Der Schlüssel zur erfolgreichen Phishing Prävention

Funktionsweise, Folgen, Rechtsprechung

Phishing, das sich zusammensetzt aus den englischen Wörtern Password und Fishing, meint das Ausspionieren von Passwörtern oder anderen geheimen Daten im Internet. Angriffsziel des Phishing sind vor allem Zugangsdaten für Banken (Online-Banking), Versandhäuser oder Internet-Auktionshäuser.

Wann liegt ein Phishing-Angriff vor?

Die Täter richten zunächst irgendwo im Internet eine Website ein, die derjenigen der betreffenden Bank täuschend ähnlich sieht. Dann werden Kunden in massenhaft versandten Emails, die vorgeblich ebenfalls von dieser Bank stammen, unter einem Vorwand, z.B. notwendige Aktualisierung von Datenbeständen, aufgefordert, einem in der Mail enthaltenen Link zu folgen, der auf die gefälschte Website führt.

Dort sollen die Kunden ihre Zugangsdaten, PIN und/oder TAN in dafür vorgesehene Felder eingeben. Tun sie dies, erhalten die Täter Kenntnis von diesen Daten und können sie auf der Original-Website der Bank einsetzen, um an Stelle des Bankkunden auf dessen Konto zuzugreifen und davon Überweisungen zu ihren Gunsten zu tätigen.

Welche Straftatbestände werden beim Phishing erfüllt?

Durch das Erstellen der gefälschten Website sowie der gefälschten Email kann eine strafbare Marken- bzw. Urheberrechtsverletzung (§ 143 MarkenG, §§ 106 ff. UrhG) sowie eine Strafbarkeit gemäß § 263a Abs.3 (Vorbereitung eines Computerbetrugs) und § 269 1.Alt. StGB (Fälschung beweiserheblicher Daten) gegeben sein.

sowie der kann eine (§ 143 MarkenG, §§ 106 ff. UrhG) sowie eine Strafbarkeit gemäß § 263a Abs.3 (Vorbereitung eines Computerbetrugs) und § 269 1.Alt. StGB (Fälschung beweiserheblicher Daten) gegeben sein. Durch das Versenden der gefälschten Email wird der Straftatbestand des § 269 2.Alt. StGB und des versuchten Betruges gemäß § 263 StGB erfüllt.

wird der Straftatbestand des § 269 2.Alt. StGB und des versuchten Betruges gemäß § 263 StGB erfüllt. Werden mittels Phishing tatsächlich vertrauliche Zugangsdaten erlangt , liegt ein vollendeter Betrug gemäß § 263 StGB vor.

, liegt ein vollendeter Betrug gemäß § 263 StGB vor. Die Verwendung der erschlichenen Daten und die Geldabhebung stellt einen Computerbetrug gemäß § 263a StGB dar.

Welche zivilrechtlichen Ansprüche bestehen beim Phishing?

Beim Online-Banking kann der Kunde gegenüber der Bank auf Schadensersatz haften, wenn er nach Erkennen eines Phishing-Angriffs untätig bleibt und damit seine Informationspflicht gegenüber der Bank verletzt. Eine schadensersatzpflichtige Verletzung der Geheimhaltungspflicht von PIN und TAN, die regelmäßig Vertragsinhalt zwischen Bank und Kunde ist, kann im Rahmen einer notwendigen Einzelfallabwägung gegeben sein, wenn der vom Phishing betroffene Kunde deutliche Verdachtsmomente übersieht.

Dabei ist auch von Bedeutung, ob die Bank durch ihr Verhalten Anlass gab, die Phishing-Email und die Website des Täters für echt zu halten, etwa durch Nutzung von Emails zur Kommunikation mit dem Kunden oder durch häufig wechselndes Design der Login-Seite. Der Bank kann bei nicht rechtzeitig unternommenen hinreichenden Maßnahmen zur Verhinderung von Phishing ein Mitverschulden angelastet werden.

BGH-Rechtsprechung

Mit einem neuen Urteil hat der BGH (Urteil v. 24.4. 2012, XI ZR 96/11) die Kunden weitgehend in die Pflicht genommen, auf Warnungen ihrer Banf vor falschen Anfragen zu reagieren: Bankkunden, die auf gefälschten Webseiten leichtfertig ihre Geheimnummern angeben, müssen für Betrugsschäden selbst aufkommen. Dabei sei es unerheblich, ob der eingeräumte Kreditrahmen des Kunden überschritten werde.

In dem Fall war ein Kunde war Opfer eines Pharming-Angriffs geworden, bei dem der korrekte Aufruf der Website der Bank technisch in den Aufruf einer betrügerischen Seite umgeleitet worden ist.

Identitätsdiebstahl: Wenn Kriminelle in fremdem Namen shoppen

Identitätsdiebstahl: Wenn Kriminelle in fremdem Namen shoppen Stand: 24.03.2022 17:10 Uhr Nichts bestellt, aber Inkassoschreiben oder Mahnbescheid erhalten? Dann hat vermutlich jemand Ihre Daten gestohlen, um online einzukaufen. Was können Betroffene tun? Wie kann man sich schützen?

Kriminelle missbrauchen die Identitäten von Verbrauchern im Internet in verschiedenen Bereichen und können damit schnell hohen Schaden anrichten. Sie nutzen persönliche Daten wie Name, Geburtsdatum, Anschrift, Kreditkarten- oder Kontonummern, um auf fremde Kosten Abos und Verträge abzuschließen oder online Waren zu bestellen.

Den Verbraucherzentralen liegen zahlreiche Beschwerden zu Datenmissbrauch vor. Sie betreffen Abonnements für Streaming-Dienste oder Dating-Portale, die Einrichtung kostenpflichtiger Mail-Konten bis hin zu Warenbestellungen auf Shopping-Plattformen. Meist erfahren Betroffene erst vom Datenklau, wenn sie Rechnungen, Mahnungen oder Inkasso-Schreiben erhalten oder unbekannte Abbuchungen auf ihrem Konto feststellen.

Wie Kriminelle unter fremdem Namen online shoppen

"Häufig melden sich Kriminelle in einem Onlineshop wie Amazon mit einem fremden Namen, aber mit neuer E-Mail-Adresse an", so Kathrin Körber, Rechtsexpertin der Verbraucherzentrale Niedersachsen. Als Rechnungsadresse geben sie die gestohlene Anschrift der Person an, als Lieferadresse eine abweichende. Die Rechnungen und später auch Mahnungen des Onlineshops gehen an die eigens eingerichtete E-Mail-Adresse. So erfahren Betroffene zunächst nichts von dem Betrug, sondern erst, wenn sie offene Forderungen per Post erhalten. Denn Inkasso-Schreiben oder Mahnbescheide werden an die hinterlegte Rechnungsadresse geschickt.

Was tun bei Identitätsdiebstahl?

Stellen Betroffene fest, dass ihre Daten missbraucht wurden, gilt es nach dem ersten großen Schreck Folgendes zu tun:

Anzeige erstatten : Als Erstes sollte bei der Polizei Anzeige erstattet werden, am besten bei einer Dienststelle mit Schwerpunkt Cyberkriminalität.

: Als Erstes sollte bei der Polizei Anzeige erstattet werden, am besten bei einer Dienststelle mit Schwerpunkt Cyberkriminalität. Über Datenmissbrauch informieren : Das Inkassounternehmen und den Onlineshop schriftlich über den Datenmissbrauch informieren. Eine Bestätigung der Anzeige sollte mitgeschickt werden. Das gilt auch für den Fall, dass man Zahlungsaufforderungen von Anbietern erhält, wenn man unberechtigte Abbuchungen durch die Bank oder das Kreditkarteninstitut hat zurückbuchen lassen. Dann sollte man widersprechen, etwa mit Musterbrief, und ebenfalls eine Kopie der Anzeige als Nachweis für einen Identitätsdiebstahl beifügen.

: Das Inkassounternehmen und den Onlineshop schriftlich über den Datenmissbrauch informieren. Eine Bestätigung der Anzeige sollte mitgeschickt werden. Das gilt auch für den Fall, dass man Zahlungsaufforderungen von Anbietern erhält, wenn man unberechtigte Abbuchungen durch die Bank oder das Kreditkarteninstitut hat zurückbuchen lassen. Dann sollte man widersprechen, etwa mit Musterbrief, und ebenfalls eine Kopie der Anzeige als Nachweis für einen Identitätsdiebstahl beifügen. Mahnbescheid widersprechen : Wichtig ist außerdem, gegen einen Mahnbescheid innerhalb der gesetzlichen Frist, also innerhalb von zwei Wochen ab Zustellung, Widerspruch einzulegen.

: Wichtig ist außerdem, gegen einen Mahnbescheid innerhalb der gesetzlichen Frist, also innerhalb von zwei Wochen ab Zustellung, Widerspruch einzulegen. Auskunft einholen: Schließlich sollten Betroffene eine kostenfreie Auskunft bei der Schufa und anderen Auskunfteien einholen, um zu prüfen, welche Eintragungen gespeichert wurden. Zudem sollte der Identitätsmissbrauch auch bei den Auskunfteien gemeldet werden.

Identitätsdiebstahl: So schützen Sie sich

Betrüger haben viele Möglichkeiten an fremde Daten zu kommen, oft erfolgt das über gefälschte Angebote oder Phishing-Mails. Deshalb ist bei der Abfrage sensibler Daten wie Passwörter, Pins, Bankverbindung oder Kreditkartennummer besondere Vorsicht geboten. Aber auch Hackerangriffe auf Online-Konten bei Online-Marktplätzen oder E-Mail-Anbietern kommen immer wieder vor. Deshalb sollte man sichere Passwörter wählen und für jedes Nutzerkonto ein eigenes Passwort verwenden. Am besten lässt sich der eigene Online-Account mit der Zwei-Faktor-Authentifizierung schützen, die sich schnell und einfach einrichten lässt.

Dieses Thema im Programm: Dürfen Die Das? | 02.04.2022 | 06:45 Uhr

Der Schlüssel zur erfolgreichen Phishing Prävention

Für die Cybersecurity von Unternehmen und öffentlichen Einrichtungen stellt Phishing die größte Herausforderung dar. Nach Angaben des deutschen Bundeskriminalamts ist allein im Jahr 2021 die Anzahl an Phishing Attacken weltweit um 29 % gestiegen, wobei ein einziges Datenleck Kosten von durchschnittlich 4,7 Millionen USD verursacht. Dieses zu verhindern, gehört zu den größten Zielen der Cybersecurity.

Ein wichtiger Fakt ist dabei, dass 92 % aller Phishing Attacken per E-Mail ausgeführt werden. Genau aus diesem Grund, ist die wichtigste Stellschraube in diesem Prozess nicht etwa das Unternehmen im Ganzen, sondern jeder einzelne Mitarbeitende. Mit anderen Worten: Die Belegschaft kann entweder ein großes Risiko darstellen, oder aber den besten Schutz. Wie Sie das erreichen, erklären wir hier genauer.

Was ist Phishing?

Der Begriff Phishing stammt aus dem englischsprachigen Raum und ist ein Neologismus von „fishing”, englisch für „Angeln”. Darunter versteht man den Versand gefälschter E-Mails, die Menschen dazu verleiten sollen, auf einen Betrug hereinzufallen. Auch Websites und SMS fallen unter den Begriff des Phishings. Nicht selten werden neben Privatpersonen auch große und kleine Unternehmen Opfer dieser Phishing Attacken.

Was ist eine Phishing Mail?

Phishing Mails sind gefälschte E-Mails, die den Anschein erwecken, von einem seriösen Unternehmen zu stammen – wie beispielsweise einem Kreditkartenunternehmen oder einer Bank. Sie zielen darauf ab, dass die Nutzer:innen Finanzinformationen, Zugangsdaten, Kontonummern oder andere sensible Daten preisgeben, um diese für kriminelle Zwecke zu missbrauchen.

Wie genau funktioniert eine Phishing Attacke?

Vorrangig arbeiten Cyberkriminelle bei Phishing Attacken mit drei Methoden, um an vertrauliche Daten der angegriffenen Person zu gelangen:

1) gefälschte Eingabeformulare

2) schädliche Weblinks

3) schädliche Dateianhänge

Obwohl das reine Öffnen einer Phishing Mail noch keine Gefahr darstellt, wird es für Betroffene dann gefährlich, wenn sie ein Formular ausfüllen oder den Anhang einer solchen E-Mail oder einen darin enthaltenen Link öffnen.

Mehr Informationen über Phishing verrät Ihnen unser Blogartikel: Phishing im Unternehmen.

Wie funktioniert erfolgreiche Phishing Prävention?

Die steigende Digitalisierung macht es Kriminellen immer einfacher, Unternehmen auszuspionieren, um an wertvolle Informationen zu kommen und diese für kriminelle Zwecke zu missbrauchen. Umso mehr stellt sich die Frage: Wie kann man sich als Unternehmen vor Phishing Attacken schützen? Wie funktioniert erfolgreiche Phishing Prävention? Und welche genauen Maßnahmen kann man ergreifen, um Mitarbeitende und Kundschaft bestmöglich zu schützen?

Natürlich ist es im ersten Schritt wichtig, technische Vorkehrungen zu treffen. Dazu gehören eine Firewall, eine gute Antivirenlösung, standardmäßige Authentifizierungsprotokolle, gute Spamfilter und sichere E-Mail-Gateways.

Das Problem dabei aber ist: 92 % aller Phishing Attacken werden per E-Mail durchgeführt und vom System oft nicht als solche erkannt. Umso wichtiger ist es, dass Ihre Mitarbeitenden nachhaltig für solche Phishing Attacken sensibilisiert werden, um ihren größten Schuldschild darzustellen.

Wie verwandeln Sie Ihre Belegschaft in eine menschliche Firewall?

Ihre Mitarbeitenden müssen für das Thema nachhaltig sensibilisiert werden. Am besten ist dafür die Kombination aus einer umfangreichen Schulung und einer Phishing Simulation. Dabei ist es empfehlenswert, eine IT-Sicherheit Online-Schulung zum festen und verpflichtenden Teil des Onboardings zu machen und die Mitarbeitenden auch danach in Form einer thematischen Auffrischung regelmäßig zu schulen.

Leider wird oft vergessen, dass die Notwendigkeit für die Phishing Sensibilisierung in der Chefetage nicht aufhört. Schließlich stellen gerade Führungskräfte aufgrund ihres Zugriffs auf eine Vielzahl an vertraulichen Daten ein beliebtes Ziel von Cyberkriminellen dar. Um Ihre Organisation bestmöglich zu schützen, sollten daher alle Mitarbeitenden über alle Ebenen und alle Aufgabenbereiche hinweg geschult werden.

Mit unserem innovativen E-Learning „Informationssicherheit für Mitarbeitende lernt Ihre Belegschaft die Gefahr spielerisch zu kennen und damit umzugehen.

Wie funktioniert das E-Learning „Informationssicherheit für Mitarbeitende”?

Nach dem Prinzip „Lear­ning by Do­ing” werden aus der Sicht eines Hackers Angriffsarten erkannt und erfolgreich abgewehrt. So lernen Ihre Mitarbeitenden spielerisch die wichtigsten Angriffsarten kennen und bekämpfen. Die interaktive Online-Schulung dauert nur 60 Minuten und sorgt dafür, dass Ihre Belegschaft in Zukunft kein Risiko darstellt, sondern ein Schutzschild – sowohl für Ihre Organisation selbst, als auch für Ihre Kund- und Partnerschaften. Das E-Learning wurde gemeinsam mit namhaften Rechtsexpert:innen und Lernpsycholog:innen entwickelt und lässt sich individuell auf Ihre Anforderungen anpassen. Zudem macht es Spaß, motiviert und wirkt nachhaltig. Ganz getreu unserem Motto „Recht. Einfach. Verstehen.“.

Mit unserer Phishing Simulation erhält Ihre Belegschaft zusätzlich vorgetäuschte Phishing Mails direkt in ihr E-Mail-Postfach und lernt diese dadurch zu erkennen und damit umzugehen. Mit der Kombination aus Online-Schulung und Phishing Simulation wird die IT-Sicherheit Ihres Unternehmens nachhaltig gestärkt und die Anfälligkeit für Phishing Attacken signifikant reduziert.

Zudem ist es hilfreich, Ihren Mitarbeitenden reale Beispiele von Unternehmen zu zeigen, welche eine Phishing Attacke und einhergehend schwere Konsequenzen erlitten haben. Das verdeutlicht Ihrer Belegschaft einmal mehr die Wichtigkeit ihrer Rolle in der Phishing Prävention.

Fazit

Phishing Attacken sind eine enorme Gefahr für Unternehmen und Organisationen. Die beste Abhilfe und Schutz vor solchen E-Mail-Angriffen ist neben technischen Vorkehrungen vor allem die Sensibilisierung der eigenen Mitarbeitenden. Denn nur wer Phishing Mails als solche erkennt und sofort die richtigen Maßnahmen ergreift, kann sich erfolgreich wehren. Dank unseres 60-minütigen E-Learnings und unserer Phishing Simulation wird jeder einzelne Mitarbeitende zur lebendigen Firewall gegen die Angriffe von Cyberkriminellen.

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels