Mehr als die Hälfte der Beschäftigten in Deutschland sind nicht ausreichend auf Phishing-Attacken vorbereitet. Das ergab eine Avast-Studie, in der rund 1.100 Mitarbeiter in KMU's zur Cybersecurity-Richtlinie ihrer Firma befragt wurden. 34,3 Prozent fühlen sich überhaupt nicht vorbereitet. 18,5 Prozent sind zwar über das Risiko eines Phishing-Angriffs informiert, wissen aber nicht, was sie in einem solchen Fall tun sollen....
... und 12 Prozent sagen sogar, dass ihr Arbeitgeber einen Phishing-Angriff für unwahrscheinlich hält.
Unter Phishing versteht man den Versuch, Opfer auszutricksen, sodass sie sensible Informationen wie Nutzernamen, Passwörter und andere kritische Details preisgeben. Meist erfolgen solche Angriffe per E-Mail. Dabei versuchen Cyberkriminelle den Empfänger dazu zu bewegen, einen E-Mail-Anhang zu öffnen oder einen Link anzuklicken. Dieser führt meist zu einer manipulierten Website, die täuschend echt aussieht.
Gibt der Anwender dort seine Login-Daten ein, kann der Hacker sie abgreifen. Besonders beliebt sind sogenannte Spear-Phishing-Attacken. Sie zielen auf ausgewählte Personen oder Unternehmen ab und nutzen persönliche Informationen, um Opfer zu täuschen. Richtet sich der Angriff an eine Führungskraft oder einen Manager, spricht man von Whaling.
Besonders perfide ist das sogenannte Clone Phishing. Dabei kopieren die Angreifer eine legitime E-Mail, die der Empfänger bereits zuvor erhalten hat, und tauschen das Attachment aus. Anschließend schicken sie die Nachricht erneut mit gefälschter Adresse ab – vermeintlich als zweiten Versuch oder Update.
Eine Phishing-Attacke kann nur dann erfolgreich sein, wenn sich das Opfer austricksen lässt und mitwirkt. Hacker haben umso leichteres Spiel, je sorgloser Anwender mit E-Mails und Passwörtern umgehen. Wie die Avast-Studie zeigt, gibt es hier noch viel Aufklärungsbedarf: Acht Prozent der Befragten gaben an, dass sie auf Links in E-Mails von unbekannten Absendern klicken.
Fast 18 Prozent verwenden dasselbe Passwort für verschiedene Anwendungen, und 7,5 Prozent teilen sogar Passwörter mit Kollegen, damit diese auf E-Mails und Anwendungen zugreifen können. Mehr als 15 Prozent bleiben auf ihrem PC oder Laptop eingeloggt, während sie in einem Meeting oder nicht am Platz sind.
5 Tipps für mehr Sicherheit
Was können Unternehmen und Anwender tun, um sich besser vor Phishing-Attacken zu schützen?
1. Awareness-Trainings: Die wichtigste Maßnahme besteht darin, Mitarbeiter für Cyberrisiken zu sensibilisieren. Bewährt haben sich zum Beispiel simulierte Phishing-Kampagnen. Klickt ein Mitarbeiter auf einen manipulierten Link, wird er auf seinen Fehler aufmerksam gemacht und erhält Tipps, wie er sich richtig verhalten sollte.
2. Spam-Filter: Auf technischer Seite helfen Spam-Filter, verdächtige E-Mails zu erkennen und zu blockieren.
3. Manipulations-Checks: Moderne Security-Tools können prüfen, ob eine Website seriös ist. Solche Systeme schlagen Alarm, wenn ein Anwender eine manipulierte Login-Seite öffnet.
4. Multi-Faktor-Authentifizierung: Mitarbeiter sollten mindestens zwei Faktoren nutzen müssen, um sich in ihren Account einzuloggen, zum Beispiel eine Smart Card und ein Passwort.
5. E-Mail-Content-Bearbeitung: Unternehmen können URLs in E-Mails deaktivieren oder sogar ganz entfernen. Ein Anwender kann die Adresse dann weder anklicken noch kopieren. Diese Maßnahme ist zwar drastisch, aber sehr erfolgreich gegen Phishing-Angriffe.
Im Rahmen einer digitalen Cybersecurity-Schulungsreihe behandelt Avast in einer Folge auch ausführlich das Thema Phishing. Dieses Video zeigt, wie diese Angriffe von Hackern initiiert werden, um die persönlichen Daten eines Anwenders zu stehlen. Es werden die verschiedenen Formen von Phishing-Angriffen untersucht, einschließlich die des Social-Engineerings.