Umgang mit Social Engineering:Phishing- und Social-Engineering-Attacken gehören zu den größten Sicherheitsrisiken für Unternehmen und können zu schwerwiegenden Schäden sowie Datenverlusten führen. Die Tücke dabei: Die Angriffe zielen auf Schwachstellen am Menschen ab. Deshalb gilt es, euch und eure Mitarbeitenden für das Thema zu sensibilisieren.

Umgang mit Social Engineering Wie ihr eure Mitarbeitenden vor Phishing schützen könnt

Phishing- und Social-Engineering-Attacken gehören zu den größten Sicherheitsrisiken für Unternehmen und können zu schwerwiegenden Schäden sowie Datenverlusten führen. Die Tücke dabei: Die Angriffe zielen auf Schwachstellen am Menschen ab. Deshalb gilt es, euch und eure Mitarbeitenden für das Thema zu sensibilisieren.

Social-Engineering-Attacken können dazu führen, dass wertvolle Unternehmensdaten gestohlen werden, Geld verloren geht und das Vertrauen von Kunden und Geschäftspartnern geschädigt wird. In diesem Beitrag erfahrt ihr, was Phishing- und Social-Engineering-Attacken sind, wie ihr sie erkennen könnt und welche Maßnahmen ihr ergreifen solltet, um eure Mitarbeiter*innen und euer Unternehmen vor Phishing zu schützen.

Was versteht man unter Social Engineering?

Beim Social Engineering werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Personen werden manipuliert und dazu gebracht, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen zu beseitigen oder Schadsoftware zu installieren. Die Betrugsmasche wird von Cyberkriminellen genutzt und ist besonders beliebt, da sie damit Millionen potenzielle Opfer erreichen können. Die Taktik ist nicht neu und wurde auch zu früheren Zeiten schon in Form von Telefonanrufen angewendet. Eine Unterkategorie von Social Engineering ist Phishing.

Was genau ist Phishing?

Phishing-Mails enthalten meist Links zu gefälschten Websites, die ähnlich aussehen wie die von Banken, E-Mail-Diensten oder Onlineshops. Auch die Phishing-E-Mails an sich sehen echten Mails oft zum Verwechseln ähnlich, da Namen und Logos von bekannten Organisationen verwendet werden. Wenn eure Mitarbeitenden diesen Link anklicken und eure Daten auf der gefälschten Website angeben, werden diese an die Angreifer*innen weitergeleitet, die sie dann für kriminelle Zwecke verwenden können.

Unterschieden wird zwischen Phishing und Spear Phishing. Beim Phishing werden wahllos viele Personen kontaktiert, während sich Spear Phishing an gezielte Personen richtet. Phishing-E-Mails beginnen typischerweise mit “Ihr Konto ist gesperrt”, “Bitte aktualisieren Sie Ihr Passwort” oder “Bitte aktualisieren Sie Ihre Bankdaten”. Es gibt jedoch noch weitere Indizien, an denen ihr Phishing-Mails erkennen könnt.

Wenn eine Mail einen verdächtigen Betreff oder eine unpersönliche Anrede enthält, solltet ihr hellhörig werden. © Shutterstock, Rawpixel.com
Ein verdächtiger Betreff oder eine unpersönliche Anrede können Indizien für eine Phishing-Mail sein. © Shutterstock, Rawpixel.com

Woran erkennt ihr Phishing-Mails?

Gefälschte Absender-Adresse

Achtet auf verdächtige Absender-Adressen, die denen von seriösen Unternehmen zwar ähnlich sehen, jedoch nicht identisch sind. Das könnt ihr beispielsweise feststellen, indem die Adresse auffällige Zahlen- und Buchstabenkombinationen enthält.

Empfänger-Adresse

Überprüft, ob die verdächtige E-Mail an eine Adresse geschickt wurde, die nicht mit der des Unternehmens übereinstimmt. Wenn die E-Mail an mehrere Empfänger gesendet wurde, solltet ihr sie vorerst besser nicht öffnen.

Verdächtiger Betreff

Wenn der Betreff der E-Mail ungewöhnlich scheint – beispielsweise aufgrund von Rechtschreibfehlern oder falschem Deutsch – solltet ihr hellhörig werden. Das gilt selbstverständlich auch für den restlichen Teil der Mail.

Ungewöhnliche Formatierung

Achtet auf eine schlechte Formatierung der E-Mail. Werden Sonderzeichen beispielsweise wiederholt falsch verwendet? Dann könnte es sich um eine Phishing-Mail handeln.

Unpersönliche Anrede

Wenn die E-Mail nicht mit einer persönlichen Anrede beginnt, kann es sich um eine Phishing-Mail handeln. Seriöse Unternehmen sprechen ihre Kund*innen/Empfänger*innen normalerweise mit Namen an.

Aufforderung zur Bestätigung von persönlichen Daten

Wenn euch die E-Mail auffordert, persönliche Daten zu bestätigen oder preiszugeben, sollten ihr misstrauisch werden. Echte Unternehmen werden euch niemals per E-Mail nach derartigen Daten fragen.

Links auf Websites

Wenn die E-Mail Links zu Websites enthält, ist Vorsicht geboten. Schaut erst, ob der Link zur Website mit dem Absender übereinstimmt.

Wenn Mitarbeitende unter Stress stehen, neigen sie eher dazu, voreilige Entscheidungen zu treffen. © Shutterstock, Irina Bg
Gerade wenn Mitarbeitende unter Stress stehen, neigen sie dazu, voreilige Entscheidungen zu treffen. © Shutterstock, Irina Bg

Warum sind Phishing-Attacken so erfolgreich?

Phishing-Angriffe sind so erfolgreich, weil sie darauf abzielen, das Vertrauen und die Leichtgläubigkeit von Menschen auszunutzen, um an vertrauliche Informationen zu gelangen. Menschen neigen dazu, in bestimmten Situationen impulsiv zu handeln oder unter Stress Entscheidungen zu treffen, ohne über die Konsequenzen nachzudenken. Dies kann dazu führen, dass sie auf gefälschte Nachrichten oder Links klicken, ohne zu überprüfen, ob sie möglicherweise gefährlich sind.

Phishing-Angriffe können auch deshalb erfolgreich sein, weil viele Menschen nicht über ausreichende Kenntnisse oder Schulungen zum Thema Cybersicherheit verfügen. Ihnen ist nicht bewusst, dass es Phishing-Mails überhaupt gibt, welche Risiken sie bergen und wie sie sich schützen können. Das führt dazu, dass sie vertrauliche Informationen preiszugeben, um ein vermeintliches Problem zu lösen.

Wenn ihr den Verdacht habt, dass es sich um Phishing handeln könnte, kontaktiert den angegebenen Absender, um euch abzusichern. © Shutterstock, Hananeko_Studio
Ihr habt den Verdacht, dass es sich um Phishing handeln könnte? Dann kontaktiert den angegebenen Absender, um euch abzusichern. © Shutterstock, Hananeko_Studio

Wie könnt ihr euch vor Phishing-Attacken schützen?

Bevor ihr eine E-Mail öffnet, überprüft immer den Absender. Kennt ihr den Absender nicht, solltet ihr die Mail vorerst nicht öffnen. Um euch vor weiteren Mails des Absenders zu schützen, empfehlen wir euch, ihn zu blockieren. Selbst wenn die E-Mail laut Absender von Bekannten oder Freund*innen stammt, ihr jedoch ein ungutes Gefühl habt oder eines der oben genannten Merkmale von Phishing-Mails zutrifft, ist auch hier Vorsicht geboten. Am besten kontaktiert ihr den vermeintlichen Absender auf anderem Wege, um sicherzugehen, dass die Mail wirklich von dieser Person stammt.

Gleiches gilt für Unternehmen. Wenn ihr vermutet, dass ihr eine gefälschte E-Mail von einem bekannten Unternehmen erhalten habt, solltet ihr das Unternehmen kontaktieren, um euch die Echtheit der Mail bestätigen zu lassen. Selbstverständlich dient das gleichzeitig auch dem Schutz des betroffenen Unternehmens.

Wenn eine E-Mail einen Link enthält, überprüft diesen, bevor ihr ihn anklickt. Handelt es sich um einen verdächtigen Link, solltet ihr ihn keinesfalls anklicken, sondern die Adresse stattdessen selbst in ein neues Browser-Fenster eingeben. Achtet auch darauf, dass die Adresse der Website mit “https” beginnt, um sicherzustellen, dass ihr eine sichere Verbindung nutzt.

Damit eure Mitarbeitenden diese Schritte überhaupt einleiten können, ist es wichtig, sie über die Gefahren, die von Phishing ausgehen, aufzuklären und sie für das Thema zu sensibilisieren.

Wer von einem Phishing-Angriff betroffen ist, sollte seine Passwörter ändern. © Shutterstock, Thapana_Studio
Wenn ihr von einem Phishing-Angriff betroffen seid, solltet ihr eure Passwörter ändern. © Shutterstock, Thapana_Studio

Wie solltet ihr euch verhalten, wenn ihr eine Phishing-Mail bekommt?

Alle Mitarbeitenden sollten eine Phishing-Mail melden, damit alle im Unternehmen gewarnt sind. Außerdem meldet ihr den Vorfall dem jeweiligen Unternehmen, welches als vermeintlicher Absender angegeben wurde. Außerdem empfiehlt es sich, sämtliche Zugangsdaten wie Nutzername und Passwort zu ändern. Wenn ihr einen Passwortmanager nutzt, müsst ihr zusätzliche Maßnahmen ergreifen, indem ihr alle Passwörter ändert, die in dem Manager gespeichert sind. Es empfiehlt sich auch, eine Antiviren-Software zu verwenden, um gezielte Virenangriffe durch Phishing-Mails abzuwehren.

Bleibt auf dem neuesten Stand – mit Smart Data Center

Das Thema Cybersicherheit gewinnt immer mehr an Bedeutung. Fakt ist, einen hundertprozentigen Schutz gegen Hackerangriffe gibt es nicht. Jedoch lässt sich durch Prävention bereits einiges erreichen. Dazu gehört auch die Gefährdungsbeurteilung IT- und Cybersicherheit.

Bei Smart Data Center erhaltet ihr die höchsten Standards im Bereich der präventiven Cybersicherheit und darüber hinaus schnelle Hilfe, falls es zu einem Hackerangriff kommen sollte. Die von uns genutzten Rechenzentren entsprechen selbstverständlich der Datenschutzbestimmung der DSGVO. Folgt uns gern auf LinkedIn, um immer auf dem neuesten Stand zu bleiben.

Beitragsbild: © Shutterstock, Photoroyalty

Weitere Themen aus diesem Artikel

Weitere Beiträge

IT Quereinsteiger Job:Aufgrund der digitalen Umstellung in Unternehmen war ein Anstieg der Nachfrage nach IT-Fachkräften unerlässlich. Trotzdem kann vor allem in Deutschland diese Nachfrage nicht abgedeckt werden. Aber wie kann diesem Fachkräftemangel entgegengewirkt und die IT-Branche vor allem für Frauen attraktiver gemacht werden?

IT Quereinsteiger Job Fachkräftemangel: Wieso die IT-Branche für Frauen attraktiv ist

Aufgrund der digitalen Umstellung in Unternehmen war ein Anstieg der Nachfrage nach IT-Fachkräften unerlässlich. Trotzdem kann vor allem in Deutschland diese Nachfrage nicht abgedeckt werden. Aber wie kann diesem Fachkräftemangel entgegengewirkt und die IT-Branche vor allem für Frauen attraktiver gemacht werden?

Ransomware-Angriffe auf Handelskammern und transdev:Das neue Jahr hat begonnen und die Hacker*innen schlafen nicht. Wir informieren euch über die aktuellen Hackerangriffe des neuen Jahres.

Ransomware-Angriffe auf Handelskammern und transdev Hackerangriffe aktuell: Januar 2024

Das neue Jahr hat begonnen und die Hacker*innen schlafen nicht. Wir informieren euch über die aktuellen Hackerangriffe des neuen Jahres.

Die Präsidentin des BSI informiert:Täglich haben es Hacker*innen auf Behörden und Unternehmen in Deutschland abgesehen. Die Leiterin des Bundesamts für Sicherheit in der Informationstechnik, Claudia Plattner, spricht über den Stand der Dinge und notwendige Maßnahmen.

Die Präsidentin des BSI informiert Claudia Plattner über Cyberattacken

Täglich haben es Hacker*innen auf Behörden und Unternehmen in Deutschland abgesehen. Die Leiterin des Bundesamts für Sicherheit in der Informationstechnik, Claudia Plattner, spricht über den Stand der Dinge und notwendige Maßnahmen.