Cyber-Kriminalität: Schutz vor Phishing

Handwerk 4.0: Mitarbeiter gezielt sensibilisieren ist ein guter Schutz für Ihren Betrieb, denn Cyberkriminelle haben es häufig auf Zugangsdaten für Banken und Online-Shops abgesehen. Doch woran erkennt man Betrugsversuche?

Dieser Artikel gehört zum Themen-Special Cyber-Attacken auf Handwerksbetriebe

Jedes Unternehmen ist rund 700 Phishing-Versuchen pro Jahr ausgesetzt. Dies fand das Cybersecurity-Unternehmen Barracuda bei einer Studie im Sommer 2021 heraus, als drei Millionen Mailboxen von mehr als 17.000 Unternehmen untersucht wurden. Beim "Phishing" – ein Kunstwort aus den englischen Begriffen "Password" und "Fishing" – versuchen Kriminelle, sensible Daten zu "fischen", um Konten leer zu räumen oder Online-Bestellungen auf fremde Rechnungen zu tätigen. Im Fokus stehen meist Kreditkarten- und Kontonummern, PINs, TANs, Passwörter oder Zugangsdaten zu Online-Shops.

Mitarbeiter für die Gefahr sensibilisieren

Damit Handwerksbetriebe bestmöglich vor Phishing-Versuchen geschützt sind, ist es empfehlenswert, alle Mitarbeiter für die Gefahr zu sensibilisieren. Denn unvoreingenommene Nutzer können die Phishing-Mails oft gar nicht erkennen, da diese täuschend echt gefälscht sind. Ein erstes Anzeichen für Phishing sind Betreffzeilen, die Opfer unter Druck setzen – zum Beispiel "Ihre Kreditkarte ist gesperrt", "Ihr Zugang wurde vorübergehend deaktiviert" oder "Zusammenfassung Ihrer Bestellung". Um Daten zu prüfen, upzudaten oder vermeintliche Bestellungen zu stornieren, sollen die Empfänger dann einen Link anklicken und dort persönliche Daten, Passwörter oder PIN-Codes eingeben. Manchmal werden auch "Sicherheitsgründe" vorgeschoben oder ein dringender "Datenabgleich". Meist führt der angegebene Link auf die perfekte Kopie einer Bank- oder OnlineShop-Seite. Hier übermitteln die gutgläubigen Opfer dann ihre persönlichen Daten unwissentlich an die Online-Betrüger.

Eine weitere gefährliche Phishing-Variante: Der Empfänger wird gebeten, einen Mail-Anhang zu öffnen – zum Beispiel eine angebliche Rechnung oder einen Paketschein. Der Anhang aktiviert dann im Hintergrund unbemerkt eine Schadsoftware, die eigenständig sensible Daten ausliest oder Viren ins System einspielt.

Details aufmerksam prüfen

Hinweise auf Phishing-Mails finden sich bei genauem Hinsehen manchmal in den Mail-Texten: Rechtschreib- und Grammatikfehler sollten genauso misstrauisch machen wie eine fehlende persönliche Anrede. Ob weiterführende Links wirklich zu einer Original-Adresse führen oder auf eine gefälschte Seite verweisen, lässt sich unter Outlook schnell überprüfen: Wenn der Mauszeiger im Mail-Textfeld über eine Verlinkung gefahren wird – ohne diese anzuklicken – ist die wirkliche Zieladresse sowohl in einem eingeblendeten Textkasten als auch in der unteren linken Ecke des Outlook-Fensters zu sehen.

Oft lohnt sich auch ein Blick auf die eigene Empfänger-Adresse: Da Cyberkriminelle willkürlich Mail-Adressen ausprobieren oder Adresslisten im Internet kaufen, werden die Phishing-Mails oft an Adressen versendet, mit denen man sich bei Banken oder Online-Shops gar nicht angemeldet hat. Um sicherzustellen, dass man Phishern nicht auf den Leim geht, sollte man keine Links in Mails von unbekannten Absendern anklicken, sondern im Zweifelsfall die Internetadresse lieber manuell in den Browser eingeben. War die Mail wirklich echt, wird man im eigenen Kunden-Account weitere Informationen zu angeblichen Bestellungen oder Sicherheitsprüfungen finden.

Sicherheitsapps installieren

Um Phishing-Versuche zu unterbinden, sollten Handwerksbetriebe auf allen PCs, Smartphones und Tablets von Mitarbeitern zuverlässige Sicherheitsapps installieren. Dazu zählen neben Virenscannern auch Browser, die einen integrierten Phishing-Schutz bieten (z. B. Chrome, Microsoft Edge oder Firefox). Darüber hinaus können Handwerksbetriebe auch weitere Sicherheitsapps nutzen, um Erfolgschancen von Phishern zu minimieren, zum Beispiel Norton 360 oder Avira Prime.

Wer Opfer eines Phishing-Versuchs geworden ist, sollte keine Zeit verlieren: Neben der örtlichen Polizeidienststelle sollte auch umgehend die eigene Bank oder der entsprechende Online-Shop informiert werden, um das betroffene Konto sofort zu sperren. Alle Beweise – wie Mails, Screenshots oder Fotos – sind schnellstmöglich zu sichern. Außerdem empfiehlt es sich, sämtliche Passwörter und Zugangsdaten sofort zu ändern.

Checkliste: Massnahmen gegen Phishing

• Filter aktivieren Viele Internet- und Mail-Provider bieten Spam- und/oder Phishing-Filter, die meist kostenlos aktivierbar sind. Zusätzlich sollten Sie eigene Schutzmaßnahmen nutzen, z. B. Funktionen in Mail-Programmen oder eine externe Phishing-Schutzsoftware.
• Phishing-Mails nicht öffnen Wenn Sie Phishing-Versuche bereits an der Betreffzeile erkennen, sollten Sie die Mail sofort ungeöffnet löschen (in Outlook z. B. mit einem Maus-Rechtsklick und "Löschen").
• Keine Elemente anklicken Öffnen Sie keine Anhänge in Mails von unbekannten Absendern und klicken Sie niemals auf Links oder Bilder in Phishing-Mails. Dort können Viren, Trojaner oder gefälschte Phishing-Seiten lauern.
• Niemals antworten Reagieren Sie nie auf PhishingMails – auch nicht mit einem Klick auf Links wie "Abmelden" oder der schriftlichen Bitte, vom Verteiler gestrichen zu werden. Durch eine Antwort wissen Phisher, dass Ihre Mail-Adresse aktiv genutzt wird.
• Zugangsdaten schützen Banken und Online-Shops fordern Kunden niemals auf, sich online anzumelden oder vertrauliche Informationen einzugeben. Banken versenden auch keine Mails, in denen sensible Daten wie PIN-, TAN- oder Kontonummer abgefragt werden.
• Internetadressen selbst eintippen Homebanking- und Shopping-Seiten sollten Sie immer manuell aufrufen. Zur Überprüfung von Banken-Sicherheitszertifikaten: In der Statusleiste oder im Adressfeld des Browsers auf den Schlüssel oder das Sicherheitsschloss klicken.
• Verdächtige Aktionen erkennen Wenn sich der gewohnte BankingAblauf plötzlich ändert, brechen Sie den Vorgang sofort ab und informieren Sie Ihre Bank. Zum Beispiel bei angeblichen Sicherheitsupdates, die vertrauliche Daten bei Ihnen abfragen.
• Programme aktualisieren Halten Sie Virenschutz, Betriebssystem, Browser und Firewall immer auf dem neuesten Stand. Dies gilt für alle Geräte, wie PC, Smartphone, Tablet und Router.
• Schäden sofort melden Wenn Sie Opfer eines Phishing-Angriffs geworden sind, kontaktieren Sie sofort die entsprechende Stelle, zum Beispiel Ihre Bank.

Ausgewählte Lösungen mit Phishing-Schutz im Überblick

	Free Antivirus / Prime	Mailcleaner	MX Guarddog
Anbieter	Avira Operations GmbH & Co. KG	MailCleaner Fastnet SA	MX Guarddog
Funktionen	Malware, Cryptolocker, Trojaner, Ransomware	Filter für Viren, Phishing, Spyware, Malware, Cryptolocker, Trojaner, Ransomware	Filter-Software gegen Spam, Phishing-Attacken, Malware und Viren
Technische Voraussetzungen	Windows, Mac, Android, iOS	betriebssystemunabhängig	Support für Windows Active Directory, LDAP, OpenLDAP, IBM Domino, Zimbra, cPanel-Synchronisation
Preis	Für Privatanwender: kostenlos. Für Unternehmen: Avira Prime ab 99,95 €/Jahr (5 Geräte)	30 Tage kostenlos, danach ab 11 € pro Postfach/Jahr (Rabattstaffel)	30 Tage kostenlos, danach 0,25 $ pro Mail-Adresse/Monat
Internet	avira.com/de	mailcleaner.net/de	mxguarddog.com/de
	SPAMfighter	SuperSpamKiller Pro	Norton 360 Standard
Anbieter	SPAMfighter ApS	Mirko Böer	Symantec
Funktionen	Spam- und Phishing-Filter für Microsoft Outlook, Outlook Express, Windows Mail, Windows (Live) Mail und Thunderbird	Filter für Spam, Phishing, Dialer, Viren/ Würmer. Für Microsoft Outlook, Outlook Express, Thunderbird und Opera Mail	Echtzeitschutz vor Phishing-Angriffen, Malware, Spyware, Ransomware, inkl. Firewall, VPN, Passwort-Manager
Technische Voraussetzungen	Windows	betriebssystemunabhängig für POP3- und IMAP-Postfächer	Windows, Mac, Android, iOS
Preis	Standard-Version für Privatnutzer: kostenlos. PRO-Version für Unternehmen: 25 €/Jahr	Standard-Version: kostenlos. Pro-Version für Unternehmen: ab 26 € (Rabattstaffel)	74,99 €/Jahr (1 Gerät)
Internet	spamfighter.com/Lang_DE	superspamkiller.de	de.norton.com

Tabelle Stand: 07.03.2022. Alle Angaben ohne Gewähr.

DHB jetzt auch digital!Einfach hier klicken und für das digitale DHB registrieren!