05. April 2023 Von Julia Meier, Phishing-Expertin

Phishing-Angriffe erkennen und abwehren: Ein Leitfaden für Mitarbeiter

Phishing-Angriffe erkennen

Trotz technischer Schutzmaßnahmen bleiben Phishing-Angriffe eine der größten Bedrohungen für Unternehmen jeder Größe. Denn selbst die beste Technik kann durch einen unaufmerksamen Klick umgangen werden. Dieser Leitfaden zeigt Ihnen und Ihren Mitarbeitern, wie Sie Phishing-E-Mails erkennen und richtig darauf reagieren.

Was ist Phishing und warum ist es so gefährlich?

Phishing ist eine Form des Social Engineering, bei der Angreifer versuchen, Empfänger durch gefälschte E-Mails, Nachrichten oder Websites zur Preisgabe von sensiblen Informationen oder zur Installation von Schadsoftware zu verleiten. Der Begriff leitet sich vom englischen "fishing" (Angeln) ab – die Angreifer werfen einen Köder aus und hoffen, dass jemand anbeißt.

Die Gefährlichkeit von Phishing-Angriffen liegt in ihrer Kombination aus psychologischen Tricks und technischen Mitteln:

  • Sie nutzen menschliche Eigenschaften wie Hilfsbereitschaft, Angst oder Neugier aus
  • Sie können massenhaft und kostengünstig durchgeführt werden
  • Sie umgehen technische Sicherheitsmaßnahmen durch den "menschlichen Faktor"
  • Sie werden immer ausgefeilter und schwerer zu erkennen

Eine erfolgreiche Phishing-Attacke kann zu Identitätsdiebstahl, Datenverlust, Ransomware-Infektionen oder kompromittierten Unternehmensnetzwerken führen. Laut aktuellen Studien beginnen etwa 90% aller erfolgreichen Cyberangriffe mit einer Phishing-E-Mail.

"Der Mensch ist gleichzeitig die stärkste und die schwächste Komponente in der Cybersicherheitskette. Durch Aufklärung und Training können wir ihn zu unserem stärksten Schutzschild machen."

- Julia Meier, Hammarazzi Cybersicherheit

Die häufigsten Arten von Phishing-Angriffen

Phishing-Angriffe haben sich im Laufe der Zeit weiterentwickelt und diversifiziert. Hier sind die verbreitetsten Varianten:

1. Massen-Phishing

Dies ist die grundlegendste Form, bei der identische E-Mails an Tausende oder Millionen von Empfängern gesendet werden. Sie sind oft leicht zu erkennen aufgrund von Rechtschreibfehlern, generischen Anreden ("Sehr geehrter Kunde") und unglaubwürdigen Szenarien.

2. Spear-Phishing

Bei dieser gezielten Variante recherchieren die Angreifer ihre Opfer im Vorfeld und personalisieren die Nachrichten entsprechend. Diese können Namen, Jobpositionen, Unternehmensdetails oder kürzliche Ereignisse enthalten, um authentischer zu wirken. Spear-Phishing zielt oft auf bestimmte Mitarbeiter oder Abteilungen ab.

3. Whaling

Eine Unterform des Spear-Phishing, die speziell auf hochrangige Führungskräfte (die "großen Fische" oder "Wale") abzielt. Diese Angriffe sind besonders aufwändig gestaltet und nutzen oft detaillierte Informationen aus sozialen Medien oder Geschäftsberichten.

4. Business Email Compromise (BEC)

Bei BEC-Angriffen geben sich die Angreifer als vertrauenswürdige Geschäftspartner oder Führungskräfte aus und fordern Zahlungen oder sensible Informationen an. Ein typisches Szenario ist die vorgetäuschte E-Mail eines CEO an die Finanzabteilung mit der Bitte um eine dringende Überweisung.

5. Clone Phishing

Hierbei werden legitime, bereits versendete E-Mails kopiert, aber mit bösartigen Links oder Anhängen versehen. Die Angreifer behaupten oft, es handele sich um eine aktualisierte Version einer früheren Nachricht.

Aktuelle Phishing-Trends in Deutschland

  • Paket-Phishing: Gefälschte Benachrichtigungen von Paketdiensten, die angeblich eine Lieferung betreffen
  • Steuer-Phishing: Vorgetäuschte Mitteilungen vom Finanzamt mit angeblichen Steuerrückerstattungen
  • Bank-Phishing: Gefälschte Banking-Mitteilungen zu vermeintlichen Sicherheitsüberprüfungen
  • TeamViewer/Fernwartungs-Phishing: Angebliche IT-Support-Mitarbeiter, die Fernzugriff auf Ihren Rechner benötigen
  • COVID-19/Gesundheits-Phishing: Falsche Gesundheitsinformationen oder Impftermine

Die 7 wichtigsten Warnzeichen für Phishing

Phishing-E-Mails hinterlassen fast immer Spuren, die sie als betrügerisch entlarven. Hier sind die wichtigsten Warnzeichen, auf die Sie und Ihre Mitarbeiter achten sollten:

1. Verdächtige Absenderadresse

Überprüfen Sie immer die vollständige E-Mail-Adresse des Absenders, nicht nur den angezeigten Namen. Achten Sie auf:

  • Kleine Abweichungen im Domainnamen (z.B. amazon-support.com statt amazon.com)
  • Ungewöhnliche Subdomains (z.B. amazon.com.malicious-site.com)
  • Zufällige Buchstaben- und Zahlenkombinationen
  • Kostenlose E-Mail-Dienste für vermeintlich offizielle Kommunikation (z.B. [email protected])

2. Dringlichkeit und Drohungen

Phishing-E-Mails versuchen oft, ein Gefühl der Dringlichkeit zu erzeugen oder mit negativen Konsequenzen zu drohen:

  • "Ihr Konto wird in 24 Stunden gesperrt, wenn Sie nicht handeln"
  • "Verdächtige Aktivität festgestellt - sofortige Bestätigung erforderlich"
  • "Letzte Mahnung vor rechtlichen Schritten"

Seriöse Unternehmen setzen Kunden nicht unter solchen Druck.

3. Grammatik- und Rechtschreibfehler

Obwohl professionelle Phishing-Kampagnen mittlerweile sprachlich besser werden, enthalten viele E-Mails immer noch auffällige Sprachfehler:

  • Grammatikfehler oder ungewöhnliche Formulierungen
  • Rechtschreibfehler, besonders bei Firmennamen
  • Maschinelle Übersetzungen mit unnatürlichem Sprachfluss
  • Inkonsistente Formatierung oder Schriftarten

4. Unpassende oder generische Anrede

Achten Sie auf die Art der Ansprache:

  • "Sehr geehrter Kunde" statt personalisierter Anrede
  • Keine Anrede oder falsche Personendaten
  • Unpassende Formalität (z.B. "Lieber Nutzer" in einer vermeintlich offiziellen Bankkorrespondenz)

5. Verdächtige Links und Anhänge

Besondere Vorsicht gilt bei:

  • Aufforderungen, auf Links zu klicken oder Anhänge zu öffnen
  • Links, die bei Maus-Hover eine andere URL zeigen als im Text angezeigt
  • Kurz-URLs, die das eigentliche Ziel verschleiern
  • Unübliche Dateiendungen bei Anhängen (.exe, .jar, .vbs)

Profi-Tipp: Fahren Sie mit der Maus über einen Link (ohne zu klicken), um die tatsächliche Zieladresse zu sehen. Diese wird in den meisten E-Mail-Programmen am unteren Bildschirmrand oder in einem Tooltip angezeigt.

6. Ungewöhnliche Anfragen

Seien Sie misstrauisch bei E-Mails, die:

  • Nach persönlichen Daten fragen, die der vermeintliche Absender bereits haben sollte
  • Um Zahlungsinformationen oder Anmeldedaten bitten
  • Ungewöhnliche Anweisungen enthalten (z.B. "Deaktivieren Sie Ihre Antiviren-Software")
  • Zu gut klingen, um wahr zu sein ("Sie haben 10.000 € gewonnen")

7. Ungewöhnlicher Tonfall oder Inkongruenzen

Achten Sie auf:

  • Unübliche Kommunikation für den vermeintlichen Absender
  • Unstimmigkeiten zwischen Nachrichteninhalt und angeblichem Sender
  • Logos oder Branding, die nicht ganz richtig aussehen

"Die Gefahrenerkennung ist wie ein Muskel - je mehr Sie ihn trainieren, desto besser funktioniert er. Mit der Zeit entwickeln Sie ein Bauchgefühl für gefälschte Nachrichten."

- Julia Meier, Hammarazzi Cybersicherheit

Richtig reagieren: Was tun bei verdächtigen E-Mails?

Wenn Sie eine E-Mail als potenzielles Phishing identifiziert haben, ist es wichtig, angemessen zu reagieren:

DO's - So sollten Sie reagieren:

  1. Ruhe bewahren und skeptisch bleiben. Lassen Sie sich nicht zu übereilten Handlungen drängen.
  2. Die E-Mail an Ihre IT-Sicherheitsabteilung weiterleiten. Viele Unternehmen haben spezielle E-Mail-Adressen für verdächtige Nachrichten eingerichtet.
  3. Beim vermeintlichen Absender über einen separaten, bekannten Kommunikationskanal nachfragen. Nutzen Sie dafür nicht die Kontaktdaten aus der verdächtigen E-Mail, sondern z.B. die offizielle Website.
  4. Verdächtige E-Mails melden. In vielen E-Mail-Programmen gibt es eine "Als Phishing melden"-Funktion.
  5. Bei Unsicherheit die IT-Abteilung oder einen Sicherheitsexperten konsultieren.

DON'Ts - Diese Fehler sollten Sie vermeiden:

  1. Nicht auf Links in verdächtigen E-Mails klicken, auch nicht aus Neugier.
  2. Keine Anhänge aus zweifelhaften Quellen öffnen, selbst wenn sie harmlos erscheinen.
  3. Keine persönlichen Daten oder Anmeldeinformationen preisgeben, insbesondere nicht über Links in E-Mails.
  4. Die E-Mail nicht an Kollegen weiterleiten (außer an die IT-Sicherheitsabteilung), um die Verbreitung zu verhindern.
  5. Nicht antworten - dies bestätigt den Angreifern nur, dass Ihre E-Mail-Adresse aktiv ist.

Notfallmaßnahmen: Was tun, wenn Sie doch geklickt haben?

Sollte es trotz aller Vorsicht zu einem Klick auf einen verdächtigen Link oder dem Öffnen eines Anhangs gekommen sein:

  1. Trennen Sie den Computer vom Netzwerk (Netzwerkkabel ziehen oder WLAN deaktivieren).
  2. Informieren Sie sofort die IT-Abteilung oder den IT-Sicherheitsbeauftragten.
  3. Ändern Sie umgehend betroffene Passwörter von einem anderen, sicheren Gerät aus.
  4. Beobachten Sie Ihre Konten auf verdächtige Aktivitäten.
  5. Führen Sie einen vollständigen Malware-Scan durch, nachdem die IT-Abteilung dies genehmigt hat.

Präventive Maßnahmen: Wie Unternehmen und Mitarbeiter sich schützen können

Die beste Verteidigung gegen Phishing ist eine Kombination aus technischen Maßnahmen und Mitarbeitersensibilisierung:

Für Unternehmen:

  • Regelmäßige Schulungen und Phishing-Simulationen durchführen, um das Bewusstsein der Mitarbeiter zu schärfen
  • Multi-Faktor-Authentifizierung (MFA) für alle wichtigen Systeme und Dienste einführen
  • E-Mail-Filterlösungen implementieren, die verdächtige Nachrichten erkennen und blockieren
  • Klare Meldewege für verdächtige E-Mails etablieren und kommunizieren
  • Regelmäßige Updates und Patches für alle Systeme sicherstellen
  • Zero-Trust-Sicherheitsmodell implementieren, das jede Anfrage validiert, unabhängig vom Ursprung

Für Mitarbeiter:

  • Gesundes Misstrauen gegenüber unerwarteten E-Mails entwickeln
  • Passwort-Manager verwenden, um für jeden Dienst ein einzigartiges, starkes Passwort zu generieren
  • Multi-Faktor-Authentifizierung aktivieren, wo immer möglich
  • Regelmäßig an Sicherheitsschulungen teilnehmen und das Wissen anwenden
  • Browser-Erweiterungen zur Phishing-Erkennung nutzen
  • Direkten Zugriff auf wichtige Websites nutzen (Lesezeichen oder manuelle URL-Eingabe) statt Links zu folgen

Aktuelle Phishing-Kampagnen in Deutschland

Die folgenden Phishing-Kampagnen sind derzeit in Deutschland aktiv und erfordern besondere Aufmerksamkeit:

1. DHL-Paketbenachrichtigungen

Diese E-Mails behaupten, dass ein Paket nicht zugestellt werden konnte und fordern zur Eingabe der Adressdaten auf einer gefälschten Website auf. Die Links führen zu Seiten, die täuschend echt aussehen, aber auf Datendiebstahl ausgelegt sind.

2. Gefälschte Microsoft-Anmeldeversuche

Die Angreifer senden E-Mails, die angeblich von Microsoft stammen und vor einem ungewöhnlichen Anmeldeversuch warnen. Die mitgelieferten Links führen zu gefälschten Anmeldeseiten, die Zugangsdaten abgreifen.

3. Falsche Steuerrückerstattungen

Besonders zur Steuerzeit häufen sich E-Mails, die vorgeblich vom Finanzamt kommen und Steuerrückerstattungen versprechen. Die beigefügten Links oder Dokumente enthalten jedoch Schadsoftware.

4. Banking-Phishing

Diese E-Mails geben vor, von Banken zu stammen und behaupten, dass eine Kontoverifizierung aufgrund neuer Regularien erforderlich sei. Sie enthalten entweder Schadsoftware oder führen zu gefälschten Banking-Portalen.

5. CEO-Fraud

Eine zunehmende Bedrohung stellen CEO-Fraud-Mails dar, die vorgeben, von Führungskräften zu stammen und dringende Überweisungen oder vertrauliche Informationen anfordern. Diese Angriffe sind oft auf aktueller Recherche basiert und daher besonders überzeugend.

Fazit: Wachsamkeit als beste Verteidigung

Phishing-Angriffe werden immer ausgefeilter, aber mit dem richtigen Wissen und einer gesunden Portion Skepsis können Sie und Ihre Mitarbeiter sich effektiv schützen. Denken Sie daran: Ein Moment des Innehaltens und kritischen Hinterfragens kann Ihr Unternehmen vor erheblichen Schäden bewahren.

Letztendlich ist der beste Schutz gegen Phishing eine Kombination aus technischen Sicherheitsmaßnahmen und gut geschulten, wachsamen Mitarbeitern. Investieren Sie in beides, um Ihr Unternehmen optimal zu schützen.

Julia Meier

Über die Autorin

Julia Meier ist Senior Security Awareness Trainerin bei Hammarazzi Cybersicherheit. Sie hat mehr als 10 Jahre Erfahrung in der Entwicklung und Durchführung von Sicherheitsschulungen für Unternehmen aller Größen. Ihr Spezialgebiet ist die Erkennung und Abwehr von Social-Engineering-Angriffen. Julia hält regelmäßig Vorträge zum Thema Mitarbeitersensibilisierung auf Sicherheitskonferenzen in ganz Deutschland.

Teilen Sie diesen Artikel:

Das könnte Sie auch interessieren

Ransomware-Angriffe auf deutsche Unternehmen
15. Juli 2023

Ransomware-Angriffe auf deutsche Unternehmen nehmen zu

Die Zahl der Ransomware-Angriffe auf deutsche Unternehmen steigt rasant. Wir analysieren die aktuellen Trends und geben Tipps zur Prävention.

Weiterlesen
Zero Trust Architektur
18. Mai 2023

Zero Trust Architektur: Die Zukunft der Unternehmenssicherheit

Das Zero-Trust-Modell gewinnt in der Cybersicherheit immer mehr an Bedeutung. Wir erklären die Prinzipien und Vorteile dieses Sicherheitskonzepts.

Weiterlesen