Pfefferminzia
Anmelden
 
Schutz vor Phishing

„Es gibt einen Trend in Richtung Identitätsdiebstahl“

Cyberkriminelle nutzen offene Flanken gnadenlos aus. Nach der Thomas-Cook-Pleite etwa kursierten schnell Betrugs-E-Mails, die eine „Erstattung von Reisekosten“ versprachen. Wie sich Unternehmen vor Phishing schützen können, und wie Versicherungsvermittler hier ins Spiel kommen, besprachen wir mit Richard Renner, Geschäftsführer des Cybersicherheit-Dienstleisters Perseus.
  • Karen Schmidt
  • 16. Januar 2020
  • 16:01 Uhr
  • Branche
© Perseus
Richard Renner ist Geschäftsführer des Cybersicherheit-Dienstleisters Perseus.

Pfefferminzia: Wie häufig kommt es zu Schäden durch Phishing? Und wie hoch fallen hier im Schnitt die Schadensummen aus?

Richard Renner: Das Statistische Bundesamt geht von rund 62 Millionen Euro Schaden durch Cyberkriminalität allein im Jahr 2018 in Deutschland aus. Fast jeder zweite Internetnutzer war bereits Opfer von Internetkriminalität. In zwei Drittel der Cybervorfälle in mittelständischen Unternehmen fand der Betrug per E-Mail, also Phishing, statt. In den vergangenen Monaten waren, neben Banken, besonders Internetportale und soziale Netzwerke von Phishing-Angriffen betroffen. Also Plattformen, wo sensible Nutzerdaten abgegriffen werden können: Kreditkartendaten, Ausweisnummern, Telefonnummern, Bilder. Allein im vergangenen September wurden knapp 87.000 Phishing-Webseiten entdeckt. Das lässt auf einen Trend in Richtung Identitätsdiebstahl schließen.

Sind Phishing-E-Mails nicht so offensichtlich, dass da keiner drauf reinfällt?

Der wachsende Leistungs- und Zeitdruck in der heutigen Arbeitswelt führt unweigerlich zu einem unachtsamen Verhalten von Internetnutzern. Die Anfälligkeit für Phishing am Arbeitsplatz kann durchaus als eine der negativen Folgen der Digitalisierung bezeichnet werden. Mitarbeitende haben oft gar nicht die Zeit, E-Mails mit einem kritischen Blick zu lesen – teilweise sind sie sich der Gefahr überhaupt nicht bewusst. Solch ein Verhalten muss geschult und durch regelmäßige Übungen in Erinnerung gerufen werden. Eine einmalige Schulung ist da nicht ausreichend, um Verhalten dauerhaft zu ändern.

Cyberkriminelle nutzen diese offenen Flanken geschickt aus und spielen bewusst mit psychologischen Schlüsselreizen. Angst ist einer davon. Aber auch Neugierde, sozialer Druck oder Gewinnstreben sind treibende Faktoren, mit denen Betrüger ihre Opfer gefügig machen. Je nach Persönlichkeit und Sensibilität für Cyberkriminalität sind die Mitarbeiter unterschiedlich anfällig für verschiedene Formen von Cyberangriffen.

Welche Punkte deuten in der Regel auf eine Phishing-Mail hin?

Beim Lesen einer E-Mail sollte man immer auf Merkmale wie Absende- und Sendeadresse achten. Solche Informationen verbergen sich meist in den Nachrichtendetails, die in einigen Mailprogrammen erst geöffnet werden müssen. Untypische Ansprache, etwa von Vorgesetzten oder Vertrauten, eine kryptische Ausdrucksweise oder eindringliche Aufforderungen sind ebenfalls Indizien für Phishing. Gleichermaßen Logo und das visuelle Auftreten bekannter Unternehmen.

Da die Imitation von Marken mittlerweile ein Kinderspiel geworden ist, sollte man sich aber nicht auf diese Merkmale allein verlassen. Bei E-Mails von unbekannten Absendern, die einen Anhang enthalten, empfiehlt es sich langsam mit der Maus über die Datei zu fahren und im Browserfensters links unten auf die Datei-Endung zu achten. Bei kryptischen Dateinamen oder ausführenden Programmen mit der Endung „.exe“, sollten sofort die Alarmglocken klingeln.

Zudem sollte man das eigene Nutzungsverhalten reflektieren. Wenn ein Online-Kaufhaus sich etwa auf eine kürzlich getätigte Bestellung bezieht, sollte man für sich selbst prüfen, ob so ein Einkauf auch getätigt wurde. Gleiches gilt für E-Mails von vermeintlichen Vorgesetzten oder Freunden, die eine schnelle Erledigung verlangen.

Phishing-Angriffe werden immer professioneller und strategischer, teilweise passen sie sich auch der Saison an. Man sollte daher auch die aktuelle Nachrichtenlage im Blick behalten. Zur Vorweihnachtszeit gibt es häufig Phishing-Mails von eCommerce-und Logistik-Unternehmen, in der Ferienzeit von Reiseveranstaltern – gefälschte Nachrichten im Namen von Banken verteilen sich hingegen über das gesamte Jahr hinweg.

Auch aktuelle Ereignisse, wie die Pleite von Thomas Cook, werden von Kriminellen aufgegriffen. So wurden unmittelbar nach dem Bekanntwerden der Insolvenz des Unternehmens Betrugs-E-Mails zur „Erstattung von Reisekosten“ versendet. Solche Phishing-Kampagnen haben häufig das Abgreifen personenbezogener Daten, wie Pass- und Kreditkarten, zum Ziel. Im Nachgang können diese im Darknet zu Geld gemacht werden – Hehlerei 2.0.

Wie ließen sich Phishing-Fälle vermeiden?

Grundsätzlich sollten man E-Mails von unbekannten Absendern mit Misstrauen begegnen, insbesondere wenn Anhänge beigefügt sind oder die Aufforderung zum Link-Klick enthalten sind. Auch andere Aufforderungen, wie die Eingabe von sensiblen Informationen oder die dringende Überweisung für den Vorgesetzten, der sogenannte CEO-Fraud, sollten hinterfragt werden. Bei bekannten Unternehmen, die zur Eingabe von Daten auffordern, sollte man bewusst den Umweg über deren Website nehmen. Wir empfehlen, unbekannte Absender mittels Suchmaschinen zu verifizieren.

Vorsicht gilt bei neuen, noch unbekannten Trends, wie die Sextortion-Masche. Hier werden Internetnutzer mit vermeintlichen Videos oder Fotos mit sexuellem Bezug erpresst. Solche Nachrichten gilt es zu ignorieren und den Rechner auf Spionage-Software zu überprüfen.

In jedem Fall gilt: Wer vorsorgt ist immer im Vorteil! Updates für Firewalls und Betriebssysteme sollten immer sofort installiert werden. Bei der Auswahl von Antivirenprogrammen empfehlen wir eine über den Standard hinausgehende Lösung. Mittels künstlicher Intelligenz lässt sich eine Schadsoftware aufgrund verdächtigen Verhaltens bereits identifizieren und blockieren. Dazu gehört auch die Fähigkeit zur Veränderung von Soft- und Hardware-Einstellungen. Der zuverlässigste Schutzwall bleibt aber der Mensch hinter dem Rechner. Hier heißt es aufklären, schulen und sensibilisieren!

Die regelmäßige Schulung der Mitarbeiter ist also extrem wichtig für Unternehmer?

Ja, eindeutig. In der Verteidigungsstrategie gegen Cyberkriminalität spielt jeder einzelne Mitarbeiter eine wichtige Rolle. Jeder Person im Unternehmen sollte permanent bewusst sein, dass ein falscher Klick reicht, um Cyberkriminellen Tür und Tor zu öffnen – auch wenn ein Antivirenprogramm installiert ist. Das ist wie beim Feuerschutz: ein Rauchmelder alleine reicht nicht. Wenn es brennt, muss man wissen, wie man reagiert.

Regelmäßige Schulungen, Informationen zu Cybergefahren, aber auch Phishing-Simulationen rufen die gesamte Thematik in Erinnerung. Sie helfen dabei, erlerntes Wissen präsent zu halten und richtiges Verhalten zu verankern. Gut gemachte Simulationstrainings tragen mehr zum Sicherheitsbewusstsein der Mitarbeiter bei, als aufwendige traditionelle Mittel, wie ganztägige Seminare oder Schulungen. Gerade bei Themen, die nicht zum primären Tätigkeitsfeld der Mitarbeiter gehören, sollte man auf wiederholende, kleinere Maßnahmen setzen. Die Erfahrung zeigt, dass solche Trainings einen nachhaltigeren Effekt haben, als eine ganztägige Sicherheitsschulung, die schnell in Vergessenheit gerät.

Wie können Versicherer die Vorsorge vor solchen Phishing-Gefahren in Ihren Versicherungsschutz mit aufnehmen?

Auf unserer Cybersicherheits-Plattform perseus.de ist das Phishing-Training ein zentraler Bestandteil unseres Cybertrainings für Mitarbeiter, zu dem auch ein Content-Angebot und ein Gefahrenalarm bei akuten Cybergefahren gehören. Rund 40 Prozent der deutschen Cyberversicherer – unter anderem HDI, Gothaer und Markel – haben dieses Angebot bereits als Bestandteil ihrer Police oder als Assistance-Dienstleistung in ihr Portfolio aufgenommen.

Zudem haben Versicherungsvermittler die Möglichkeit, ihren Kunden unser Angebot als eigenständige Präventionsmaßnahme zu verkaufen – unabhängig von einer Versicherung.

Monetäre Anreize, wie eine Rabattierung oder ein Bonus bei erfolgreich durchgeführten Trainings, wären ebenfalls eine Möglichkeit zur Erhöhung der Cybersicherheit bei Versicherungskunden. Der aktuelle Stand der Schulungsmaßnahmen könnte dann ein Bestandteil des Jahresgespräches zwischen Vermittler und Kunde werden.

Mehr zum Thema

Cyber-Gefahren weltweit die größte Bedrohung

Weltweit sehen Unternehmen erstmals Cyber-Risiken als größte Gefahr für ihr Geschäft an. Das zeigt das…

Die besten D&O- und Cyber-Versicherer aus Maklersicht

Welche D&O- und Cyberversicherer sind die Favoriten der Makler? Das wollte die Versicherungsmaklergenossenschaft Vema im…

61 Prozent der Unternehmen von Cyber-Angriffen betroffen

61 Prozent der im Rahmen einer Hiscox-Studie befragten Unternehmen haben im vergangenen Jahr mindestens einen…

Autorin

Karen

Schmidt

Karen Schmidt ist seit Gründung von Pfefferminzia im Jahr 2013 Chefredakteurin des Mediums.

Teilen:
Nicht verpassen!

Pfefferminzia.pro

Eine Plattform, die liefert: aktuelle Informationen, praktische Services und einen einzigartigen Content-Creator für Ihre Kundenkommunikation. Alles, was Ihren Vertriebsalltag leichter macht. Mit nur einem Login.

Jetzt anmelden

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Pfefferminzia
Pfefferminzia