Phishing-Mails
So erkennen Sie gefährliche E-Mails

Kleiner Klick, großer Schaden: Fallen Mitarbeiter auf Phishing-Mails rein, können sensible Daten oder sogar Geld verloren gehen. An welchen Alarmzeichen sich betrügerische Mails erkennen lassen - und was Sie noch tun können, um die Firma zu schützen.

, von

Ein falscher Klick und alles ist kaputt: Phishing Mails können Firmendaten abgreifen oder das ganze System lahmlegen.
Ein falscher Klick und alles ist kaputt: Phishing Mails können Firmendaten abgreifen oder das ganze System lahmlegen.

Plötzlich geht nichts mehr. Alles ist weg.

Die Kundendaten, die Dokumente, Rechnungen, Passwörter, Projektpläne, sogar Kreditkartendaten. Ein Horrorszenario für jedes Unternehmen: Ein Mitarbeiter hat einen so genannten Verschlüsselungstrojaner heruntergeladen, weil er den Anhang einer unseriösen Mail geöffnet hat. Um die Daten zurückzuerhalten, soll die Firma Geld zahlen.

Laut einer Studie im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft von 2019 hat jedes vierte mittelständische Unternehmen in Deutschland schon Schäden von Cyberangriffen davongetragen. Die Angriffe legten 59 Prozent der betroffenen Firmen vorübergehend lahm, mehr als die Hälfte musste für Aufklärung und Datenwiederherstellung zahlen.

Besonders weit verbreitet: Phishing

Bei 70 Prozent der gehackten Unternehmen gelangten die Angreifer mit Hilfe sogenannter Phishing-Mails an Daten: Sie versteckten Viren oder Trojaner in Links oder Dateianhängen. Sobald Mitarbeiter oder der Chef darauf klicken, erhalten die Hacker Zugriff auf Passwörter und sensible Daten oder können den Computer sogar fernsteuern.

Laut „E-Mail Threat Report“ der Netzwerksicherheitsfirma FireEye wächst die Zahl der Phishing-Angriffe rasant. Insbesondere Angriffe über Links wurden häufiger registriert – die Zahlen liegen um ein Viertel höher als im Quartal zuvor. Hacker nutzten zum Beispiel URLs mit HTTPS, um Adressaten auszutricksen – das Kürzel wird als Hinweis auf einen vertrauenswürdigen Link wahrgenommen.

Solche gefährlichen Nachrichten zu erkennen, kann knifflig sein: „Diese E-Mails sehen meist normal aus. Deshalb fallen die Leute auch darauf rein“, sagt Nabil Alsabah, Referent für IT-Sicherheit beim Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bitkom).

Phishing-Mails greifen immer wieder auf gängige Tricks zurück. Wer die kennt, ist besser geschützt. Diese Anleitung sollten Sie an Ihre Mitarbeiter weitergeben – und natürlich auch selbst befolgen.

Zur Person
Nabil Alsabah ist Experte für IT-Sicherheit und Bereichsleiter Künstliche Intelligenz & Big-Data beim Digitalverband Bitkom.

So wappnen Sie Mitarbeiter gegen Cyber-Angriffe

1. Warnzeichen erkennen

Wenn Mails folgende Merkmale haben, sollten Sie aufhorchen:

  • Keine persönliche Anrede
  • Betreffzeilen, die von einem bekannten Dienstleister stammen können. „Problem mit Ihrer Netflix Mitgliedschaft“ oder „Bitte bestätigen Sie Ihr Microsoft Office 365 Passwort“ sind beliebte Phishing-Betreffzeilen, wie FireEye herausfand.
  • Rechnungen, die Sie nicht zuordnen können
  • Aufforderungen, die angehängte Datei oder einen Link zu öffnen
  • die Bitte, personenbezogene Daten zu versenden
  • Aufforderungen der Bank, die PIN oder Kreditkartendaten zu mailen (Banken fordern Sie niemals dazu auf – und verschicken in der Regel Briefe statt E-Mails)
  • Aufforderungen der Bank, sich beim Online-Banking neu einzuloggen. Hinterlegte Links führen auf gefälschte Websites, die den Nutzer auffordern, PIN und TAN einzugeben (Eine echte Bank fragt beim Einloggen nie nach einer TAN).
  • Zahlungsaufforderungen und Mahnungen mit Zeitdruck und Androhungen von Konsequenzen, wenn Sie es nicht zahlen (echte Mahnungen kommen in der Regel per Post)
  • Besonders fies: die Chef-Masche. Die vermeintliche Geschäftsführung fordert Mitarbeiter auf, möglichst schnell eine große Summe zu überweisen – das Geld landet meist auf ausländischen Konten, die sofort leergeräumt werden (Wenn Sie solche Mails erhalten, prüfen Sie unbedingt die E-Mail-Adresse und fragen Sie die Geschäftsführung, ob sie die Mail tatsächlich geschickt hat)
  • unseriöse Absenderadressen (zum Beispiel wirre Kombinationen aus Buchstaben und Zahlen)

2. Im Zweifelsfall: Recherchieren und nachfragen

Sind Sie unsicher, ob eine Mail seriös ist: einzelne Sätze aus der Mail kopieren und in eine Suchmaschine eintippen oder den Absender googeln. Handelt es sich bei der Mail um eine breit gestreute Attacke, finden Sie das schnell heraus.

Nicht immer können Sie Mails so erkennen. Manche Angreifer spähen ihre Opfer geradezu aus, bevor sie zuschlagen. Wie in diesem Fall: „Der Mitarbeiter einer Firma interessierte sich für Barbeque-Rezepte“, berichtet Alsabah. „Er hat wie üblich eine E-Mail mit Rezepten bekommen und den Anhang geöffnet – aber die Datei enthielt Schadsoftware. Der Angreifer hatte sich mit der Person auseinandergesetzt, herausgefunden, dass er sich für das Thema interessiert und Rezept-Mails bekommt. Und dann hat er eine ähnliche E-Mail formuliert.“

Sind Sie unsicher, ob die Mail seriös ist, rufen Sie beim Absender an (nicht auf die Mail antworten!). Suchen Sie die Nummer im Internet, verlassen Sie sich nicht auf Telefonnummern in der Signatur der Mail.

In eigener Sache
Machen ist wie wollen, nur krasser
Machen ist wie wollen, nur krasser
Die impulse-Mitgliedschaften - Rückenwind für Unternehmerinnen und Unternehmer

3. Löschen und Kollegen warnen

Haben Sie eine Mail als Betrugsversuch identifiziert, löschen Sie sie sofort. Häufig erhält nicht nur ein Angestellter Phishing-Mails – deshalb sollten Sie Kollegen warnen.

4. Auf eine Phishing-Mail reingefallen? Sofort Bescheid sagen

Trotz aller Vorsichtsmaßnahmen kann es passieren, dass Sie auf Phishing-Mails reinfallen. „Es gibt keine absolute Sicherheit“, sagt Nabil Alsabah. Wer unabsichtlich Daten preisgibt oder schädliche Dateien auf den PC lädt, muss sofort Alarm schlagen und, die IT-Abteilung (sofern es sie gibt), den IT-Beauftragten und den Chef informieren.

Haben Sie einen Dateianhang einer Phishing-Mail geöffnet, haben Sie höchstwahrscheinlich ein Schadprogramm heruntergeladen. Den Virenscanner rüberlaufen zu lassen, kann helfen. Aber: „Es gibt genug komplexe Viren, die den Scanner austricksen können“, sagt Alsabah. Fahren Sie den Computer runter und nutzen Sie ihn nicht mehr, bis Fachleute ihn überprüft und bereinigt haben.

Was Chefs noch unternehmen können, um die Firma zu schützen

Alsabah empfiehlt Chefs grundsätzlich, in die IT-Sicherheit im Unternehmen zu investieren. Intern können Sie zum Beispiel:

  • allen Mitarbeitern ein Anti-Viren-Programm kaufen – und genau wie die Firewall regelmäßig updaten.
  • einen IT-Beauftragten schulen: Alsabah empfiehlt, einen Mitarbeiter weiterzubilden, der auf die IT-Sicherheit im Unternehmen achtet. Dazu gehört zum Beispiel: Sind Antivieren-Programme installiert? Installieren wir regelmäßig Updates, die Sicherheitslücken schließen? Wer darf in der Firma auf welche Daten zugreifen?
  • Mails verschlüsseln: Verschickt man sensible Daten per Mail – z.B. Kontoinformationen – , ist es sicherer, die Mail zu verschlüsseln. „Allerdings sind die üblichen Methoden zur E-Mail-Verschlüsselung noch nicht sehr benutzerfreundlich“, sagt Alsabah. „Ich hoffe, dass es mit der Zeit einfacher wird und Mails automatisch verschlüsselt werden.“

Auch externe Anbieter können Ihnen helfen, die Firma vor Angreifern zu schützen:

  • Lassen Sie die IT-Infrastruktur der Firma durch externe Sicherheitsaudits prüfen.
  • Trainieren Sie Mitarbeiter mit Online-Tools: Awareness im Mittelstand, eine Initiative des Bundesministeriums für Wirtschaft und Energie, zeigt Unternehmen beispielsweise interaktiv, wie Phishing-Mails aussehen, und testet Mitarbeiter, ob sie diese erkennen. Die Trainings sind kostenlos.
  • Testen Sie Mitarbeiter: Sie können spezialisierte Firmen damit beauftragen, Ihren Mitarbeitern gezielt Phishing-Mails zu schicken. Diese Firmen greifen keine sensiblen Daten ab und hacken Ihr Unternehmen nicht, sondern finden Sicherheitslücken. Alsabah: „Der Lerneffekt ist größer, wenn Mitarbeiter nicht nur erzählt bekommen, was sie nicht tun sollen, sondern selbst auf eine Mail reinfallen und man ihnen erklärt, welche Warnzeichen sie übersehen haben.“
Plötzlich geht nichts mehr. Alles ist weg. Die Kundendaten, die Dokumente, Rechnungen, Passwörter, Projektpläne, sogar Kreditkartendaten. Ein Horrorszenario für jedes Unternehmen: Ein Mitarbeiter hat einen so genannten Verschlüsselungstrojaner heruntergeladen, weil er den Anhang einer unseriösen Mail geöffnet hat. Um die Daten zurückzuerhalten, soll die Firma Geld zahlen. Laut einer Studie im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft von 2019 hat jedes vierte mittelständische Unternehmen in Deutschland schon Schäden von Cyberangriffen davongetragen. Die Angriffe legten 59 Prozent der betroffenen Firmen vorübergehend lahm, mehr als die Hälfte musste für Aufklärung und Datenwiederherstellung zahlen. Besonders weit verbreitet: Phishing Bei 70 Prozent der gehackten Unternehmen gelangten die Angreifer mit Hilfe sogenannter Phishing-Mails an Daten: Sie versteckten Viren oder Trojaner in Links oder Dateianhängen. Sobald Mitarbeiter oder der Chef darauf klicken, erhalten die Hacker Zugriff auf Passwörter und sensible Daten oder können den Computer sogar fernsteuern. Laut "E-Mail Threat Report" der Netzwerksicherheitsfirma FireEye wächst die Zahl der Phishing-Angriffe rasant. Insbesondere Angriffe über Links wurden häufiger registriert - die Zahlen liegen um ein Viertel höher als im Quartal zuvor. Hacker nutzten zum Beispiel URLs mit HTTPS, um Adressaten auszutricksen - das Kürzel wird als Hinweis auf einen vertrauenswürdigen Link wahrgenommen. Solche gefährlichen Nachrichten zu erkennen, kann knifflig sein: „Diese E-Mails sehen meist normal aus. Deshalb fallen die Leute auch darauf rein“, sagt Nabil Alsabah, Referent für IT-Sicherheit beim Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bitkom). Phishing-Mails greifen immer wieder auf gängige Tricks zurück. Wer die kennt, ist besser geschützt. Diese Anleitung sollten Sie an Ihre Mitarbeiter weitergeben – und natürlich auch selbst befolgen. So wappnen Sie Mitarbeiter gegen Cyber-Angriffe 1. Warnzeichen erkennen Wenn Mails folgende Merkmale haben, sollten Sie aufhorchen: Keine persönliche Anrede Betreffzeilen, die von einem bekannten Dienstleister stammen können. „Problem mit Ihrer Netflix Mitgliedschaft“ oder „Bitte bestätigen Sie Ihr Microsoft Office 365 Passwort“ sind beliebte Phishing-Betreffzeilen, wie FireEye herausfand. Rechnungen, die Sie nicht zuordnen können Aufforderungen, die angehängte Datei oder einen Link zu öffnen die Bitte, personenbezogene Daten zu versenden Aufforderungen der Bank, die PIN oder Kreditkartendaten zu mailen (Banken fordern Sie niemals dazu auf – und verschicken in der Regel Briefe statt E-Mails) Aufforderungen der Bank, sich beim Online-Banking neu einzuloggen. Hinterlegte Links führen auf gefälschte Websites, die den Nutzer auffordern, PIN und TAN einzugeben (Eine echte Bank fragt beim Einloggen nie nach einer TAN). Zahlungsaufforderungen und Mahnungen mit Zeitdruck und Androhungen von Konsequenzen, wenn Sie es nicht zahlen (echte Mahnungen kommen in der Regel per Post) Besonders fies: die Chef-Masche. Die vermeintliche Geschäftsführung fordert Mitarbeiter auf, möglichst schnell eine große Summe zu überweisen – das Geld landet meist auf ausländischen Konten, die sofort leergeräumt werden (Wenn Sie solche Mails erhalten, prüfen Sie unbedingt die E-Mail-Adresse und fragen Sie die Geschäftsführung, ob sie die Mail tatsächlich geschickt hat) unseriöse Absenderadressen (zum Beispiel wirre Kombinationen aus Buchstaben und Zahlen) 2. Im Zweifelsfall: Recherchieren und nachfragen Sind Sie unsicher, ob eine Mail seriös ist: einzelne Sätze aus der Mail kopieren und in eine Suchmaschine eintippen oder den Absender googeln. Handelt es sich bei der Mail um eine breit gestreute Attacke, finden Sie das schnell heraus. Nicht immer können Sie Mails so erkennen. Manche Angreifer spähen ihre Opfer geradezu aus, bevor sie zuschlagen. Wie in diesem Fall: „Der Mitarbeiter einer Firma interessierte sich für Barbeque-Rezepte“, berichtet Alsabah. „Er hat wie üblich eine E-Mail mit Rezepten bekommen und den Anhang geöffnet – aber die Datei enthielt Schadsoftware. Der Angreifer hatte sich mit der Person auseinandergesetzt, herausgefunden, dass er sich für das Thema interessiert und Rezept-Mails bekommt. Und dann hat er eine ähnliche E-Mail formuliert.“ Sind Sie unsicher, ob die Mail seriös ist, rufen Sie beim Absender an (nicht auf die Mail antworten!). Suchen Sie die Nummer im Internet, verlassen Sie sich nicht auf Telefonnummern in der Signatur der Mail. 3. Löschen und Kollegen warnen Haben Sie eine Mail als Betrugsversuch identifiziert, löschen Sie sie sofort. Häufig erhält nicht nur ein Angestellter Phishing-Mails – deshalb sollten Sie Kollegen warnen. 4. Auf eine Phishing-Mail reingefallen? Sofort Bescheid sagen Trotz aller Vorsichtsmaßnahmen kann es passieren, dass Sie auf Phishing-Mails reinfallen. „Es gibt keine absolute Sicherheit“, sagt Nabil Alsabah. Wer unabsichtlich Daten preisgibt oder schädliche Dateien auf den PC lädt, muss sofort Alarm schlagen und, die IT-Abteilung (sofern es sie gibt), den IT-Beauftragten und den Chef informieren. Haben Sie einen Dateianhang einer Phishing-Mail geöffnet, haben Sie höchstwahrscheinlich ein Schadprogramm heruntergeladen. Den Virenscanner rüberlaufen zu lassen, kann helfen. Aber: „Es gibt genug komplexe Viren, die den Scanner austricksen können“, sagt Alsabah. Fahren Sie den Computer runter und nutzen Sie ihn nicht mehr, bis Fachleute ihn überprüft und bereinigt haben. Was Chefs noch unternehmen können, um die Firma zu schützen Alsabah empfiehlt Chefs grundsätzlich, in die IT-Sicherheit im Unternehmen zu investieren. Intern können Sie zum Beispiel: allen Mitarbeitern ein Anti-Viren-Programm kaufen – und genau wie die Firewall regelmäßig updaten. einen IT-Beauftragten schulen: Alsabah empfiehlt, einen Mitarbeiter weiterzubilden, der auf die IT-Sicherheit im Unternehmen achtet. Dazu gehört zum Beispiel: Sind Antivieren-Programme installiert? Installieren wir regelmäßig Updates, die Sicherheitslücken schließen? Wer darf in der Firma auf welche Daten zugreifen? Mails verschlüsseln: Verschickt man sensible Daten per Mail – z.B. Kontoinformationen – , ist es sicherer, die Mail zu verschlüsseln. „Allerdings sind die üblichen Methoden zur E-Mail-Verschlüsselung noch nicht sehr benutzerfreundlich“, sagt Alsabah. „Ich hoffe, dass es mit der Zeit einfacher wird und Mails automatisch verschlüsselt werden.“ Auch externe Anbieter können Ihnen helfen, die Firma vor Angreifern zu schützen: Lassen Sie die IT-Infrastruktur der Firma durch externe Sicherheitsaudits prüfen. Trainieren Sie Mitarbeiter mit Online-Tools: Awareness im Mittelstand, eine Initiative des Bundesministeriums für Wirtschaft und Energie, zeigt Unternehmen beispielsweise interaktiv, wie Phishing-Mails aussehen, und testet Mitarbeiter, ob sie diese erkennen. Die Trainings sind kostenlos. Testen Sie Mitarbeiter: Sie können spezialisierte Firmen damit beauftragen, Ihren Mitarbeitern gezielt Phishing-Mails zu schicken. Diese Firmen greifen keine sensiblen Daten ab und hacken Ihr Unternehmen nicht, sondern finden Sicherheitslücken. Alsabah: „Der Lerneffekt ist größer, wenn Mitarbeiter nicht nur erzählt bekommen, was sie nicht tun sollen, sondern selbst auf eine Mail reinfallen und man ihnen erklärt, welche Warnzeichen sie übersehen haben.“