Phishing-Risiko unterschätzt: 4 von 5 Deutschen öffnen Mails von unbekannten Absendern
Risikofaktor Corona: Mehr als jeder siebte deutsche Büroangestellte hat bereits Phishing-Mails mit Inhalten rund um die Viruspandemie erhalten.
Cyber-Kriminelle nahmen die Pandemie-Situation der letzten Monate zum Anlass, die Unsicherheit und Neugier ihrer Mitbürger auszunutzen. So warnten unter anderem das Bundesamt für Sicherheit und Informationstechnik, die WHO sowie die Bundespolizei vor diesem ernsten Problem: Phishing-Mails, die mit falschen Identitäten, Angeboten oder News rund um die Corona-Pandemie locken.
Trotz solcher Warnungen werden die Phishing-Risiken durch Corona hierzulande weiterhin dramatisch unterschätzt: Demnach öffnen vier von fünf deutschen Büroangestellten bedenkenlos E-Mails von unbekannten Absendern (79 Prozent). Das ist der zentrale Befund einer Studie, die der amerikanische Softwareanbieter OpenText per Online-Erhebung durchgeführt hat. „Kroker’s Look @ IT“ präsentiert die Ergebnisse heute exklusiv vorab.
Aus der Studie geht demnach hervor, dass 28 Prozent der deutschen Befragten in den letzten zwölf Monaten mindestens einmal Opfer einer Phishing-Attacke waren. Ein solch unvorsichtiges Verhalten kann besonders während der herrschenden Corona-Krise zu katastrophalen Folgen führen: Schließlich hat bereits mehr als jeder siebte deutsche Befragte schon Phishing-Mails mit Bezug zu der Virus-Pandemie erhalten (15 Prozent).
Dabei glauben 60 Prozent der Befragten zu wissen, wie sie sich und ihre persönlichen Daten vor Cyber-Attacken schützen können. Immerhin ein Viertel fühlt sich heute eher dazu imstande, Phishing-Mails zu erkennen als vor der Krise (25 Prozent). Und acht von zehn Arbeitnehmer beteuern sogar, bestimmte Maßnahmen zur Erkennung von böswilligen E-Mails zu ergreifen.
Dem gegenüber stehen jedoch drei Viertel der Befragten, die kein Back-up ihrer Daten anlegen (74 Prozent). Dies führte dazu, dass 31 Prozent der Befragten seit der Pandemie verloren gegangene Daten wiederherstellen mussten. Nur 13 Prozent derjenigen, die Opfer eines Phishing-Angriffs waren, meldeten diesen Vorfall ihrem Arbeitgeber.
Gut die Hälfte der deutschen Befragten gaben an, dass sie als Folge der Corona-Pandemie nun wesentlich öfter von zuhause arbeiten als vorher (49 Prozent). So wegbereitend diese Entwicklung für zukünftige, flexible Arbeitsmodelle auch ist, so ergeben sich ebenfalls Risiken hinsichtlich der Cyber-Sicherheit.
Mehr als ein Viertel nutzen sowohl ihre privaten Geräte für ihre Arbeit im Homeoffice als auch ihre Arbeitsgeräte für private Angelegenheiten wie das Lesen von E-Mails (26 Prozent). Angesichts der Tatsache, dass die befragten Angestellten täglich etwa 70 E-Mails erhalten und dass die Mehrheit jede Mail öffnet, obwohl sie den Absender nicht kennt, erreicht das Risiko von sicherheitsrelevanten Vorfällen ein ungeahntes Ausmaß.
Nicht nur die Vermischung von privaten und Arbeitsgeräten sowie unvorsichtiges Handeln können zum Problem werden: Laut der Umfrage sehen nur neun Prozent der Arbeitnehmer die Verantwortlichkeit über die Cybersicherheit bei sich selbst; 66 Prozent sehen sie bei der IT-Abteilung. Dabei handelt es sich um einen gefährlichen Trugschluss, denn auch die Mitarbeiter selbst müssen für einen besonnenen Umgang mit Daten und potenziell schadhaften Mails sorgen.
Auch Unternehmen scheinen diesen Faktor zu vernachlässigen: Zwar glauben 62 Prozent der befragten Arbeitnehmer, dass ihr Unternehmen in Sachen Cyber-Resilienz genug gewappnet ist für potenzielle Angriffe. Doch nur 15 Prozent verrieten, dass ihr Unternehmen verstärkt Sicherheitsmaßnahmen in Form von Cyber Security-Trainings umgesetzt habe.
Weitere Zahlen & Fakten zum Phising-Risiko in Corona-Zeiten in Deutschland in der folgenden Infografik – zum Vergrößern zwei Mal anklicken:
Quelle: OpenText
Verwandte Artikel:
Cybersecurity: Die Top-10 der aktuellen Fakes rund um die Corona-Pandemie
Corona & Zoombombing: 1700 neue Zoom-Domains in 2020 – 1/4 in letzter Woche
Mobil-Angriffe mit Schadsoftware übertreffen erstmals Desktop-Attacken
85 Prozent Plus bei Corona-Domains in letzter Woche – 16.000 seit Januar
Phishing in Deutschland: Das Risiko wächst
Phishing -Betrugsversuche haben 2004 explosionsartig zugenommen und werden in 2005 weiter steigen. Der Schutz ist schwierig, da beim Phishing zum Teil sehr grundlegende Technologien des Online-Bankings wie JavaScript missbraucht werden. Doch Banken können sich und ihre Kunden schützen. Durch die Einhaltung grundlegender Sicherheitsrichtlinien für die Internet-Nutzung, insbesondere für Online-Banking, können aufmerksame Kunden Schäden vermeiden helfen. Dies ist jedoch mit einigem Aufwand verbunden. Zu diesem Fazit kommt die Forschungs- und Entwicklungsabteilung der PASS Consulting Group.
Immer mehr Internet-Nutzer werden durch offiziell anmutende Webseiten dazu gebracht, ihre persönlichen Zugangsdaten Dritten preis zu geben, die diese dann für kriminelle Zwecke missbrauchen. Dieser " Phishing " genannte Datendiebstahl ist in Deutschland im Vergleich zum Ausland erst spät in die Schlagzeilen gekommen, wird dafür aber umso intensiver diskutiert. Hierzulande sind bislang weniger als fünf Schadensfälle beim Banking offiziell bekannt geworden. Die Zahlen des Auslands sprechen allerdings eine andere Sprache: Der Phishing -Report der internationalen Anti- Phishing Working Group (
) für November 2004 meldete 8.459 verschiedene neue Phishing -Mails, und der britische Security-Provider Message Labs hat einen Anstieg der Phishing -Mails innerhalb eines Jahres von 279 (September 2003) auf über 2 Millionen in September 2004 verzeichnet; im November waren es bereits über 4 Millionen weltweit.
Das Risiko insbesondere für den Bereich des Online-Banking ist deutlich: Im schlimmsten Fall entsteht dem Kunden ein Schaden in Höhe des Online-Überweisungslimits pro "gephischter" Transaktionsnummer (TAN). Was für die Banken allerdings schwerer wiegt, ist der Imageschaden und der Vertrauensverlust beim Kunden. Die Kunden könnten aus ihrer Verunsicherung zu den für beide Seiten teureren Überweisungs-vordrucken aus Papier zurückkehren. Gegenwärtig sind im Vergleich zum Kreditkartenmissbrauch die Schäden noch minimal. Die Qualität und Professionalität der Phishing -Attacken steigt allerdings.
Klare Empfehlungen
Durch die zunehmende öffentliche Diskussion werden nun auch Hersteller, Anbieter und User in Deutschland sensibilisiert. Sie können reagieren und werden schwerer zu überlisten sein. Die Empfehlungen etwa der Bundesverband Deutscher Banken-Broschüre (siehe: Sicherheit im Online-Banking) sind effizient: User sollten diese Sicherheitsrichtlinien umsetzen, Browser-Hersteller müssen die Löcher in ihren Produkten stopfen, Banken ihre Kunden aufklären, Gefahrenquellen auf ihren Angeboten beseitigen und überwachen, Softwarehersteller und E-Mail-Provider die Verbreitung von Phishing -Mails frühzeitig unterbinden.
Auf folgende Empfehlungen für die User sollten die Banken hinweisen:
Sorgfalt beim Umgang mit Passwörtern, PIN (Personal Identification Number) und TAN
die Überprüfung von URLs, SSL (Secured Sockets Layer ) und Zertifikaten
) und Zertifikaten regelmäßige Updates von Virenschutz, Betriebssystem und Browser
richtige Konfiguration von Firewall und Browser.
Das hat allerdings zur Folge, dass viele Web-Seiten nicht mehr korrekt dargestellt werden.
Schutz für die Online-Banken
Banken müssen Mail- Phishing als zunehmend ernsthaftes Problem betrachten. Security-Assessments für ihr Online-Banking und Aufklärung der Kunden sind effiziente Maßnahmen. Handlungsbedarf für die Online-Banking-Anbieter besteht allerdings auch im Bereich der JavaScripts: Die neue Studie der PASS Consulting Group zum Thema "Online-Banking 2005" gibt an, dass ohne Java-Script 60 Prozent der Transaktionsbereiche der in der Studie untersuchten Online-Banking-Angebote nicht nutzbar waren. 12 Prozent der Auftritte konnten ohne Java-Script gar nicht geöffnet werden.
Quelle: PASS IT-Consulting,
Phishing Mails: Expertentipps für den Schutz vor Risiken
Datendiebstahl, Angriffe auf IT-Infrastrukturen, Lösegeld-Erpressung: Phishing ist eine häufig genutzte Hackermethode, da diese mit relativ geringem Aufwand enormen Schaden anrichten kann. Unternehmen sollten auf die wachsenden Risiken mit optimierten Sicherheitsstandards reagieren. Franka Beyer von SoSafe und Julian Geils, Senior IT-Security Consultant & Engineer bei der DGC, erklären, worauf im Umgang mit Phishing Mails geachtet werden sollte und warum es so wichtig ist, eigene Mitarbeitende in den Mittelpunkt der Maßnahmen zu stellen.
Was versteht man unter E-Mail-Phishing und wie läuft ein solcher Hackerangriff ab?
Julian Geils: Unter Phishing versteht man Attacken, bei denen Cyberkriminelle Empfängern zum Beispiel per E-Mail eine Nachricht übermitteln, um sie zu der Ausführung einer Aktion zu verleiten. Das Vorhaben wird auf elektronischen Wege initiiert – im Fokus steht aber klar der Mensch. Denn dieser wurde als Hauptangriffspunkt und vermeintlich schwächstes Glied der IT-Sicherheit identifiziert – Experten sprechen von Social Engineering. Durch psychologische Manipulation, etwa dem Aufbau von Zeitdruck, Neugier, Angst oder Respekt vor Autorität gelingt es, Mitarbeitende zu überlisten. Mit drastischen Folgen, da preisgegebene Informationen von Einzelpersonen oder Unternehmen meist zum Datenmissbrauch genutzt werden.
In der Praxis sehen wir von Spear Phishing über Whaling-Angriffe bis zu Waterhole-Attacken verschiedenste Phishing-Techniken. Ein weit verbreitetes Szenario ist etwa, dass der Angreifer eine E-Mail mit verseuchtem Link verschickt. Der Empfänger wird unter einem Vorwand dazu aufgefordert, dem Link dringend zu folgen und persönliche Anmeldedaten einzugeben – etwa, weil auffällige Aktivitäten auf dem eigenen Account überprüft werden sollen. Meist verbirgt sich dahinter jedoch eine gefälschte Webseite oder Schadsoftware.
Ein noch größeres Risiko bergen E-Mails mit verseuchten Anhängen, weil sich Hacker darüber direkten Zugriff auf Firmennetzwerke verschaffen können. Hierauf gehen wir in unserem gemeinsamen Webinar am 13. September ein und beschreiben Gegenmaßnahmen.
Phishing Mails:
Kostenloses Webinar am 13. September – jetzt anmelden! SoSofe und DGC bieten am 13. September 2022 von 10 bis 10.45 Uhr ein gemeinsames kostenloses Webinar zum Thema Phishing Mails an. Darin erfahren Sie, was bei einer Phishing-Attacke passiert und mit welchen Maßnahmen Sie Ihr Unternehmen effektiv schützen. Inklusive Demo-Hack zum Thema Spear Phishing und Best Practices zur Erhöhung der Security Awareness Ihrer Mitarbeitenden. zum kostenlosen Webinar anmelden
Wie lassen sich Phishing Mails erkennen?
Julian Geils: Verschiedene Anzeichen können darauf hindeuten, dass es sich um einen Phishing-Angriff handelt. Neben grammatikalischen Fehlern und einer fehlenden persönlichen Anrede sind das oftmals optische Abweichungen vom Corporate Design des gefälschten Absenders. Beispielsweise greifen Angreifer zu Tricks, um Webauftritte zu maskieren. So könnte der Shortlink zu einer fingierten Website eine nummerische Null („0“) anstatt des Buchstabens „O/o“ enthalten. Hellhörig werden sollten Empfänger zudem, wenn in einer E-Mail zur schnellen Umsetzung einer Handlung aufgefordert wird oder vertrauliche Daten abgefragt werden. Auch sollte bei zweifelhaften Anhängen, Links und Formularen erhöhte Vorsicht gelten.
Dennoch gibt es keine Standardantwort darauf, wie Phishing Mails immer zielsicher erkannt werden können.
Franka Beyer: Das hat vor allem damit zu tun, dass sich Hackertaktiken immer weiterentwickeln und Angriffe entsprechend schwieriger zu durchschauen sind. Beim Spear Phishing passen Cyberkriminelle die Mails individuell an die empfangende Person an. Sie fügen persönliche Informationen ein oder geben sich als vertraute Person aus, zum Beispiel als Führungskraft, um glaubwürdiger zu erscheinen.
Künstliche Intelligenz verleiht den kriminellen Vorhaben zusätzliche Dynamik: Angreifer sind damit in der Lage, automatisch realitätsnahe Phishing Mails zu versenden – in großer Anzahl und mit dadurch erhöhten Erfolgschancen. Um Phishing Mails zu erkennen, gilt deshalb immer: Vorsichtig sein und die Augen für Ungereimtheiten offenhalten.
Wohin kann man Phishing Mails weiterleiten oder melden?
Julian Geils: Aus technischer Sicht sollte nach dem Lesen einer verdächtigen E-Mail zunächst jegliche weitere Interaktion mit der E-Mail unterlassen werden. Erhalten Mitarbeitende etwa eine merkwürdig anmutende Einladung zum Sommerfest, in der das Marketingteam zum Eintragen persönlicher Daten in einer beigefügten Excel-Datei auffordert, gilt es damit vorsichtig umzugehen. Zur Klärung kann es durchaus sinnvoll sein, die vermeintliche Quelle über andere Kommunikationsmittel zu kontaktieren. Zudem sollte unbedingt das IT-Team informiert und – falls für den Umgang mit Phishing Mails noch kein festgelegter Prozess existiert – zu dem weiteren Vorgehen befragt werden.
Franka Beyer: Weitergeleitet werden Phishing Mails idealerweise nur über explizit dafür ausgelegte Melde-Tools. Dabei können Mitarbeitende eine E-Mail direkt aus dem Mailprogramm an die IT übermitteln und überprüfen lassen. So wird die Meldekette sowohl für die Mitarbeitenden als auch die IT vereinfacht, Aufwand auf beiden Seiten erspart und gleichzeitig die Phishing-Melderaten erhöht. Wichtig ist vor allem: Hat man bereits auf schädliche Inhalte in einer Phishing-Mail geklickt, sollte man den Computer unverzüglich vom Internet trennen und die IT-Abteilung einschalten, bevor größere Schäden verursacht werden.
Welche Schutzmaßnahmen gegen E-Mail Phishing gibt es?
Julian Geils: Mit Lösungen wie Spamfilter und Antivirenprogrammen gibt es technische Möglichkeiten, um verdächtige E-Mail-Anhänge zu filtern und löschen, bevor sie Schaden anrichten können. Jedoch lassen sich damit vor allem gewöhnliche Angriffe blockieren. Hacker gehen oftmals andere ausgeklügelte Wege, damit ihre Phishing Mails dennoch den Weg in die Unternehmen finden. Fakt ist deshalb, dass die beste Technik nur im Zusammenspiel mit geschulten Mitarbeitenden wirksam ist. Gerade in Bezug auf Phishing sollten Sicherheitsverantwortliche auf die Stärkung des Sicherheitsbewusstseins der gesamten Belegschaft setzen. Hierfür bietet SoSafe eine ideale interaktive Lernplattform und die DGC das Praxiswissen zur Durchführung von Security Awareness Trainings.
Franka Beyer: Tatsächlich finden rund 20 Prozent der Phishing Mails ihren Weg durch die technischen Filter. Die wichtigste Schutzbarriere ist deshalb sicheres Verhalten im Umgang mit den E-Mails. Mit Security Awareness Trainings wird der bewusste Umgang mit Cybergefahren wie Phishing Mails gefördert, damit Mitarbeitende diese im Ernstfall abwehren können. Mit Blick auf aktuelle Statistiken zeigt sich, dass ein solches Training eine wichtige Komponente in den Sicherheitsstrategien von Organisationen sein sollte: Laut Verizon ist heute bei 82 Prozent aller Cyberangriffe der Faktor Mensch involviert. Oft starten diese Angriffe mit einer Phishing-Mail. Und der Human Risk Review 2022 zeigt, dass ein Drittel aller Mitarbeitenden auf schädliche Inhalte in diesen Mails klickt. Durch präventive Security- und Awareness-Maßnahmen schützen sich Organisationen vor den oftmals kostspieligen Folgen.
Welche Schritte sollten Unternehmen gehen, um sich und die Mitarbeitenden vor Mail Phishing zu schützen?
Julian Geils: Schritt eins sollte sein, den Ist-Zustand der IT-Sicherheit zu analysieren, um mögliche Differenzen zu einem guten Sicherheitskonzept zu ermitteln. Darauf aufbauend sollten zügig passende technische Maßnahmen implementiert werden. Parallel dazu sollten IT-Sicherheitsverantwortliche – und das ist ein entscheidender Faktor – eine Lösung dafür finden, wie Mitarbeitende optimal für den Umgang mit fraglichen E-Mails vorbereitet werden können.
Franka Beyer: IT-Verantwortliche haben oft damit zu kämpfen, die Relevanz der Thematik in die Führungsebene zu tragen. Sie sind gut beraten, in den Gesprächen auf unterstützende Daten zurückgreifen, um die positiven Effekte gewählter Maßnahmen auf die Sicherheit der Organisation aufzuzeigen. Psychologisch fundierte und effektive Security Awareness Trainings reduzieren Cyberrisiken bei Phishing messbar . Zur Stärkung der Awareness bieten sich beispielsweise interaktive E-Learnings an: Je nach Kenntnisstand wird relevantes Wissen zur Thematik vermittelt und mit Hilfe von Phishing-Simulationen das Verhalten der Mitarbeitenden geschult.
Dem gesamten Team die Tools an die Hand zu geben, sich zu schützen, ist der wichtigste Schritt, um die ganze Organisation vor Angriffen zu bewahren.
Sie möchten mehr darüber wissen, wie Ihre Mitarbeitenden durch Cyber Awareness Trainings zur IT-Absicherung befähigt werden? Kontaktieren Sie uns – wir beraten Sie gerne.