.
  • Smishing/SMS-Phishing: Per SMS versuchen Angreifer, Opfer dazu zu bringen, persönliche Informationen wie Kreditkartennummern, Kontonummern oder ähnliches preiszugeben.
  • Vishing/Voice-Phishing: Diese Angriffe werden über Telefonanrufe durchgeführt. Angreifer haben es wie beim Smishing auf Kreditkarteninformationen oder andere sensible Daten abgesehen.
  • Angler-Phishing: Angreifer geben sich in den sozialen Medien als bekannte Organisationen aus und bieten beispielsweise Geschenkkarten oder Rabatte an, um an die persönlichen Daten der Opfer heranzukommen.
  • Pop-up-Phishing: Bei dieser Methode wird meist auf Smartphones ein Angebot oder eine Warnmeldung in einem Pop-up-Fenster angezeigt. In der Regel ist ein schädlicher Link enthalten, der das Opfer dazu bringen soll, persönliche Daten zu teilen.
  • Spear-Phishing: Bei den meisten Phishing-Versuchen werden die Opfer zufällig ausgewählt, doch Spear-Phishing zielt auf ganz bestimmte Personen ab, zu denen die Angreifer bereits einige Informationen gesammelt haben. Dadurch steigt die Wahrscheinlichkeit, dass der Angriff erfolgreich ist.
  • Whaling: Angreifer versuchen, Informationen von Führungskräften oder anderen wichtigen Mitgliedern einer Organisation zu erhalten, um sich möglichst umfangreiche Zugriffsberechtigungen für die Zielumgebung zu verschaffen.
  • Clone-Phishing: Bei Clone-Phishing-Angriffen wird eine E-Mail von einem vertrauenswürdigen Absender, etwa von Finanzinstituten oder unternehmensnahen Dienstleistern, nachgeahmt. Es handelt sich um eine Weiterentwicklung des Spear-Phishings und ist eine gängige Taktik im Zusammenhang mit Business Email Compromise (BEC).
  • Evil-Twin-Phishing: Angreifer ködern ihre Opfer mit einem vertrauenswürdig erscheinenden WLAN-Hotspot und führen dann „Man-in-the-Middle“-Angriffe durch, bei denen sie die Daten abfangen, die Opfer über diese WLAN-Verbindung senden.
  • Pharming: Angreifer manipulieren einen DNS-Server (Domain Name System), sodass User auf eine bösartige, gefälschte Website umgeleitet werden, selbst wenn sie eine harmlose URL eingeben.

Wie gefährlich sind Phishing-Angriffe?

Groß angelegte Phishing-Angriffe können äußerst gefährlich sein und haben potenziell Auswirkungen auf Millionen von Menschen. Angreifer stehlen vertrauliche Daten, schleusen Ransomware oder anderen Schadcode ein und verschaffen sich Zugang zu den sensibelsten Bereichen der Unternehmenssysteme.

Zu den möglichen Folgen eines erfolgreichen Phishing-Angriffs gehören vor allem der Verlust oder die Kompromittierung sensibler Daten. Zudem haben Unternehmen mit Imageschäden und rechtlichen Konsequenzen zu rechnen.

Welche Auswirkungen hat Phishing auf Unternehmen?

Gerade für Unternehmen können die Folgen eines erfolgreichen Phishing-Angriffs weitreichend und schwerwiegend sein. Finanzielle Verluste durch kompromittierte Firmenkonten, Ransomware-Angriffe durch Datenverluste und massive Imageschäden durch die Offenlegung sensibler Daten sind nur die Spitze des Eisbergs.

Denn jeder der genannten Punkte kann noch gravierendere Konsequenzen nach sich ziehen. Cyberkriminelle könnten beispielsweise gestohlene Daten im Dark Web verkaufen, auch an skrupellose Konkurrenten. Auch müssen die meisten Verstöße gegenüber verschiedenen Aufsichtsbehörden offengelegt werden, die möglicherweise Geldstrafen oder andere Sanktionen verhängen. Vielleicht wird das Unternehmen sogar in Ermittlungen wegen Cyberkriminalität verwickelt – eine zeitaufwendige Angelegenheit, die negative Schlagzeilen mit sich bringt.

Wie schütze ich mein Unternehmen vor Phishing-Angriffen?

Glücklicherweise kann den meisten Arten von Phishing mit den richtigen Vorsichtsmaßnahmen wirkungsvoll begegnet werden:

  • Nutzen Sie effektive Cybersicherheitsmaßnahmen. Moderne Antiviren- und Anti-Phishing-Lösungen sowie wirkungsvolle Spam-Filter können viele Phishing-Versuche abwehren.
  • Sorgen Sie dafür, dass Betriebssysteme und Browser immer auf dem neuesten Stand sind. Softwareanbieter beheben regelmäßig neu entdeckte Sicherheitslücken in ihren Produkten und veröffentlichen Updates, damit Ihre Systeme stets geschützt sind.
  • Schützen Sie Ihre Daten mit automatischen Backups. Implementieren Sie einen Prozess zur regelmäßigen Sicherung der Systemdaten, damit Sie diese im Falle einer Sicherheitsverletzung wiederherstellen können.
  • Richten Sie eine erweiterte mehrstufige Authentifizierung ein. Zero-Trust-Strategien wie eine mehrstufige Authentifizierung schaffen eine zusätzliche Verteidigungslinie zwischen Angreifern und internen Systemen.
  • Schulen Sie alle User. Cyberkriminelle entwickeln ständig neue Strategien, und Ihr E-Mail-Sicherheitssystem kann nicht alle erkennen und abfangen. Ihre User und Ihr gesamtes Unternehmen sind sicherer, wenn alle User wissen, wie sie verdächtige E-Mails erkennen und Phishing melden.

Woran erkennt man Phishing?

Bei einem Phishing-Angriff sind diejenigen User am sichersten, die die Situation am besten einschätzen können und sich nicht in die Falle locken lassen. Eine kurze Zusammenfassung ist zwar kein Ersatz für eine gezielte Sicherheitsschulung, trotzdem finden Sie hier einige wichtige Erkennungsmerkmale von Phishing-Versuchen:

  • Unstimmigkeiten bei Domainnamen: E-Mail-Adresse und Webdomain sind nicht identisch. Wenn Sie beispielsweise eine E-Mail erhalten, die angeblich von einer bekannten Marke stammt, stimmt die E-Mail-Adresse eventuell nicht mit der Domain der Marke überein.
  • Rechtschreibfehler: Obwohl Phishing-Angriffe mittlerweile viel ausgeklügelter sind als früher, enthalten die Nachrichten nach wie vor häufig Rechtschreib- oder Grammatikfehler.
  • Ungewöhnliche Grußformeln: Manchmal deutet bereits der Stil einer Gruß- oder Schlussformel darauf hin, dass etwas nicht stimmt. Wenn ein Kollege in E-Mails normalerweise „Hallo!“ schreibt, Sie aber plötzliche eine Nachricht erhalten, die mit „Lieber Freund“ beginnt, ist das ein eindeutiges Warnzeichen.
  • Kurz und knapp: Phishing-E-Mails enthalten oft nur wenige Informationen und sind zweideutig, um Opfer in die Irre zu führen. Wenn zu viele wichtige Details fehlen, deutet das auf einen Phishing-Versuch hin.
  • Ungewöhnliche Anliegen: Eine E-Mail, in der Sie ohne weitere Erklärung aufgefordert werden, etwas Ungewöhnliches zu tun, ist ein deutliches Warnzeichen. Beispielsweise könnte eine Phishing-Nachricht so aussehen, als käme sie von Ihrem IT-Team, und Sie ohne Angabe von Gründen dazu auffordern, eine Datei herunterzuladen.

Phishing und Remote-Arbeit

In einer Umfrage unter IT-Sicherheitsverantwortlichen in Unternehmen aus dem Jahr 2021 gaben 80 % der Befragten an, dass Remote-Mitarbeiter einem größeren Risiko ausgesetzt sind, Opfer von Phishing-Angriffen zu werden. Dennoch verlassen sich viele Unternehmen noch immer auf schwache Sicherheitsprotokolle. Es wird erwartet, dass die meisten Unternehmen auch nach dem Abklingen der COVID-19-Pandemie zumindest einem Teil ihrer Belegschaft die Möglichkeit geben werden, remote oder hybrid zu arbeiten, was sie besonders angreifbar machen könnte.

Remote-Mitarbeiter nutzen zu Hause oft weniger ausgefeilte Sicherheitssoftware als im Büro und möglicherweise auch persönliche E-Mail-Programme oder andere Konten, die nicht vom IT-Team ihres Unternehmens verwaltet werden. Da sie sich außerhalb der Reichweite interner Unternehmenskontrollen befinden, sind Remote-Mitarbeiter außerdem nicht immer gezwungen, alle Sicherheitsmaßnahmen zu beachten. Für IT-Manager ist es folglich schwierig, wenn nicht gar unmöglich, die Einhaltung aller Regeln zu überwachen oder durchzusetzen.

Um im Zeitalter der Remote-Arbeit stets geschützt zu sein, benötigen Sie Sicherheitsvorkehrungen, die den Anforderungen Ihrer mobilen, verteilten Mitarbeiter gerecht werden.

Phishing-Schutz mit Zscaler

Die Kompromittierung von Usern ist eine der größten Herausforderungen im Bereich der Sicherheit, da sie auf der Ausnutzung der menschlichen Natur beruht. Um aktive Sicherheitsverletzungen zu erkennen und den Schaden zu minimieren, den erfolgreiche Angriffe verursachen können, müssen Sie wirksame Kontrollen zur Phishing-Prävention als Teil einer umfassenderen Zero-Trust-Strategie implementieren.

Die Zscaler Zero Trust Exchange™ basiert auf einer ganzheitlichen Zero-Trust-Architektur und stellt leistungsstarke Funktionen bereit, mit denen Unternehmen ihre Angriffsfläche verkleinern, Kompromittierung verhindern, die laterale Ausbreitung von Bedrohungen stoppen und Datenverluste unterbinden. Folgende Merkmale unterstützen Sie bei der Vermeidung von Phishing-Angriffen:

  • Angriffe werden verhindert: Durch Funktionen wie lückenlose TLS/SSL-Überprüfung, Browser-Isolierung und richtlinienbasierte Kontrollen werden Zugriffe auf schädliche Websites blockiert.
  • Laterale Ausbreitung wird gestoppt: Sobald sich Malware in Ihrem System befindet, kann sie sich verbreiten und noch mehr Schaden anrichten. Dank der Zero Trust Exchange verbinden sich User direkt mit den benötigten Anwendungen und nicht mit Ihrem Netzwerk, sodass sich Malware keinesfalls darin ausbreiten kann.
  • Insider-Bedrohungen werden unterbunden: Unsere Cloud-Proxy-Architektur verhindert, dass private Anwendungen ausgenutzt werden, und erkennt mithilfe der vollständigen Inline-Überprüfung selbst die ausgefeiltesten Angriffstechniken.
  • Datenverluste werden verhindert: Die Zero Trust Exchange überprüft sowohl ruhende als auch in Übertragung befindliche Daten, um potenziellen Datendiebstahl im Zuge eines laufenden Angriffs zu verhindern.

Erfahren Sie mehr über die Zero Trust Exchange und finden Sie heraus, wie eine vollständige Zero-Trust-Architektur dazu beitragen kann, Ihr Unternehmen vor Phishing-Angriffen zu schützen.

Empfohlene Ressourcen

  • Phishing-Report von ThreatLabz 2022 – Infografik

  • Webinar: Phishing-Trends im Fokus

  • AitM-Phishing-Angriff auf Unternehmenskonten in Gmail

Häufig gestellte Fragen

Wie erkennt man eine Phishing-E-Mail?

Phishing-E-Mails erkennt man oft an Rechtschreibfehlern oder seltsamen und umständlichen Formulierungen. Häufig passen außerdem E-Mail-Adresse und Web-Domain nicht zusammen oder die Nachricht enthält dringende, aber ungewöhnliche Anliegen.

Wie meldet man Phishing-E-Mails?

Ihr Unternehmen sollte einen Mechanismus einrichten, über den Mitarbeiter Ihre IT- und Sicherheitsteams über neue Bedrohungen informieren können. Diese Teams können dann entscheiden, welche Maßnahmen als nächstes zu ergreifen sind, ob beispielsweise die entsprechenden Serviceanbieter benachrichtigt werden sollen, die die Schwachstelle beheben könnten, oder ob das Problem in schwerwiegenden Fällen sogar an Behörden wie die US Federal Trade Commission gemeldet werden sollte.

Wie häufig kommt es zu Phishing-Angriffen?

Phishing ist weit verbreitet und angesichts der vermehrten Einführung von Remote-Arbeit hat die Anzahl der Phishing-Angriffe sogar einen neuen Höchststand erreicht. Etwa ein Viertel aller Fälle von Internetkriminalität sind auf die ein oder andere Form von Hacking zurückzuführen.

Welche Unternehmensnamen verwenden Hacker am häufigsten?

Laut einem aktuellen Report werden die Namen bekannter Unternehmen wie Microsoft, DHL, LinkedIn und WhatsApp am häufigsten von Phishing-Angreifern ausgenutzt.

Auf welche Personen zielen Phishing-Angriffe ab?

Bei den Opfern kann es sich um Einzelpersonen bis hin zu großen Unternehmen handeln. Cyberkriminelle haben es auch auf Führungskräfte abgesehen, um an Finanzinformationen wie Firmenkreditkartendaten zu gelangen.

Aus welchen Gründen werden Phishing-Angriffe durchgeführt?

In den meisten Fällen ist der eigentliche Beweggrund für einen Phishing-Angriff der Diebstahl von Geld und/oder Daten (z. B. vertrauliche Informationen, geistiges Eigentum oder andere geschützte Informationen). Der Diebstahl von Anmeldedaten, Kontonummern, Kreditkarteninformationen usw. ist nur ein Mittel zum Zweck, um umfassendere Zugriffsberechtigungen zu erhalten und mit diesen das eigentliche Ziel zu erreichen.

Was ist Spear-Phishing?

Bei den meisten Phishing-Versuchen werden die Opfer zufällig ausgewählt, doch Spear-Phishing zielt auf ganz bestimmte Personen ab, zu denen die Angreifer bereits einige Informationen gesammelt haben. Dadurch steigt die Wahrscheinlichkeit, dass der Angriff erfolgreich ist.

Was ist Clone-Phishing?

Bei Clone-Phishing-Angriffen wird eine Nachricht (beispielsweise eine E-Mail, SMS oder Social-Media-Nachricht) von einem vertrauenswürdigen Absender, etwa von Finanzinstituten oder unternehmensnahen Dienstleistern, nachgeahmt. Es handelt sich um eine Weiterentwicklung des Spear-Phishings und ist eine gängige Taktik im Zusammenhang mit Business Email Compromise (BEC).

Was ist Whaling?

Beim Whaling handelt es sich um eine spezielle Phishing-Methode, bei der Angreifer versuchen, Informationen von Führungskräften oder anderen wichtigen Mitgliedern einer Organisation zu erhalten, um sich möglichst umfangreiche Zugriffsberechtigungen für die Zielumgebung zu verschaffen.