| Blog für Unternehmer
logo_Smarter_mittelstand_dunkel
Nutzen Sie das Potenzial der Digitalisierung für Ihr Unternehmen bestmöglich aus, um langfristig wettbewerbsfähig zu bleiben. Wir helfen Ihnen dabei: mit digitalen Trendthemen, praktischen Problemlösungen und innovativen Ansätzen - wöchentlich auf dieser Seite sowie auf unseren diesjährigen Digitalisierungskonferenzen smarter mittelstand.

Phishing-Mails So wappnen Sie Mitarbeiter gegen Cyber-Angriffe

  • Serie
Ein falscher Klick und alles ist kaputt: Phishing Mails können Firmendaten abgreifen oder das ganze System lahmlegen.

Ein falscher Klick und alles ist kaputt: Phishing Mails können Firmendaten abgreifen oder das ganze System lahmlegen.© complize / photocase.de

Kleiner Klick, großer Schaden: Fallen Mitarbeiter auf Phishing-Mails rein, können sensible Daten oder sogar Geld verloren gehen. So sorgen Sie dafür, dass Angestellte betrügerische Mails erkennen.

Plötzlich geht nichts mehr. Alles ist weg.

Die Kundendaten, die Dokumente, Rechnungen, Passwörter, Projektpläne, sogar Kreditkartendaten. Ein Horrorszenario für jedes Unternehmen: Ein Mitarbeiter hat einen so genannten Verschlüsselungstrojaner heruntergeladen, weil er den Anhang einer unseriösen Mail geöffnet hat. Um die Daten zurückzuerhalten, soll die Firma Geld zahlen.

Anzeige

Laut einer Studie des Gesamtverbands der Deutschen Versicherungswirtschaft wurde fast jedes dritte kleine oder mittlere Unternehmen in Deutschland schon Opfer von Cyberangriffen. Die Angriffe legten vier von zehn Firmen vorrübergehend lahm, 60 Prozent mussten für die Datenwiederherstellung zahlen. Besonders kleine Unternehmen seien häufig betroffen.

Bei 59 Prozent der gehackten Unternehmen gelangten die Angreifer mit Hilfe sogenannter Phishing-Mails an Daten –: Sie versteckten Viren oder Trojaner in Links oder Anhängen. Sobald Mitarbeiter oder der Chef darauf klicken, ist es oft schon zu spät: Die Hacker haben Zugriff auf Passwörter und sensible Daten oder können den Computer sogar fernsteuern.

Solche Nachrichten zu erkennen, kann knifflig sein: „Diese E-Mails sehen meist normal aus. Deshalb fallen die Leute auch darauf rein“, sagt Nabil Alsabah, Referent für IT-Sicherheit beim Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bitkom).

Trotzdem greifen Phishing-Mails immer wieder auf gängige Tricks zurück. Wer die kennt, ist besser geschützt. Diese Anleitung sollten Sie an Ihre Mitarbeiter weitergeben – und natürlich auch selbst befolgen.

1. Warnzeichen erkennen

Wenn Mails folgende Merkmale haben, sollten Sie aufhorchen:

  • Keine persönliche Anrede
  • Rechnungen, die Sie nicht zuordnen können
  • Aufforderungen, die angehängte Datei oder einen Link zu öffnen
  • die Bitte, personenbezogene Daten zu versenden
  • Aufforderungen der Bank, die PIN oder Kreditkartendaten zu mailen (Banken fordern Sie niemals dazu auf – und verschicken in der Regel Briefe statt E-Mails)
  • Aufforderungen der Bank, sich beim Online-Banking neu einzuloggen. Hinterlegte Links führen auf gefälschte Websites, die den Nutzer auffordern, PIN und TAN einzugeben (Eine echte Bank fragt beim Einloggen nie nach einer TAN). Das Bundesamt für Sicherheit in der Informationstechnik hat Beispiele für solche Phishing-Mails zusammengetragen
  • Zahlungsaufforderungen und Mahnungen mit Zeitdruck und Androhungen von Konsequenzen, wenn Sie es nicht zahlen (echte Mahnungen kommen in der Regel per Post)
  • Besonders fies: die Chef-Masche. Die vermeintliche Geschäftsführung fordert Mitarbeiter auf, möglichst schnell eine große Summe zu überweisen – das Geld landet meist auf ausländischen Konten, die sofort leergeräumt werden (Wenn Sie solche Mails erhalten, prüfen Sie unbedingt die E-Mail-Adresse und fragen Sie die Geschäftsführung, ob sie die Mail tatsächlich geschickt hat)
  • unseriöse Absenderadressen (zum Beispiel wirre Kombinationen aus Buchstaben und Zahlen)

2. Im Zweifelsfall: Recherchieren und nachfragen

Sind Sie unsicher, ob eine Mail seriös ist: einzelne Sätze aus der Mail kopieren und in eine Suchmaschine eintippen oder den Absender googeln. Handelt es sich bei der Mail um eine breit gestreute Attacke, finden Sie das schnell heraus.

Nicht immer können Sie Mails so erkennen. Manche Angreifer spähen ihre Opfer geradezu aus, bevor sie zuschlagen. Wie in diesem Fall: „Der Mitarbeiter einer Firma interessierte sich für Barbeque-Rezepte“, berichtet Alsabah. „Er hat wie üblich eine E-Mail mit Rezepten bekommen und den Anhang geöffnet – aber die Datei enthielt Schadsoftware. Der Angreifer hatte sich mit der Person auseinandergesetzt, herausgefunden, dass er sich für das Thema interessiert und Rezept-Mails bekommt. Und dann hat er eine ähnliche E-Mail formuliert.“

Sind Sie unsicher, ob die Mail seriös ist, rufen Sie beim Absender an (nicht auf die Mail antworten!). Suchen Sie die Nummer im Internet, verlassen Sie sich nicht auf Telefonnummern in der Signatur der Mail.

3. Löschen und Kollegen warnen

Haben Sie eine Mail als Betrugsversuch identifiziert, löschen Sie sie sofort. Häufig erhält nicht nur ein Angestellter Phishing-Mails – deshalb sollten Sie Kollegen warnen.

4. Auf eine Phishing-Mail reingefallen? Sofort Bescheid sagen

Trotz aller Vorsichtsmaßnahmen kann es passieren, dass Sie auf Phishing-Mails reinfallen. „Es gibt keine absolute Sicherheit“, sagt Nabil Alsabah. Wer unabsichtlich Daten preisgibt oder schädliche Dateien auf den PC lädt, muss sofort Alarm schlagen und, die IT-Abteilung (sofern es sie gibt), den IT-Beauftragten und den Chef informieren.

Haben Sie einen Dateianhang einer Phishing-Mail geöffnet, haben Sie höchstwahrscheinlich ein Schadprogramm heruntergeladen. Den Virenscanner rüberlaufen zu lassen, kann helfen. Aber: „Es gibt genug komplexe Viren, die den Scanner austricksen können“, sagt Alsabah. Fahren Sie den Computer runter und nutzen Sie ihn nicht mehr, bis Fachleute ihn überprüft und bereinigt haben.

Was Chefs noch unternehmen können, um die Firma zu schützen

Alsabah empfiehlt Chefs grundsätzlich, in die IT-Sicherheit im Unternehmen zu investieren. Intern können Sie zum Beispiel:

  • allen Mitarbeitern ein Anti-Viren-Programm kaufen
  • einen IT-Beauftragten schulen: Alsabah empfiehlt, einen Mitarbeiter weiterzubilden, der auf die IT-Sicherheit im Unternehmen achtet. Dazu gehört zum Beispiel: Sind Antivieren-Programme installiert? Installieren wir regelmäßig Updates, die Sicherheitslücken schließen? Wer darf in der Firma auf welche Daten zugreifen?
  • Mails verschlüsseln: Verschickt man sensible Daten per Mail – z.B. Kontoinformationen – , ist es sicherer, die Mail zu verschlüsseln. „Allerdings sind die üblichen Methoden zur E-Mail-Verschlüsselung noch nicht sehr benutzerfreundlich“, sagt Alsabah. „Ich hoffe, dass es mit der Zeit einfacher wird und Mails automatisch verschlüsselt werden.“

Auch externe Anbieter können Ihnen helfen, die Firma vor Angreifern zu schützen:

  • Lassen Sie die IT-Infrastruktur der Firma durch externe Sicherheitsaudits prüfen.
  • Trainieren Sie Mitarbeiter mit Online-Tools: Awareness im Mittelstand, eine Initiative des Bundesministeriums für Wirtschaft und Energie, zeigt Unternehmen beispielsweise interaktiv, wie Phishing-Mails aussehen, und testet Mitarbeiter, ob sie diese erkennen. Die Trainings sind kostenlos.
  • Testen Sie Mitarbeiter: Sie können spezialisierte Firmen damit beauftragen, Ihren Mitarbeitern gezielt Phishing-Mails zu schicken. Diese Firmen greifen keine sensiblen Daten ab und hacken Ihr Unternehmen nicht, sondern finden Sicherheitslücken. Alsabah: „Der Lerneffekt ist größer, wenn Mitarbeiter nicht nur erzählt bekommen, was sie nicht tun sollen, sondern selbst auf eine Mail reinfallen und man ihnen erklärt, welche Warnzeichen sie übersehen haben.“

Der Newsletter für Unternehmer

Sie wollen mit Ihrem Business durchstarten? Dann abonnieren Sie unseren Newsletter mit genialen Tipps, Denkanstößen und erprobten Strategien, die Unternehmer und Selbstständige nach vorn bringen.

Unsere Themen:
Mitarbeiterführung ✩ Produktivität ✩ Recht + Steuern
Kundengewinnung ✩ Selbstmanagement ✩ Motivation

Jeden Morgen in Ihrem Postfach – jetzt kostenlos anmelden! Unternehmer-Newsletter
1 Kommentar
  • Ingo Ullrich 21. Juni 2018 09:46

    angeblich sind doch alle erwachsen, oder…..

Hinterlassen Sie einen Kommentar

(Die Redaktion schaltet Kommentare montags bis freitags von 10 bis 18 Uhr frei. Die Angabe von Name und E-Mail-Adresse ist freiwillig. IP-Adressen werden nicht gespeichert. Mit der Abgabe eines Kommentars stimmen Sie unseren Datenschutzbestimmungen zu.)