Eine der häufigsten und erfolgreichsten Angriffsmethoden auf die Cyber Security in KMU ist die Phishing-Attacke. Sie kommt in zahlreichen Varianten zum Einsatz und kann gravierende Folgen für ein KMU haben. Doch was ist Phishing eigentlich? Welche Methoden gibt es und welche Auswirkungen kann es haben? Wie schützt sich ein KMU davor?
Phishing kurz erklärt
Das deutsche Wort für Phishing lautet «Angeln» oder «Fischen». Mit diesem bildhaften Ausdruck lässt sich die Funktionsweise eines Phishing-Angriffs gut erläutern. Ein Angreifer versucht sich über das Auswerfen eines Köders, Zugangsdaten eines KMU-Mitarbeiters für bestimmte IT-Services wie E-Mail-Zugänge zu angeln. Als Köder fungieren in der Regel massenhaft versandte E-Mails, welche die Empfänger auf eine gefälschte Internetseite locken sollen. Die gefälschten Internetseiten sind echten Seiten täuschend echt nachempfunden und fordern den Besucher dazu auf, Zugangsdaten einzugeben. Kommt er dieser Aufforderung nach, gelangt der Angreifer in Besitz von Usernamen und Passwörtern und kann die Identität seines Opfers bei den jeweiligen Internet-Diensten übernehmen.
Die verschiedenen Phishing-Methoden
- Massenversand von Phishing-E-Mails
Es existieren verschiedene Phishing-Methoden und zahlreiche Varianten davon. Am häufigsten kommt das massenhafte Versenden von Phishing-E-Mails an beliebige Empfänger-Adressen zum Einsatz. Die Angreifer gehen davon aus, dass ein bestimmter Prozentsatz durch die gefälschten Nachrichten getäuscht wird und Zugangsdaten preisgibt. - Spear-Phishing
Eine weitere Methode ist das sogenannte Spear-Phishing (Speer-Fischen). Um beim Bild vom Fischen oder Angeln zu bleiben, versucht diese Methode einen einzelnen Fisch zu erlegen. Der Angriff richtet sich an eine bestimmte Zielgruppe oder Einzelperson und arbeitet mit individualisierten E-Mails mit gefälschten, dem Empfänger oft bekannten Absenderadressen. Die E-Mails sind kaum von E-Mails echter Kontakte zu unterscheiden, locken aber mit gefälschten Links oder Anhängen auf Phishing-Seiten. - Whaling
Das Whaling hat die grossen Fische (Wale) im Visier. Diese Phishing-Methode zielt auf Geschäftsführer oder Manager ab und versucht deren Login-Daten zu erbeuten. - Telefon- oder SMS-Phishing
Neben dem E-Mail-Phising gibt es Phishing-Methoden, die andere Kommunikationskanäle wie Telefon, SMS oder andere Kommunikationsplattformen nutzen. Das Ziel bleibt gleich: Unbefugt an Nutzerkennungen und Passwörter der Opfer zu gelangen.
Welche Auswirkungen ein erfolgreicher Phishing-Angriff auf ein KMU haben kann
Abhängig davon, welche Zugangskennungen ein Angreifer erbeutet, kann die Gefährdung der Cyber Security durch kriminelle Handlungen unterschiedlich sein. Mögliche Gefährdungen reichen vom Versenden gefälschter Mails, über das Bestellen von Waren im Namen des Unternehmens bis zu unbefugt durchgeführten Finanztransaktionen. Dementsprechend unterschiedlich sind die Auswirkungen für das KMU: Imageschäden, finanziellen Schäden bis hin zur Gefährdung des Fortbestands eines KMU können die Folge sein.
Welche Schutzmassnahmen sollte ein KMU vor Phishing-Attacken ergreifen?
Ein KMU darf sich Phising-Angriffen nicht schutzlos ausliefern. Durch das Ergreifen von technischen und organisatorischen Massnahmen lässt sich das Risiko für die IT-Sicherheit deutlich senken. Im Folgenden ein kurzer Überblick über die wichtigsten Schutzmassnahmen.
Organisatorische Massnahmen gegen Phishing-Attacken
Ergreift ein KMU die richtigen organisatorischen Massnahmen, ist bereits ein recht guter Schutz vor Phishing-Angriffen gegeben. Wichtig sind die Schulung und Sensibilisierung der Mitarbeitenden bezüglich des Phishings. Grundsätzlich sollten Mitarbeitende die verschiedenen Phishing-Methoden und ihre Funktionsweisen kennen. Darüber hinaus sind ein gesundes Misstrauen und eine gewisse Vorsicht im Umgang mit E-Mails und bei der Eingabe von Zugangskennungen notwendig. Oft lassen sich Phishing-E-Mails direkt anhand verschiedener Merkmale erkennen:
- Auffällig viele Rechtschreibfehler in der Mail
- Verdächtiger Absender
- Verdächtiger Link in der E-Mail
- Verdächtiger Anhang
- Fehlende persönliche Ansprache mit Namen
Grundsätzlich ist den Mitarbeitern davon abzuraten, auf Links einer E-Mail zu klicken oder beliebige Anhänge zu öffnen. Zuvor sollte eine Prüfung auf die genannten verdächtigen Merkmale erfolgen. Nach dem Anklicken eines Links, ist die korrekte Identität der geöffneten Seite in der Adresszeile zu prüfen. Kann die Echtheit einer E-Mail, eines Links oder eines Anhangs nicht zweifelsfrei nachgewiesen werden, ist die direkte persönliche oder telefonische Nachfrage beim Absender zu empfehlen oder die IT-Abteilung bzw. der externe IT-Dienstleister zu benachrichtigen.
Technische Massnahmen gegen Phishing-Attacken
Neben den organisatorischen Massnahmen gehören technische Vorkehrungen zu einer wirksamen Phishing-Abwehr. Wichtig für die IT-Sicherheit sind Filter auf den E-Mail-Servern, die Phishing-Mails und andere bösartige Mails oder Spam-Mails ausfiltern und gar nicht erst zustellen. Auch einige E-Mail-Programme selbst sind in der Lage, zugestellte E-Mails vor dem Öffnen nach Phishing-Kriterien zu untersuchen. Sie warnen beispielsweise, wenn ein Anwender einen Link anklicken möchte, der nicht zum angezeigten Ziel führt. Darüber hinaus kennen und identifizieren moderne Internetbrowser Phishing-Webseiten – sie warnen die Anwender vor dem Laden solcher Seiten.
Zu den Schutzmassnahmen gegen Phishing-Angriffen gehört es auch, regelmässig alle vom KMU und seinen Mitarbeitern genutzten Online-Services wie E-Mail oder Cloud-Anwendungen auf verdächtige Vorgänge oder Transaktionen zu prüfen. So lässt sich vermeiden, dass ein erfolgreicher Phishing-Angriff unbemerkt bleibt und ein Cyberkrimineller über längere Zeit sein Unwesen treibt.
Fazit
Ein erfolgreicher Phishing-Angriff kann fatale Auswirkungen für ein KMU haben. Mit den geeigneten organisatorischen und technischen Massnahmen kann es sich davor schützen. Wichtig ist es, die Mitarbeiter in den Schutz vor Phishing-Angriffen durch Sensibilisierung einzubeziehen und sie regelmässig zu schulen sowie die Cyber Security im Unternehmen technisch auf dem neuesten Stand zu halten. Sollte das KMU über keine eigene IT-Abteilung verfügen, so sind Cyber-Security-Experten von Anbietern von Managed IT Services in der Lage, wirksame Vorkehrungen zu treffen.
Titelbild: Photo by stephen momot on Unsplash