Vorbereitung ist alles

Vorbereitung ist alles.

Wie Sie Phishing-Mails erkennen und warum eine offene Fehlerkultur wichtig ist.

„Ich habe 2,5 Millionen Dollar geerbt und möchte das Geld mit DIR teilen …“. Plumpe Phishing-Mails wie diese funktionieren heute kaum noch. Aber wie verhält es sich bei einer Mail wie „Für das sichere Arbeiten im Homeoffice ist zeitnah ein Update an Ihrem Notebook notwendig…“. Und dann kommt die Mail auch noch vermeintlich vom eigenen Arbeitgeber. Das Beispiel zeigt, warum das Thema nach wie vor eine so große Bedrohung für Unternehmen darstellt – über 90 % der Cyberangriffe starten mit immer besser getarnten Phishing-Mails. Wie können Unternehmen ihre Mitarbeitende dafür sensibilisieren? Wie lassen sich Phishing-Mails grundsätzlich erkennen? Christoph Barreith, Solution Architect Security / Network im Bechtle Systemhaus Freiburg, zeigt im Interview aktuelle Entwicklungen auf.

Herr Barreith, Phishing-Mails sind schon lange eine Bedrohung für Firmen. Warum gelingt es nach wie vor so vielen Hackern, damit vertrauliche Daten abzugreifen?

Christoph Barreith: Ganz klar: Die E-Mails werden immer besser. Angreifer gehen heute detailgetreu auf aktuelle Vorgänge im Unternehmen und tagesaktuelle Geschehnisse ein. Dann schreibt mir auf einmal nicht mehr irgendeine Königsfamilie, dass sie Millionen für mich bereithält – sondern beispielsweise mein vermeintlicher Chef. Der möchte dann, dass ich sofort Geld für ihn überweise. Man spricht in diesem Fall von einem CEO Fraud. Oder ich werde vom Kollegen aus der IT-Abteilung angewiesen, meinen Benutzernamen und mein Passwort einzugeben, da sonst angeblich Accounts gesperrt werden. Die Masche hier ist klar: Als Empfänger:in der E-Mail werde ich unter Druck gesetzt und soll schnell etwas erledigen. Das funktioniert am Ende, weil die Mitarbeitenden ihren Job gut machen und weiterhelfen wollen. Und vielleicht für einen Moment unachtsam sind.

Hacker werden also immer professioneller. Habe ich überhaupt eine Chance, Phishing von normalen E-Mails zu unterscheiden?

Ja, aber die Mitarbeiter:innen müssen wissen, wie sie Phishing-Mails erkennen. Das fängt schon bei der Betreffzeile an. Es lohnt sich, einen genaueren Blick auf die Nachricht zu werfen: Erscheint der Betreff merkwürdig? Handelt es sich um eine Antwort auf eine Mail, die ich niemals versendet habe? Stimmt bei der Absenderadresse etwas nicht – gibt es Buchstabendreher oder eine auffällige Adresse? Wurde die Nachricht zu einer ungewöhnlichen Zeit versendet? Das sind erste Hinweise. Genauso, wenn eine mir sonst bekannte Person plötzlich einen komplett anderen sprachlichen Stil nutzt. Und meine Alarmglocken sollten natürlich auch bei verdächtigen Anhängen oder Links schrillen – genauso, wenn ich offensichtlich zu einer außergewöhnlichen Handlung gedrängt werde.

Wenn ich den Verdacht habe, dass eine Phishing-E-Mail in meinem Postfach gelandet ist, was sollte ich dann tun?

Zuerst einmal: Niemals vorschnell etwas ausführen, das nicht dem eigentlichen, gelernten Prozess entspricht. Gerade wenn es darum geht, vertrauliche Daten einzugeben oder Überweisungen vorzunehmen. Wird der Geldtransfer sonst über die Buchhaltung abgewickelt – warum sollte meine Chefin auf einmal mitten in der Nacht wollen, dass ich schnell 10.000 EUR auf ein mir unbekanntes Konto überweisen? Hier rate ich: Immer bei der betreffenden Person nachfragen. Am besten direkt und nicht über das Telefon, denn selbst ein Anruf kann von Hackern gefakt werden. Darüber hinaus: Unbedingt die interne IT informieren. Die Abteilung muss wissen, wenn so eine E-Mail durchgegangen ist. Nur dann kann sie entsprechend reagieren und Kolleg:innen und somit das Unternehmen schützen.

Ich habe doch irgendwo meine vertraulichen Daten eingegeben und im Nachhinein ein schlechtes Gefühl. Was jetzt?

Auch hier gilt: Der internen IT-Abteilung Bescheid geben. Unternehmen sollten unbedingt eine offene Fehlerkultur leben. Selbst wenn eine Person vertrauliche Daten preisgegeben hat. Das ist zwar keine schöne Situation, die IT kann aber handeln. Und das, bevor die Angreifer tief ins Unternehmensnetzwerk eindringen und großen Schaden anrichten. Dafür ist es wichtig, dass Mitarbeitende nicht an den Pranger gestellt werden. Was aber noch viel grundlegender ist: Die Mitarbeiter:innen müssen wissen, wie sie Phishing-Mails erkennen. Das können Firmen gezielt üben.

Die Mitarbeiter:innen müssen wissen, wie sie Phishing-Mails erkennen. Das können Firmen gezielt üben.

Was können Unternehmensführung und IT machen, um ihre Mitarbeitende besser für das Thema zu sensibilisieren?

Wie schon gesagt, kommt es auf die Übung an. Wenn sich das Team jedes Jahr das gleiche Video anschauen muss, hilft das oftmals nur wenig weiter. Dann tritt der Abnutzungseffekt ein und niemand sieht mehr wirklich hin. Besser ist eine zeitgemäße Information, beispielsweise in Form von Schulungen oder gar Serien im Netflix-Stil. Unterhaltsam und kurzweilig, mit praktischem Nutzen für die Mitarbeitenden – und keinen langatmigen Belehrungen.

Was sollte die IT tun, wenn es dennoch zur Cyberattacke kommt?

Unternehmen müssen weiterdenken und einen detaillierten, genau dokumentierten Notfallplan in der Tasche haben. Ich rate unseren Kunden: Schult eure IT-Mitarbeitende praktisch! Nur so wissen sie, wie sie sich im Angriffsfall verhalten müssen. Denn wenn es darauf ankommt, liegen die Nerven blank. Unternehmen müssen aber auch strategisch vorausdenken, bevor es zum Angriff kommt: Ohne moderne IT-Security-Strategie geht heute nichts mehr. Diese muss sich an den Geschäftszielen orientieren und an das Business gekoppelt sein. Hier empfehle ich, einen externen Experten mit ins Boot zu holen, der unabhängig berät und alle Aspekte des Themas IT-Security beleuchten kann. Genau diese Aufgabe übernehmen wir jeden Tag für unsere Kund:innen und versuchen so, den Hackern immer einen Schritt voraus zu sein.