Cybersicherheit
16. Juli 2020 6:00  Uhr

You’ve Got Mail: Gefährliche Sendung im Posteingang

Die meisten denken, dass sie eine Täuschung durch Phishing-Mails sofort erkennen würden. Doch der Schein trügt, und das oft ziemlich professionell: Diese E-Mails sind nicht immer leicht als Betrug auszumachen.

Einmal „verklickt“, und schon hängt man an der Angel: Phishing-Mails werden immer ausgefeilter. Im Unternehmen können sie zusätzlichen Schaden anrichten, wenn der Chef als vermeintlicher Absender fadenscheinige Anweisungen gibt. | Foto: adrian_ilie825 – stock.adobe.com

Von Franz Rieger

HEMAU. „Ich bin ein Prinz! Sie habe gewonnen! Klicken hier!“ Phishing-Mails ließen sich früher in der Regel bereits auf den ersten Blick erkennen. Selbst wenn diese Methoden nach wie vor viele Menschen um ihr Geld bringen, haben die Hacker inzwischen ausgefeiltere Möglichkeiten entwickelt, sodass die Mails nicht mehr so einfach als Betrug zu erkennen sind.

Es geht um Passwörter und Malware

Das Kunstwort aus „Passwort“ und „Fishing“ bezeichnet Angriffe, bei denen Benutzern gezielt Passwörter, Kreditkarteninformationen oder andere vertrauliche Informationen entlockt werden. Eine Phishing-E-Mail wird dazu so konstruiert, dass sie Vertrauen schafft und den Eindruck erweckt, von einem echten Anbieter zu stammen. Laut einer internationalen Studie des IT-Sicherheitsunternehmens Sophos geben 53 Prozent der befragten IT-Verantwortlichen an, schon von einer Phishing-E-Mail getäuscht worden zu sein, in Deutschland sind es sogar 67 Prozent der Befragten. Hacker können sich hierbei Zugriff auf Unternehmensnetzwerke verschaffen, in der Regel durch direkten Diebstahl von Anmeldeinformationen oder die Verbreitung von Malware. Die möglichen Folgen sind vielfältig: Datendiebstahl und -verlust, das Stören und Zerstören von Systemressourcen über nachgelagerte Angriffe und nicht zuletzt ein großer Imageverlust des Unternehmens.

Leichtfertigkeit wird schnell bestraft

„Niemand käme auf die Idee, ein Haus ohne Türen und Fenster zu bauen und dann dort das gesamte Vermögen offen rumliegen zu lassen oder den Enkel mit dem Bau eines neuen Einfamilienhauses zu beauftragen, weil er schon so schöne Legohäuser gebaut hat – doch in der IT wird beides immer noch zu oft gemacht“, sagt Thomas Michalski, Inhaber der Inmodis GmbH in Hemau und Beirat im Bayerischen IT-Sicherheitscluster. „Vor allem früher ließen sich Phishing-Mails wesentlich einfacher als solche identifizieren“, erklärt Haye Hösel, Geschäftsführer der Hubit Datenschutz GmbH & Co. KG. und externer Fachberater für den TÜV Süd im Bereich Datenschutz. „Mittlerweile wird das aber immer schwieriger, da Kriminelle immer bessere Methoden entwickelt haben, um an die Daten von Nutzern zu kommen. Doch auch sonst gehen die meisten Menschen zu leichtfertig mit ihren Daten um.“

Kompletter Identitätsdiebstahl

Gelingt es den Tätern, über Phishing an den E-Mail-Account zu gelangen, tritt laut Michalski vermutlich das schlimmste Szenario ein, denn dann lassen sich alle anderen Dienste durch die „Ich habe mein Passwort vergessen“-Funktion übernehmen. Alle Warnmeldungen werden dann in der Regel ebenfalls an die hinterlegte E-Mail gesendet und somit lässt sich ein Angriff erst sehr spät feststellen.“ Ein kompletter Identitätsdiebstahl ist somit möglich, was zu einem massiven wirtschaftlichen Schaden für den Betroffenen und auch für dessen Kontakte führen kann.

Die Wahrheit verbirgt sich im Link

Michalski empfiehlt, zu prüfen, wohin ein vermeintlicher Link wirklich führt. Fährt man mit der Maus über den Link, ohne ihn zu betätigen, kann man in der Statusleiste die wirkliche URL ablesen. „Es zählt nur, was direkt vor dem dritten Schrägstrich steht. Alles andere davor ist beliebig änderbar und kann entsprechend auch leicht manipuliert werden“, erklärt Michalski. Zum Beispiel https://kontaktanfrage-socialnetwortking.de-html.info/. Wer damit vermeintlich eine Kontaktanfrage von Xing erhält, den führt der Link nicht zu xing.de, sondern zu de-html.info. Das sei ein relativ sicherer Hinweis auf Phishing. Zudem ist es sinnvoll, die Logik der Nachricht zu prüfen. Stimmt die Anrede, oder wird man vom Chef auf einmal gesiezt? Besteht ein zeitlicher Zusammenhang? Ergibt das Schreiben Sinn? Werden Prozesse nicht eingehalten? Läuft etwas außerhalb der Norm? „Wenn man sich unsicher ist: anrufen und nachfragen. Gerade im Geschäftsumfeld wird das sehr positiv aufgenommen, da vielen die Problematik bewusst ist“, weiß Michalski.

Haye Hösel rät auch, auf die Intuition zu hören. Häufig enthalten Phishing-Mails Drohungen, die beispielsweise die Sperrung des Kontos ankündigen, wenn Nutzer nicht schnell ihre Daten weitergeben. Um besonderen Druck aufzubauen, tritt dies oft in Verbindung mit einer Fristsetzung auf. Das sogenannte Pharming ist eine weitere Form des Phishings, bei der Hacker sich zwischen Anwender und Originalwebsite setzen, sodass dieser selbst mit korrekt eingegebener Internetadresse eine gefälschte Website aufruft. In diesem Fall bietet es sich vor allem an, immer spezielle Schutzprogramme auf den Endgeräten zu installieren und diese regelmäßig upzudaten.

Das Phänomen Phishing bleibt

Thomas Michalski plädiert dafür, jetzt Handlungssicherheit zu schaffen: „Autofahren haben wir in der Fahrschule gelernt und wir wissen, worauf wir achten müssen. Nur für das Internet müssen wir uns das selbst aneignen und die Mitarbeiter schulen. Oftmals sind die Risiken und Gefahren einfach nicht bekannt.“ Technisch gebe es bereits gute Möglichkeiten, doch auch dieser Schutz hat seine Grenzen, denn Phishing-Mails greifen die größte Schwachstelle im System an, und das ist in der Regel der Mensch. „Phishing ist ein psychologischer Angriff: Es zielt auf Emotionen wie Angst, Hilfsbereitschaft oder Neugier ab. Er nutzt unser reaktives und somit schnelles Denken, um uns zu diesem einen Klick zu bewegen“, sagt der IT-Experte.

Das Duell zwischen Hacker und IT-Sicherheit sei zwar ungleich und ungerecht, jedoch nicht generell verloren. IT-Sicherheit muss gegen alle möglichen Eventualitäten und Angriffe bestehen können. „Wir müssen jedes System, jede Person und somit jeden Angriffsvektor verteidigen können, während der Angreifer nur einen Fehler für einen erfolgreichen Angriff braucht. Doch helfen uns, wie in vielen Bereichen des Lebens, bereits die Grundlagen, um halbwegs geschützt durchs Leben zu gehen“, sagt Thomas Michalski.

Interview

Angeln nach den ganz großen Fischen

Im Interview macht Professor Dr. Martin Schramm, wissenschaftlicher Leiter Institut ProtectIT an der Technischen Hochschule Deggendorf, klar: Phishing betrifft nicht nur E-Mails, sondern auch Social Media und mobile Geräte.

Foto: Sandra Eichenseher / Tobias Daniel

Hier geht’s zum Interview.