- Klare Hinweise, um Phishing zu erkennen
- Praktische Tipps, um sich und die eigenen Daten zu schützen
- Verständliche Angaben, was Opfer von Phishing tun können
- Strukturierte Merkmale, um gefälschte E-Mails zu erkennen
- Effektive Argumente, um mehr Security Awareness zu schaffen Demo anfordern
5 Kurskapitel
Every course module you find here can be used as a short learning unit – also called Learning Nugget. Do you have any questions about the course content? – Kontaktieren Sie uns. Wir helfen Ihnen gerne weiter.
Aus dem Kurs
Identitätsdiebstahl: Wie Kriminelle an persönliche Daten gelangen können
Was ist Phishing? „Bei Phishing spielen Cyber-Kriminelle mit Einschüchterung, fehlendem Misstrauen und dem mangelnden technischen Verständnis potenzieller Opfer“, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Internetseite. Das Schema von Phishing-Angriffen sei immer gleich: Internetnutzer erhalten eine gefälschte E-Mail, die beispielsweise einen Link zu einer gefälschten Webseite enthält. Dort sollen sie dann Zugangs- oder Bezahldaten eingeben. „Kriminelle können so – zum Teil unbemerkt – an Ihre Login-Daten für das Online-Banking oder Webshops gelangen“, warnt das BSI unter der Überschrift „Bankbetrug im Posteingang“.
Damit ist die Frage „Was ist Phishing“ bereits zum Teil beantwortet. Wie vielfältig die Phishing-Methoden jedoch sein können, wird dieser Text noch zeigen. So viel sei verraten: Es geht um reiche Prinzen, das Vermögen einsamer Witwen und millionenschwere Lotto-Gewinner.
Phishing: das unbemerkte Abfischen vertraulicher Daten
Doch wie ist der Begriff Phishing überhaupt zustande gekommen? Phishing ist eine Wortneuschöpfung, die sich aus den englischen Wörtern „password harvesting“ („Passworte abernten“) und „fishing“ („Angeln“) zusammensetzt. Das passt. Denn das Hauptinteresse der Kriminellen, die einen Phishing-Angriff ausführen, liegt im unbemerkten Abfischen der vertraulichen Daten und persönlichen Informationen ihrer Opfer.
Wer eine kurze und knackige Phishing-Definition sucht, kann im Wörterbuch nachschlagen. Seit dem Jahr 2006 ist der Begriff im Duden gelistet. Dort findet sich unter dem Stichwort „Phishing“ folgendes: „Beschaffung persönlicher Daten anderer Personen (wie Passwort, Kreditkartennummer o. Ä.) mit gefälschten E-Mails oder Websites“.
Das Phänomen Phishing ist älter als das Internet
Bis die Duden-Redaktion ein neues Wort in ihr Nachschlagewerk aufnimmt, vergeht mitunter eine lange Zeit. Und, ja, auch Phishing ist keine neue Erscheinung. Schon lange bevor das Internet zum Massenmedium wurde, versuchten Betrüger, sich das Vertrauen gutgläubiger Menschen zu erschleichen, um an ihre vertraulichen Daten zu gelangen – etwa per Telefonanruf. Das war mühsam und zeitaufwändig: Wenn ein Betrugs-Telefonat im Schnitt knapp fünf Minuten dauert, müsste ein Betrüger rund 8.000 Stunden mit Telefonieren verbringen, um 100.000 Menschen zu erreichen.
Das Internet hat den Kriminellen dann ganz neue Möglichkeiten eröffnet. Heute können sie mit nur einem einzigen Mausklick innerhalb von Sekunden 100.000 betrügerische E-Mails verschicken.
Phishing-Betrüger waren schon in den 1990ern online
Schon in den 1990er-Jahren hat es im Internet erste Formen von Phishing gegeben: Nutzer von Instant-Messengern erhielten ein an ihre Mail-Adresse gerichtetes Schreiben, in dem sie aufgefordert wurden, ihre Zugangsdaten in ein Online-Formular zu tippen. Wer darauf hereinfiel und seine Daten preisgab, hatte ein Problem. Der Betrüger konnte nämlich nun mit den Informationen sämtliche Chat-Verläufe seines Opfers einsehen und das Nutzerkonto fortan unter dessen Namen verwenden.
Noch bedrohlicher wurde es, als Online-Banking an Beliebtheit gewann. Die Möglichkeit, seine Geldgeschäfte am Bildschirm vorzunehmen, ist zwar bequem – aber auch mit gewissen Risiken verbunden. Das haben Phishing-Betrüger ausgenutzt. Sie verschickten offiziell aussehende Phishing-Mails an die Mail-Adressen möglicher Opfer. In den Schreiben forderten sie die Nutzer auf, Log-in-Namen oder Passwörter sowie PIN- und TAN-Nummern anzugeben. Wer nicht in der Lage war, die Phishing-Mail zu erkennen und den Betrügern ins Netz ging, hatte schlechte Karten. Mit den fremden Zugangsdaten konnten die Betrüger reihenweise Konten leerräumen. Tatsächlich gibt es immer noch Phishing-Attacken, die nach diesem Muster ablaufen. Und noch immer fallen Internetnutzer darauf herein.
Schutz vor Phishing: Mit Nachsicht und Bedacht das Risiko verringern
Kommt es zu einem Phishing-Versuch, ist Vorsicht geboten. Anders als bei einem ausgefeilten Hacker-Angriff, hat der Otto-Normal-Nutzer beim Phishing nämlich durchaus eine Chance, sich zu wehren. Denn beim Phishing ist die Schwachstelle nicht etwa die Technik – sondern der Mensch. Wer im Netz mit Bedacht und Nachsicht unterwegs ist, verringert sein persönliches Risiko, Phishing-Betrügern in die Falle zu gehen. Dies gilt sowohl bei der Internetnutzung im privaten Bereich, aber auch – und zwar ganz besonders – bei der beruflichen Nutzung des Internets.
Unternehmensprozesse laufen längst auf allen Ebenen digital ab. Dass Arbeitnehmer vermehrt im Home-Office arbeiten, stellt Unternehmen vor eine zusätzliche Herausforderung. Die Beschäftigten müssen Phishing-Versuche erkennen können. Um ihr Bewusstsein für Bedrohungen wie Phishing zu schärfen, kann beispielsweise ein E-Learning-Kurs hilfreich sein.
Phishing führt im schlimmsten Fall zum Ausfall des kompletten Betriebs
Im Online-Training von Security Island erfahren die Teilnehmer etwa, dass Phishing-Versuche nicht nur per E-Mail stattfinden. Auch soziale Netzwerke, Sofortnachrichten oder SMS werden von Betrügern genutzt. Solches Wissen ist hilfreich. Sollte es nämlich dazu kommen, dass ein Mitarbeiter einer Phishing-Attacke aufsitzt, drohen massive Schäden. Sensible Firmen- und Kundendaten sind dann in Gefahr, sogar komplette Betriebsausfälle sind denkbar.
Zwar wird seit Jahren vor Phishing gewarnt. Dennoch gehen die Hinweise oft ins Leere, weil Internetnutzer unbedarft auf Buttons oder Links klicken. Selbst IT-Experten sind nicht davor sicher. Auch ihnen kann es passieren, dass sie schädliche Links in täuschend echt aussehenden Mails oder auf einer gefälschten Website anklicken.
Phishing-Attacken: Beispiele aus der Praxis
Was das bedeutet, zeigen Beispiele aus der Praxis. Eine Phishing-Attacke beginnt oft ganz harmlos: Im E-Mail-Postfach landet beispielsweise die Nachricht eines reichen Prinzen aus dem Ausland, der fragt, ob man mit einer kleinen Anschubfinanzierung dabei helfen könne, eine größere Geldsumme nach Europa zu transferieren. Als Dankeschön verspricht der solvente Adelsmann eine hübsche Provision. Dass es sich dabei um eine Lügengeschichte handelt, dürfte wohl jedem Internetnutzer klar sein. Dennoch gibt es immer wieder Menschen, die leichtsinnig Geld an den „Prinzen“ überweisen – und dann nie wieder von ihm hören.
Eine andere Phishing-Masche läuft so ab: Ein mutmaßlicher „Anwalt“ gibt vor, den Erben einer reichen Witwe zu suchen. Sein Schreiben kommt per E-Mail und wirkt täuschend echt. Briefkopf, Siegel, Logo, Postanschrift – alles vorhanden. Und doch ein Märchen. Wer den „Anwalt“ kontaktiert, und sich von ihm einwickeln lässt, steuert der Katastrophe bereits entgegen. Der mutmaßliche Jurist verlangt dann beispielsweise, dass der „Erbe“ ein neues Konto einrichtet und die Daten preisgibt, um den Nachlass zu empfangen. Dass dieses Konto dann für kriminelle Aktivitäten genutzt wird, erfährt er erst, wenn es zu spät ist.
Ein weiteres Beispiel für Phishing ist der sogenannte Lotterie-Betrug: Im Mail-Postfach landet ein hochwertig gefälschtes Schreiben einer Lotto-Gesellschaft aus Spanien. Darin wird dem Empfänger ein riesiger Gewinn in Aussicht gestellt. Wenn die Betrüger dieses Schreiben 100.000 Mal verschicken, können sie damit rechnen, dass rund zehn Empfänger auf einen Link in der Mail klicken, um ihren Gewinn einzufordern. Durch den Link-Klick installieren sie unbemerkt eine Spionage-Software auf ihrem Computer und sind nun den Kriminellen ausgeliefert.
Phishing-Versuche erkennen dank guter Vorbereitung
Es zeigt sich: Jeder kann Opfer von Phishing werden – und der beste Schutz vor dieser Form von Identitätsdiebstahl ist der gesunde Menschenverstand. Die eben geschilderten Beispiele gehören noch zu den leicht durchschaubaren Fällen. Es geht noch viel perfider. Nur wer sich der Methoden der Betrüger bewusst ist, erkennt eine Phishing-Attacke. Eine Möglichkeit, sich selbst oder seine Mitarbeiter für das Thema zu sensibilisieren, ist ein Online-Kurs zum Thema Phishing. Angeboten werden solche Kurse von Security Island. In dem E-Learning-Training wird das Thema Phishing mit vielen Beispielen aus der Praxis verständlich gemacht. Außerdem erfahren die Teilnehmer, wie sie sich bei einer Phishing-Attacke verhalten sollen.