Phishing-Angriffe: Was Sie wissen müssen

Übersicht

Phishing: Wie Cyberkriminelle KMU ausspionieren 

Sind Sie sich bewusst, dass die Anzahl der Cyberangriffe auf Schweizer KMU rasant zunimmt? Das Bundesamt für Cybersicherheit verzeichnete bereits Ende 2023 einen dramatischen Anstieg auf über 30'000 Angriffe binnen sechs Monaten. 2024 hat sich die Lage nicht verbessert. Besonders Phishing-Attacken nehmen stark zu.

Phishing-Angriffe sind längst nicht mehr nur ein Problem für grosse Konzerne. Schweizer KMU geraten zunehmend ins Visier von Cyberkriminellen. Laut der Cyberstudie 2024 waren in den letzten drei Jahren 4 % der befragten KMU Opfer einer schwerwiegenden Cyberattacke, was auf die Schweiz hochgerechnet rund 24.000 Unternehmen entspricht. Erschreckend ist, dass 40 % der Unternehmen im Falle eines solchen Angriffs keinen Notfallplan oder eine Strategie zur Geschäftskontinuität haben. Die steigende Digitalisierung und die oft begrenzten Ressourcen für IT-Sicherheit machen KMU zu attraktiven Zielen für Phishing-Angriffe.

Die Top 5 Phishing-Methoden erklärt an konkreten Beispielen

Cyberkriminelle sind Meister der Täsuchung und entwickeln ständig neue Taktiken, um an sensible Daten zu gelangen. Hier sind die häufigsten Phishing-Methoden, illustriert durch reale Beispiele:

  1. E-Mail-Phishing
    Betrügerische E-Mails, die von vertrauenswürdigen Institutionen zu stammen scheinen, um sensible Informationen zu erlangen. Beispiel: Sie erhalten eine E-Mail, die scheinbar von der Schweizerischen Post stammt. Darin werden Sie aufgefordert, eine ausstehende Zollgebühr für ein Paket zu bezahlen. Der beigefügte Link führt jedoch zu einer gefälschten Webseite, die darauf abzielt, Ihre Kreditkartendaten abzugreifen.
     
  2. Spear-Phishing
    Zielgerichtete Angriffe auf spezifische Personen innerhalb eines Unternehmens, oft unter Verwendung persönlicher Informationen. Beispiel: Der Finanzleiter Ihres Unternehmens erhält eine E-Mail vom vermeintlichen CEO mit der dringenden Bitte, eine Überweisung an einen neuen Lieferanten vorzunehmen. Die E-Mail-Adresse unterscheidet sich nur minimal von der echten, was die Täuschung perfekt macht.
     
  3. CEO Fraud (Business Email Compromise):
    Angriffe, bei denen die Angreifer die Identität von Führungskräften (z.B. CEO) fälschen und Mitarbeitende dazu bringen, Geldüberweisungen durchzuführen oder vertrauliche Daten weiterzugeben. Beispiel: Ein Buchhalter erhält eine angeblich dringende Anweisung des Geschäftsführers, eine sechsstellige Summe auf ein bestimmtes Konto zu überweisen – eine klassische CEO-Fraud-Taktik.
     
  4. Smishing (SMS-Phishing)
    Phishing-Angriffe, die über SMS-Nachrichten erfolgen, um persönliche Daten zu stehlen. Beispiel: Sie erhalten eine SMS von "Ihrer Bank", die über verdächtige Kontobewegungen informiert und Sie auffordert, auf einen Link zu klicken, um Ihr Konto zu verifizieren. Der Link führt zu einer gefälschten Webseite, die Ihre Login-Daten erfasst.
     
  5. Vishing (Voice-Phishing)
    Phishing-Angriffe, die per Telefonanruf durchgeführt werden, um vertrauliche Informationen zu erlangen. Beispiel: Ein Anrufer gibt sich als Techniker Ihres IT-Dienstleisters aus und bittet um Ihre Zugangsdaten, um ein dringendes Problem zu beheben. Er nutzt technischen Jargon, um glaubwürdig zu wirken.
     
  6. Clone-Phishing
    Angreifer klonen legitime E-Mails und ersetzen Anhänge oder Links durch schädliche Versionen. Beispiel: Eine legitime E-Mail von einem bekannten Geschäftspartner wird abgefangen, kopiert und mit einem schädlichen Anhang erneut an Sie versendet. Da die E-Mail historisch korrekt ist, fällt der Betrug kaum auf.
     
  7. Pharming
    Statt per E-Mail erfolgt dieser Angriff direkt über manipulierte DNS-Einträge, die Benutzer auf gefälschte Webseiten umleiten, auch wenn sie die richtige Webadresse eingeben. Beispiel: Ein Mitarbeiter versucht, sich auf der Unternehmensbanking-Webseite anzumelden, landet jedoch aufgrund eines Pharming-Angriffs auf einer täuschend echten Kopie und gibt dort seine Zugangsdaten preis.

Phishing-Techniken: Ein Kurzüberblick 

Phishing-Angriffe nutzen verschiedene technische Methoden, um an sensible Daten zu gelangen. Ein schnelles Verständnis dieser Techniken hilft bei der Implementierung wirksamer Schutzmassnahmen.

  • E-Mail-Spoofing: Fälschung von Absenderadressen durch SMTP-Manipulation.
    Schutz: Implementierung von SPF, DKIM und DMARC.
  • DNS-Spoofing/Pharming: Umlenken von Nutzern auf gefälschte Websites via manipulierte DNS-Einträge.
    Schutz: Einsatz von DNSSEC.
  • Homograph-Angriffe: Verwendung ähnlich aussehender Zeichen in URLs zur Täuschung.
    Schutz: Genaues Prüfen von URLs und SSL-Zertifikaten.
  • Man-in-the-Middle-Angriffe: Abfangen und Manipulation von Datenverkehr mittels SSL-Stripping oder ARP-Spoofing.
    Schutz: Verwendung von TLS und strikten Transport-Sicherheitsrichtlinien (HSTS).
  • Malware-Phishing: Versenden von schädlichen Anhängen oder Links zu Exploits.
    Schutz: Aktuelle Sicherheitssoftware und regelmässige Updates.

Die 10 verräterischen Anzeichen einer Phishing-Mail 

Phishing-Mails sind eine der häufigsten Methoden, mit denen Cyberkriminelle versuchen, an Ihre persönlichen Daten zu gelangen. Sie tarnen sich als vertrauenswürdige Absender und versuchen, Sie dazu zu bringen, sensible Informationen preiszugeben oder schädliche Dateien herunterzuladen. Um sich vor diesen Angriffen zu schützen, ist es wichtig, die typischen Merkmale einer Phishing-Mail zu kennen.

  • Ungewöhnliche Absenderadresse: Die E-Mail-Adresse des Absenders stimmt nicht mit dem Namen des Unternehmens oder der Person überein, von der die E-Mail angeblich stammt.
  • Allgemeine Begrüssung: Die E-Mail beginnt mit einer allgemeinen Begrüssung wie "Sehr geehrter Kunde" anstatt mit Ihrem Namen.
  • Dringlichkeit oder Drohungen: Die E-Mail erzeugt ein Gefühl der Dringlichkeit oder droht mit negativen Konsequenzen, wenn Sie nicht sofort handeln.
  • Ungewöhnliche Anhänge: Die E-Mail enthält Anhänge, die Sie nicht erwartet haben oder die verdächtig erscheinen (z.B. ausführbare Dateien).
  • Verdächtige Links: Die Links in der E-Mail führen zu Webseiten, die nicht mit dem Unternehmen übereinstimmen, von dem die E-Mail angeblich stammt.
  • Rechtschreib- und Grammatikfehler: Die E-Mail enthält zahlreiche Rechtschreib- und Grammatikfehler.
  • Ungewöhnliche Anfragen: Die E-Mail fordert Sie auf, persönliche Informationen wie Passwörter oder Kreditkartendaten preiszugeben.
  • Unerwartete E-Mail: Sie haben keine Interaktion mit dem Absender der Mail, die Mail kommt also unerwartet.
  • Ton und Stil sind ungewöhnlich: Der Ton und Stil der E-Mail sind ungewöhnlich oder passen nicht zu dem Unternehmen oder der Person, von der die E-Mail angeblich stammt.
  • Die Mail ist zu kurz: Oftmals sind Phishing Mails kurz gehalten um nicht durch Fehler aufzufallen.

Schutzmassnahmen auf technischer und organisatorischer Ebene 

Unternehmen tragen die Verantwortung, sich proaktiv vor Phishing-Angriffen zu schützen. Ein umfassender Ansatz, der sowohl technische als auch organisatorische Massnahmen umfasst, ist hierbei entscheidend.

Technische Massnahmen

  • Moderne Anti-Phishing-Lösungen
    Setzen Sie E-Mail-Gateways und Webfilter mit KI-Technologien ein, um verdächtige E-Mails und Webseiten proaktiv zu blockieren. Sandbox-Umgebungen ermöglichen das sichere Testen von Anhängen.
  • Multi-Faktor-Authentifizierung (MFA)
    Ergänzen Sie Logins mit zusätzlichen Sicherheitsfaktoren wie Tokens oder biometrischen Daten, um unautorisierten Zugriff zu verhindern.
  • Regelmässige Updates und Patches
    Implementieren Sie ein automatisiertes Patch-Management, um Software und Systeme stets aktuell zu halten und Sicherheitslücken zu schliessen.
  • E-Mail-Authentifizierungsprotokolle
    Nutzen Sie SPF, DKIM und DMARC, um die Echtheit eingehender E-Mails zu verifizieren und Spoofing zu verhindern.
  • Netzwerksegmentierung und Zero-Trust-Prinzip
    Teilen Sie Ihr Netzwerk in Segmente auf und kontrollieren Sie Zugriffe strikt, um die Ausbreitung von Schadsoftware zu erschweren.
     

Organisatorische Massnahmen

  • Sicherheitsrichtlinien entwickeln
    Definieren Sie klare Vorgaben für den Umgang mit E-Mails, Anhängen und sensiblen Daten. Aktualisieren Sie diese regelmässig.
  • Zugriffsmanagement
    Gewähren Sie Mitarbeitenden nur die notwendigen Rechte (Least Privilege) und implementieren Sie Role-Based Access Control (RBAC).
  • Notfall- und Incident-Response-Pläne
    Erstellen Sie detaillierte Aktionspläne mit definierten Zuständigkeiten und führen Sie regelmässige Übungen durch.
     

Best Practices für Mitarbeiterschulungen

  • Regelmässige Sensibilisierung
    Schulen Sie Ihre Mitarbeitenden mindestens quartalsweise zu aktuellen Bedrohungen und Phishing-Methoden, angepasst an ihre Rollen.
  • Interaktive Trainings und Simulationen
    Nutzen Sie Workshops und Phishing-Simulationen, um das Wissen praxisnah zu festigen und die Aufmerksamkeit zu steigern.
  • Phishing-Tests mit Feedback
    Führen Sie interne Tests durch, um die Wachsamkeit zu prüfen, und bieten Sie gezieltes Feedback sowie zusätzliche Schulungen an.

Durch die Kombination dieser technischen und organisatorischen Massnahmen stärken Sie die Abwehrkräfte Ihres Unternehmens gegen Phishing-Angriffe nachhaltig.

Notfallplan bei erfolgreichem Phishing-Angriff 

Auch mit den umfassendsten Sicherheitsmassnahmen kann ein Phishing-Angriff erfolgreich sein. In solchen Fällen ist es entscheidend, einen klar definierten Notfallplan zu haben, um schnell und effektiv reagieren zu können.

Sofortmassnahmen

  1. Systeme isolieren: Trennen Sie betroffene Geräte vom Netzwerk.
  2. Passwörter ändern: Aktualisieren Sie alle Zugangsdaten.
  3. Behörden informieren: Melden Sie den Vorfall dem NCSC.
  4. Interne Kommunikation: Informieren Sie alle Mitarbeitenden über den Vorfall.
  5. Forensische Untersuchung: Analysieren Sie den Angriff, um Schwachstellen zu identifizieren.
  6. Massnahmen anpassen: Aktualisieren Sie Ihre Sicherheitsstrategien basierend auf den Erkenntnissen.

MTF: Ihr Partner für Cybersicherheit & Phishing-Prävention 

Phishing-Angriffe sind eine ernsthafte Bedrohung für Schweizer KMU. Mit den richtigen Massnahmen können Sie das Risiko jedoch erheblich minimieren. Investieren Sie in Technik, schulen Sie Ihre Mitarbeitenden und erstellen Sie einen effektiven Notfallplan. So sind Sie bestens gerüstet, um Ihr Unternehmen vor Cyberbedrohungen zu schützen.

Sind Sie bereit, Ihr Unternehmen optimal gegen Phishing-Angriffe zu schützen? MTF steht Ihnen als erfahrener IT-Dienstleister zur Seite. Kontaktieren Sie uns, um mehr über unsere massgeschneiderten Sicherheitslösungen für Schweizer KMU zu erfahren!

JETZT KONTAKTIEREN

FAQ 

  1. Was ist Phishing?
    Phishing ist eine Form der Cyberkriminalität, bei der Betrüger versuchen, an persönliche Daten wie Passwörter oder Kreditkartendaten zu gelangen. Häufig geschieht dies über täuschend echt aussehende E-Mails oder Webseiten.
     
  2. Warum sind Unternehmen häufig Ziel von Phishing-Angriffen?
    Unternehmen sind attraktive Ziele, weil sie oft über wertvolle Daten wie Kundendatenbanken, Finanzinformationen und Zugang zu sensiblen Systemen verfügen. Außerdem können einzelne Mitarbeitende durch gezielte Angriffe (z.B. Spear-Phishing) dazu gebracht werden, versehentlich Zugriffsdaten preiszugeben.
     
  3. Wie erkenne ich eine Phishing-Mail?
    Typische Merkmale einer Phishing-Mail sind:
    - Oftmals fehlt eine persönliche Anrede
    - Rechtschreibfehler und unprofessionelle Formulierungen
    - Verdächtige Absenderadressen oder Schreibfehler in der URL
    - Dringende Aufforderungen zum Handeln ("Ihr Konto wird gesperrt!")
    - Links, die auf fremde oder gefälschte Webseiten führen
     
  4. Welche Rolle spielt die Sensibilisierung von Mitarbeitenden?
    Mitarbeitende sind die erste Verteidigungslinie gegen Phishing. Schulungen helfen ihnen, Phishing-Versuche zu erkennen und richtig darauf zu reagieren. Dies reduziert das Risiko, dass ein Angriff erfolgreich ist, erheblich.

Auch interessant 

SECURITYCONSULTING

Mehr

ManagedSECURITY

Mehr
Übersicht

Haben Sie Fragen?

Michael Stüssi
Sales Manager
+41 31 888 88 88
[email protected]