Der IT-Blog für KMU.
Stets aktuell.
Immer.

Cyber Security in KMU: 5 Methoden, um Phishing-Attacken umzusetzen

phishing mit Fischer am SeePhishing-Attacken sind eine der grössten Bedrohungen für die Cyber Security von KMU. Angreifer versuchen mit verschiedenen Methoden unberechtigt in den Besitz der Zugangsdaten bestimmter IT-Services eines Mitarbeiters oder Managers zu gelangen. Danach kann der Betrüger mit der Identität seines Opfers das Unternehmen ausspionieren oder angreifen.

Eine der häufigsten Phishing-Arten ist der massenhafte Versand von E-Mails, die den Empfänger auf gefälschte Internetseiten locken. Dort werden sie aufgefordert, auf täuschend echt aussehenden Eingabemasken ihre Zugangsdaten einzutragen. Fällt der E-Mail-Empfänger darauf herein, fallen dem Angreifer Nutzername und Passwort in die Hände, die er für das Login in einen oder mehrere Dienste oder Plattformen des KMU einsetzen kann. Neben dieser Art der Phishing-Attacke existieren zahlreiche weitere Phishing-Varianten, um an Login-Daten heranzukommen (zu «fischen»). Wir geben einen Überblick über fünf Arten von Phishing-Attacken und die möglichen Gegenmassnahmen um die Cyber Security in KMU zu schützen.

5 Arten von Phishing in KMU

Die nachfolgenden Phishing-Methoden sind bei Angreifern beliebt und kommen besonders häufig zum Einsatz:

1. Social Engineering

Social Engineering nutzt menschliche Schwächen aus, um in den Besitz der Zugangsdaten zu gelangen. Angreifer versuchen das Vertrauen einer Person zu erschleichen, damit diese ihnen vertrauliche Informationen wie Nutzernamen oder Passwörter preisgibt. Es müssen keine technischen Methoden oder das Internet zum Einsatz kommen. Social Engineering kann etwa in Telefonaten, beim Gespräch an der Hotelbar, bei der scheinbaren Behebung einer Störung oder durch einfaches Belauschen stattfinden. Beim «CEO-Fraud» übernimmt der Täter die Rolle eines leitenden Angestellten oder des CEO und versucht via beispielsweise via eine E-Mail den Mitarbeiter zur Herausgabe von Login-Daten zu motivieren.

2. Insider-Bedrohung

Die Insider-Bedrohung geht immer von Mitarbeitenden, Kunden oder Partnern des Unternehmens aus. Sie haben Zugriff auf IT-Systeme oder bestimmte Daten und stellen eine interne Gefahr für die Cyber Security dar. Insider versuchen ihre Stellung im Unternehmen, ihre übertragenen Aufgaben oder ihre Berechtigungen auszunutzen, um in den Besitz der Zugangsdaten anderer Mitarbeitenden oder einer Führungskraft zu gelangen. Beispielsweise fordert ein Mitarbeiter des IT-Supports einen anderen Mitarbeiter dazu auf, ihm seine Kennung zur Störungsbehebung zu nennen. Insider-Bedrohungen sind schwer zu erkennen und zu vermeiden.

3. Whaling-Angriff (Whale Phishing)

Um beim Bild des Fischens zu bleiben, richtet sich der Whaling-Angriff (Whaling-Angriff) an besonders grosse Fische wie Wale. Diese Phishing-Methode hat Manager oder Geschäftsführer im Visier und versucht deren Zugangskennungen zu ergaunern. Whaling nutzt nicht den massenhaften E-Mail-Versand, sondern kommuniziert ganz gezielt mit Führungskräften. Gelangt der Angreifer in den Besitz der Zugangskennungen eines Managers, kann er unter Umständen grossen Schaden anrichten. Führungskräfte haben oft besondere Rechte und können beispielsweise Finanztransaktionen legitimieren.

4. Spear Phishing

Auch das Spear Phishing lässt sich mit einer Analogie aus der Fischerei erklären. Ein Fischer erlegt dabei einen einzelnen Fisch mit einem Speer. Im Phishing-Umfeld bedeutet das, dass sich die Phishing-Attacke an eine bestimmte Einzelperson oder Zielgruppe wendet. Diese Phishing-Art arbeitet mit individuellen E-Mails und gefälschten Absenderadressen. Der Angreifer muss zuvor Informationen über die Zielperson einholen. Für die Zielperson ist es anschliessend schwer zu erkennen, ob die betrügerische E-Mail von einem Angreifer oder einem echten Kontakt stammt. Beispielsweise sendet ein Angreifer eine Bewerbung auf eine tatsächlich ausgeschriebene Stelle an die Personalabteilung und fügt einen gefälschten Link ein oder hängt Malware an.

5. Mobile Phishing

Mobile Phishing-Angriffe sind technisch so gestaltet, dass sie die Schwächen der Mobilgeräte und der mobilen Kommunikation ausnutzen. Zum Einsatz kommen beispielsweise SMS- und MMS-Nachrichten, Messenger-Nachrichten, Apps oder URL-Padding. Das URL-Padding basiert auf der verkürzten Darstellung von Links auf den kleinen Displays der Mobilgeräte und verbirgt so betrügerische Links. Angreifer fordern bei mobilen Phishing-Angriffen aber auch dazu auf, harmlos erscheinende Apps zu installieren. Sind diese auf den Geräten aktiv, ermöglichen diese im Hintergrund den Diebstahl von Kennungen oder anderen Daten.

Mögliche Massnahmen gegen Phishing

Zum Schutz vor Phishing-Angriffen sind technische und organisatorische Massnahmen zu ergreifen. Diese Gegenmassnahmen sind beispielsweise:

  • Sensibilisierung und laufende Schulung der Mitarbeitenden
  • Gesundes Misstrauen im Umgang mit E-Mails und bei der Eingabe von Zugangsdaten
  • Einsatz von E-Mail- und Spam-Filtern
  • Nutzung von Webbrowsern mit Erkennung von Phishing-Links
  • Phishing-Tests durch die interne IT-Abteilung oder durch externen IT-Dienstleister

Fazit

Phishing-Attacken können auf sehr vielfältige Weise auftreten. Um das Risiko für die Cyber Security zu minimieren, sollten Mitarbeitende und Führungskräfte eines KMU auf Phishing sensibilisiert sein. Treten Zweifel auf, ob es sich gerade ein Phishing-Angriff ereignet, ist es ratsam, sich von der eigenen IT-Abteilung oder einen neutralen externen Anbieter von Managed IT Services beraten zu lassen. Die Sicherheitsexperten des Dienstleisters sind vertraut mit den erwähnten und zahlreichen weiteren Phishing-Methoden.

Personal als IT-Risikofaktor: Mehr IT-Sicherheit durch risikobewusste Mitarbeitende

Titelbild: Frank Busch auf Unsplash

Themen: Cyber Security, Cyber-Risiken
Autor: Philipp Hollerer | 15.05.2018 | 03:51
Philipp Hollerer
Besuchen Sie mich auf Social Media:

Jetzt IT-Blog für KMU als E-Mail abonnieren.