Mit der Digitalisierung haben sich auch die Kommunikationskanäle von Unternehmen nachhaltig verändert. Heute kommunizieren die meisten Firmen per E-Mail mit ihren Kunden: Seien es Benachrichtigungen über die Zustellung von Waren, Bestätigungen über abgeschlossene Abonnements oder Newsletter. Leider gibt es auf diesem Kanal immer wieder Betrüger, die versuchen, mithilfe von Phishing-E-Mails an sensible Informationen und persönliche Daten von Unternehmen und ihren Kunden zu gelangen. Doch was genau ist eigentlich Phishing? Und wie kann man Phishing-E-Mails erkennen? Wir klären in diesem Artikel auf!
Was ist Phishing?
Der Begriff “Phishing” setzt sich aus den Wörtern “Phreaks” und “fishing” zusammen: Als “Phreaks” wurden in den 1990er Jahren Hacker bezeichnet, die mithilfe des Versendens betrügerischer E-Mails versuchten, nach vertraulichen Informationen zu “fischen”.
Bei “Phishing E-Mails” handelt es sich folglich um gefälschte, aber täuschend echt wirkende E-Mails, die den:die Empfangende dazu bringen sollen, Finanzinformationen, Zugangsdaten oder andere sensible bzw. persönliche Daten herauszugeben.
Dabei geben sich die Betrüger häufig für jemand anderen aus und täuschen somit die Identität einer Organisation (z.B. einer Bank, eines Amtes oder eines Unternehmens) oder einer Person, die der:dem Empfangenden nahe steht, vor.
Um an die entsprechenden Informationen zu kommen, verwenden die Betrüger verschiedenste Strategien, wie z.B. manipulierte Links, Anhänge, Formulare oder Ähnliches.
Gut zu wissen
Ungefähr eine von 99 E-Mails ist eine Phishing-E-Mail. Phishing ist also ein reales und sehr ernstzunehmendes Problem, bei dessen falschen Umgang es zu Malware-Infektionen, Identitätsdiebstahl und Datenverlust führen kann. Mitarbeitende von Unternehmen müssen deshalb gezielt geschult werden und immer über die neusten Phishing-Strategien aufgeklärt werden.
Woran erkennt man Phishing-E-Mails?
Aufgrund der Bedrohung, die Phishing E-Mails für Unternehmen darstellen können, ist es wichtig, diese bereits frühzeitig zu erkennen, um nicht auf den Betrug hereinzufallen. In der Regel gibt es verschiedene Merkmale, die eine Phishing-E-Mail auszeichnen und anhand derer sie diese erkennen können:
Unbekannter Absender der E-Mail
Cyberkriminelle sollten eigentlich keinen Zugang zu den Datenbanken der Unternehmen, deren Identität sie annehmen, haben. Sie versenden ihre E-Mails oft wahllos. Erhalten Sie also eine E-Mail von einem Unternehmen, bei dem Sie kein Kunde sind, sollten Sie vorsichtig sein. Es besteht jedoch auch die Gefahr, dass Cyberkriminelle Phishing-Mails an die Kunden eines Unternehmens schicken und sich als dieses ausgeben. In diesem Fall ist es entweder Zufall oder es ist den Betrügenden gelungen, sich Zugang zur Datenbank des entsprechenden Unternehmens zu schaffen.
Fehlerhafte E-Mail-Adresse des Absenders
Die meisten Phishing-Betrüger verwenden sehr ähnliche E-Mail-Adressen wie die Unternehmen, deren Identität sie annehmen. So kann es passieren, dass nur ein einziger Buchstabe in der E-Mail-Adresse geändert wurde (z.B. gooqle statt google) und sich die gefälschte und echte Absender-Adressen zum Verwechseln ähnlich sehen. Erst bei genauerem Hinsehen wird deutlich, dass die E-Mail-Adresse fehlerhaft und unseriös ist. Vergessen Sie deshalb nie, Name und E-Mail-Adresse des Absenders zu prüfen, bevor Sie eine Mail anklicken oder gar Links und Anhänge öffnen.
Vermittlung eines vermeintlich dringlichen Handlungsbedarfs
Die Betreffzeile einer Phishing-Mail bringt das Opfer normalerweise dazu, die Nachricht zu öffnen, weil ein Gefühl von Dringlichkeit und unmittelbarem Handlungsbedarf vermitteln wird. Formulierungen wie "Sicherheitswarnung", "Letzte Chance für", “Konto gesperrt” oder “Online-Zugang gehackt” sind in diesem Kontext nicht selten. Ziel der Hacker ist es, unüberlegte und schnelle Klicks vonseiten der Empfänger:innen zu provozieren. Lassen Sie sich nicht von solchen kurzen und vermeintlich dringlichen Fristen unter Druck setzen und antworten Sie nicht auf diese Art von E-Mails. Stattdessen sollten Sie sich direkt mit der entsprechenden Organisation, wie z.B. Ihrer Bank, in Verbindung setzen, um herauszufinden, ob es tatsächlich ein Problem gibt.
Grammatik- und Orthografie-Fehler
Phishing-Mails enthalten viele Rechtschreib- und Grammatikfehler. Diese Fehler ermöglichen es den Kriminellen, Spam-Filter zu umgehen. Phishing-Texte stammen oft aus dem Ausland und werden maschinell übersetzt, was die ungewöhnlichen Formulierungen und Fehler erklärt. Leider gewinnen Cyberkriminelle allerdings immer mehr an Erfahrung und optimieren stetig ihre Strategien. Seien Sie also misstrauisch und nehmen Sie die Rechtschreibung einer E-Mail nicht als einziges Kriterium für das Erkennen einer Phishing-Mail zur Hand.
Mangelnde Personalisierung der Mail
Während Sie in seriösen E-Mails in der Regel mit Ihrem korrekten und vollständigen Namen angesprochen werden, so fehlt die persönliche Anrede in Phishing-Mails in vielen Fällen. Das liegt daran, dass diese massenhaft an eine große Datenbank von Mailadressen verschickt werden. Diese gefälschten E-Mails beginnen mit einer allgemeinen Begrüßung, z. B. "Sehr geehrter Kunde". Wenn Sie Ihren Namen in der Begrüßung nicht sehen, seien Sie misstrauisch und klicken Sie nicht auf Links oder Anhänge.
Abfrage sensibler Daten
Abfragen persönlicher Informationen oder vertraulicher Daten, wie z.B. einer PIN, einer TAN oder eines Passwortes, sind ein weiteres Merkmal von Phishing. Hierzu sei gesagt, dass Banken, Ämter oder andere Organisationen solche Informationen niemals telefonisch oder per E-Mail abfragen würden. Ein solches Handeln wäre mit der Datenschutz-Grundverordnung (DSGVO) nicht konform. Geben Sie also niemals Ihre Anmeldungs-, Bank- oder Kontodaten einfach so an Fremde weiter.
Aufforderung, Anhänge, Links oder Formulare zu öffnen
Eine beliebte Methode von Hackern, an Ihre persönlichen Daten zu gelangen, ist die Aufforderung, einen Anhang, einen Link oder ein Formular zu öffnen. Klickt man versehentlich darauf, wird ein schädliches Programm, wie z.B. ein Virus oder Trojaner, auf Ihrem Computer installiert, ohne, dass Sie etwas davon mitbekommen. Überprüfen Sie Links und Anhänge deshalb unbedingt, bevor Sie diese öffnen! Mehr Informationen zu diesem Thema finden Sie im Abschnitt “Wie schützt man sich vor Phishing-E-Mails? - Links und Anhänge überprüfen”.
Wie schützt man sich vor Phishing-E-Mails?
Da Phishing eine ernsthafte Bedrohung für Unternehmen darstellen kann, ist es von großer Bedeutung, sich bestmöglich dagegen zu schützen.
Im Folgenden geben wir Ihnen vier Tipps an die Hand, wie Sie einen Betrug durch Phishing verhindern können.
Absender kontrollieren
Wie bereits erwähnt, kann man eine Phishing-Mail oft schon an einem unseriösen Absender erkennen. Prüfen Sie also, ob Sie den Sender der E-Mail kennen und ob die E-Mail-Adresse valide ist.
Links und Anhänge überprüfen
Vergewissern Sie sich vor dem Öffnen eines Links, dass Sie den Domainnamen und die URL (die Adresse der Webseite) überprüft haben. Dazu müssen Sie nur mit der Maus über den Link fahren, ohne ihn anzuklicken. Sie werden sehen, dass der vollständige Link unten links angezeigt wird. Prüfen Sie, ob der Link Fehler enthält bzw. korrekt und seriös ist. Manchmal wird nur ein einziges Zeichen im Link geändert, um Sie zu täuschen, wie wir es Ihnen bereits oben im Fall von Google gezeigt haben. Um zu überprüfen, ob es sich wirklich um die Adresse des Unternehmens handelt, gehen Sie in Ihrem Browser auf die offizielle Website.
Was die Dateien im Anhang (PDF-Dokumente, Bilder, Videos, usw.) betrifft, so sollten Sie vermeiden, diese anzuklicken oder herunterzuladen, wenn Sie den Absender nicht kennen oder Zweifel am Inhalt haben. Es kann passieren, dass Sie nach dem Öffnen auf eine betrügerische Website weitergeleitet werden, die Sie dazu auffordert, Ihre Daten einzugeben oder einen Virus auf Ihrem Gerät zu installieren.
Gesicherte Netzwerke nutzen
Egal, wo Sie sich befinden - Sie sollten immer dafür sorgen, dass Sie mit Ihren Geräten nur über gesicherte Netzwerke auf das Internet zugreifen. Gerade in öffentlichen WLAN-Verbindungen laufen Sie Gefahr, dass Hacker sich Zugriff zu Ihren sensiblen Daten verschaffen.
Anti-Viren-Software installieren
Um sich zusätzlich gegen externe Angriffe zu schützen, ist es zu empfehlen, sich eine Anti-Viren-Software zu kaufen und zu installieren. So werden potenzielle Risikoquellen frühzeitig erkannt und können zeitnah behoben werden.
Was tut man, wenn man Opfer von Phishing wird?
Sollten Sie trotz der Schutzmaßnahmen unglücklicherweise Opfer von Phishing werden, so sollten Sie folgende Maßnahmen befolgen:
1. Den Betrug melden
Wenn Sie als Mitarbeiter:in einer Firma Opfer einer Phishing-Mail geworden sind, wenden Sie sich an die IT-Abteilung, damit diese die notwendigen Maßnahmen ergreifen kann, um der Situation bestmöglich entgegenzuwirken. Wenn Sie eine Privatperson sind, wenden Sie sich per E-Mail an das entsprechende Unternehmen.
2. Passwörter und Zugangsdaten ändern
Ändern Sie alle Ihre Passwörter, die mit denen identisch sind, die Sie an die Kriminellen weitergegeben haben.
3. Konten sperren
Sofern Sie Ihre Bankdaten weitergegeben haben, sollten Sie Ihre Konten bei der Bank sofort sperren lassen, damit keine großen Geldsummen abgehoben werden können.
4. Beweise zum Betrug sammeln
Machen Sie Screenshots von den SMS oder E-Mails, die Sie erhalten haben, um sich eine Beweismappe anzulegen, die Sie im nächsten Schritt verwenden können.
5. Klage erheben
Falls auf Ihrem Bankkonto Abbuchungen verzeichnen oder sensible Informationen weitergegeben haben, die zum Identitätsdiebstahl verwendet werden könnten, sollten Sie mit den im vorherigen Schritt gesammelten Beweisen sofort Anzeige erstatten.
Sicher in der digitalen Welt agieren
Cybersicherheit ist ein Thema, dem Unternehmen heutzutage eine hohe Wichtigkeit beimessen sollten, um nicht Gefahr zu laufen, Schäden durch externe Zugriffe davonzutragen. Phishing-E-Mails, also gefälschte E-Mails, mithilfe derer sich Hacker Zugang zu sensiblen Daten verschaffen möchten, sind eine dieser Bedrohungen, gegen die sich Unternehmen und ihre Mitarbeitenden schützen müssen.
Abgesehen von den Maßnahmen, wie man vermeidet, auf betrügerische Phishing-E-Mails hereinzufallen, haben wir noch einen weiteren Digitalisierungtipp für Sie: Mithilfe der Verwendung von e-Signaturen können Sie Ihrem Vertragsmanagement deutlich mehr Effizienz und Rechtssicherheit verleihen. Weshalb das so ist, erfahren Sie in unserem Blogbeitrag “Sind digitale Unterschriften rechtssicher?.
FAQ zum Thema “Phishing E-Mails”
Was ist die Definition von Spam?
Unter dem Begriff “Spam” versteht man unerwünschte, oft betrügerische Nachrichten, die in großer Masse an Menschen gesendet werden. Der Versand erfolgt in der Regel über elektronische Kommunikationskanäle wie E-Mails, soziale Medien, Foren oder Instant-Messaging-Dienste.
Was sind vier Warnsignale dafür, dass es sich bei einer E-Mail um Phishing handelt?
Phishing-E-Mails, d.h. gefälschte, täuschend echt wirkende Mails, die Empfänger:innen dazu bewegen sollen, persönliche Informationen preiszugeben, lassen sich anhand bestimmter Merkmale erkennen: mangelnde Personalisierung, viele Rechtschreib- und Grammatikfehler, unbekannter Absender mit fehlerhafter Mailadresse, Abfrage sensibler Daten, Vermittlung von Dringlichkeit und Aufforderung zur Öffnung von Links, Anhängen oder Formularen.
Was ist ein gemeinsames Merkmal einer Phishing-E-Mail?
Hinter jeder Phishing-Mail steckt die Intention, dem oder der Empfangenden persönliche, vertrauliche oder sensible Informationen, wie z.B. Anmelde- oder Zugangsdaten, Passwörter, PIN oder TAN, zu entlocken. Solche Nachrichten vermitteln in der Regel einen dringlichen Handlungsbedarf und enthalten Fehler in Text und Maildresse.
Wie öffnet man eine E-Mail sicher?
Bevor Sie eine Nachricht öffnen, sollten Sie zuallererst den Absender prüfen. Stellen Sie sicher, dass die Adresse keine Fehler enthält. Fahren Sie dafür einfach mit der Maustaste über den Absender, ohne darauf zu klicken. Ist Ihnen der Absender unbekannt und der Inhalt der Nachricht suspekt, öffnen Sie in keinem Fall Links oder Anhänge der Mail.
_
Dieses Dokument dient ausschließlich Informationszwecken. Es wird keine Gewähr für die Vollständigkeit und Aktualität der Informationen übernommen. Es ersetzt keine Rechtsberatung.