Was ist Phishing?
Unter Phishing versteht man betrügerische Nachrichten, die mit dem Ziel verschickt werden, den Empfänger zur Herausgabe von Zugangsdaten, Passwörtern oder sonstigen Daten zu bewegen.
Dabei können Phishing-Nachrichten per Messanger (WhatsApp & Co.), per SMS oder aber per E-Mail erfolgen. Letzteres ist der häufigste Weg, auf dem Phishing-Nachrichten in Unternehmen eingehen.
Es ist festzustellen, dass es zunehmend schwieriger wird, Phishing zu erkennen. Denn die Betrüger machen so gut wie keine Fehler mehr, bspw. was Rechtschreibung, Anrede oder Aussehen der betrügerischen E-Mail angeht. Umso wichtiger ist es, kritisch mit eingehenden E-Mails umzugehen, und zwar auch dann, wenn der Absender bekannt ist.
Dennoch gibt es Möglichkeiten, Phishing-Mails erkennen zu können. Diese Möglichkeiten sollten Sie auch stets einsetzen, um Schaden von sich und Ihrem Unternehmen abzuwenden.
Phishing-E-Mails erkennen
Wie schon gesagt werden die Betrüger immer professioneller und raffinierter, so dass es in vielen Fällen nicht leicht ist Phishing-Mails zu erkennen.
Natürlich kursieren auch noch die E-Mails mit schlechter Grammatik, Rechtschreibung, falsch zusammengewürfelten E-Mail-Signaturen und erkennbar nachgemachten Firmenlogos. Hier dürfte jedem Empfänger klar sein, dass solche E-Mails ungesehen (und vor allem ohne Anhänge zu öffnen oder Links anzuklicken) als Spam bzw. Phishing zu markieren und zu entfernen sind.
In der Regel aber, können moderne Phishing-E-Mails nicht sofort erkannt werden. Achten Sie daher insbesondere auf folgende Merkmale, die für einen Betrug sprechen (können):
- Kommt Ihnen der Absender unbekannt vor? Oder kennen Sie den Namen des Absenders, spricht Sie der vermeintliche Absender jedoch normalerweise anders an (andere Anrede, anderer Schreibstil, anderer Umfang der E-Mail)?
- Fehlt die persönliche Anrede (Firmen sprechen bspw. ihre Kunden fast immer mit Namen an und/oder nennen die Kundennummer)?
- Ist die E-Mail-Signatur (Adresse, Rechtsform, Aufbau, Firmenlogo etc.) ungewöhnlich oder anders als von dem Absender üblich?
- Ist inhaltlich von einem Sachverhalt die Rede, der Ihnen unbekannt ist (bspw. Behauptung, dass eine bestellte Ware im Zoll aufgehalten sei oder, dass eine Lieferung sich verzögern würde etc.)?
- Sind Links enthalten, die nicht zum behaupteten Absender führen oder ein nicht erkennbares Ziel haben (Tipp, um Phishing Links zu erkennen: Gehen Sie mit dem Mauszeiger über den Link und schauen Sie dann in dem eingeblendeten Text (manchmal auch in der Fußzeile des Mailprogramms) wohin der Link führt, ohne diesen tatsächlich anzuklicken!)?
- Werden Sie aufgefordert Daten einzugeben, zu bestätigen oder zu korrigieren, ohne dass dies zuvor auf anderem Wege angekündigt wurde?
- Sind Anhänge beigefügt, zu deren Öffnung Sie aufgefordert werden, und die ungewöhnlich oder unerwartet sind?
- Kommen Ihnen Sprache und Grammatik merkwürdig vor (solche Fake Mails werden häufig nur unzureichend oder mit KI übersetzt)?
Je mehr dieser Indizien zusammen auftreten, umso wahrscheinlicher handelt es sich um eine Phishing-Mail. Solche Fake Mails zu erkennen ist für die Sicherheit Ihrer Daten sowie des gesamten Unternehmens enorm wichtig, so dass hier zu Sorgfalt und Gewissenhaftigkeit geraten werden muss, wohlwissend, dass in der Regel dutzende von E-Mails pro Tag eingehen.
Aus eigener Erfahrung kann ich sagen, dass eine gewisse Routine im Erkennen solcher Merkmale dazu führt, dass die Prüfung eingehender E-Mails nur eine sehr überschaubare Zeit in Anspruch nimmt.
Und wenn Sie Zweifel haben: Warum nicht zum Hörer greifen und den (vermeintlichen) Absender telefonisch um Bestätigung der Echtheit der E-Mail bitten.
Eingang einer Phishing-Mail unverzüglich melden
Wenn Sie im Unternehmens-Postfach eine Phishing- bzw. eine Fake E-Mail erkennen oder auch nur den Verdacht haben, ist es wichtig, dass Sie auf den üblichen oder eigens zu diesem Zweck eingerichteten Kommunikationswegen unverzüglich den Vorfall melden.
Umso wichtiger und eiliger ist es dann, wenn Sie versehentlich bereits einen Link angeklickt, einen Anhang geöffnet und/oder gar Daten eingegeben und abgesendet haben. Denn dann bleibt der IT nur sehr wenig Zeit die erforderlichen Maßnahmen zu ergreifen, um einen weiteren Schaden abzuwenden.
Aber auch, wenn Sie nichts dergleichen getan haben, muss die IT von dem Vorfall erfahren. Das ist wichtig, um Maßnahmen zur Vermeidung von Wiederholungsfällen zu ergreifen, bspw. indem der Spam-Filter angepasst wird oder eine Kommunikation alle Mitarbeiter hinsichtlich der Gefahren solcher Mails erfolgt, um die Sensibilität im Unternehmen zu erhöhen.
Auch dann, wenn Sie nicht sicher sind, ob es eine Phishing Nachricht ist oder nicht, sollten Sie diesen Weg der internen Kommunikation gehen (bspw., wenn Sie eine E-Mail bekommen mit ungewöhnlichen Aufforderungen, Bitten oder sonstigen, auch persönlichen, Inhalten). Die IT kann ggf. eher feststellen, ob die E-Mail gefährlich ist oder nicht. Und im Zweifel ist es auch weitaus weniger schädlich, eine solche Mail zu ignorieren, als im Zweifel dennoch zu klicken und damit ein Risiko einzugehen.
In der Regel ist in diese Kommunikation auch der Datenschutzbeauftragte einzubinden. Denn es kann sich um einen nach DSGVO zu meldenden Datenschutzvorfall handeln. Für Prüfung und Meldung bei der Datenschutzaufsichtsbehörde bleiben lediglich 72 Stunden ab Kenntnis von dem Vorfall (Art. 33 DSGVO). Der Autor ist dabei als Datenschutzanwalt ebenso jederzeit gerne der Ansprechpartner für Sie und Ihr Unternehmen, denn es darf keine Zeit verloren werden, um den gesetzlichen Anforderungen hier Genüge zu tun.
Gibt es solche Kommunikationswege in Ihrem Unternehmen nicht, dann sollten Sie sich zusätzlich schnellstmöglich bei uns melden. Denn das Unterlassen der Einrichtung von Früherkennungssystemen und Risikomanagement-Systemen kann zu einem Organisationsverschulden und zu einer persönlichen Haftung der Geschäftsleitung führen. Wir unterstützen Sie bei der Einführung solcher Systeme, bspw. in Form, von internen Richtlinien und Policies.
Welche Gefahren bestehen durch Phishing-Emails?
Die Gefahren, die von solchen E-Mails ausgehen, können nicht überschätzt werden. Gerade in Unternehmensnetzwerken genügt ein „Hereinfallen“ auf eine Phishing-Mail, um das gesamte Netzwerk zu kompromittieren. Der Autor selbst hat bereits mehrfach bei Mandanten solche Szenarien erlebt, die, bspw. durch Eindringen in das interne Netzwerk aufgrund von Dateneingaben in Phishing-E-Mails, zu mehrwöchigen Ausnahmesituationen geführt haben, inklusive Einschaltung eines Krisenstabs, Hinzuziehung der Cyber-Versicherung und spezieller forensischer IT-Dienstleister zur Prüfung, was die Täter im Netzwerk angerichtet haben (könnten).
Hinzu kommt die Meldepflicht eines solchen Vorfalls bei der Datenschutzbehörde nach DSGVO, was unter Umständen zu Rückfragen der Behörde und weitere unangenehmen Folgen im Hinblick auf die getroffenen Schutzmaßnahmen zur Verhinderung solcher Vorfälle und der Datenschutz-Compliance insgesamt führt.
Gleich, ob Betrüger „lediglich“ personenbezogene Daten erfragen, um diese gewinnbringend im Darknet zu verkaufen, oder ob kriminelle Aktivitäten im Unternehmensnetzwerk die Folge sind, jedwede Form des Datendiebstahls hat weitreichende, in der Regel nicht rückgängig zu machende Folgen, die zu großen Schäden führen können.
