Mehr als die Hälfte der Beschäftigten in Deutschland sind nicht ausreichend auf Phishing-Attacken vorbereitet. Das ergab eine Avast-Studie, in der rund 1.100 Mitarbeiter in kleinen und großen Unternehmen zur Cybersecurity-Richtlinie ihrer Firma befragt wurden. 34,3 Prozent der Teilnehmer fühlen sich überhaupt nicht vorbereitet. 18,5 Prozent sind zwar über das Risiko eines Phishing-Angriffs informiert, wissen aber nicht, was sie in einem solchen Fall tun sollen. 12 Prozent sagen sogar, dass ihr Arbeitgeber einen Phishing-Angriff für unwahrscheinlich hält. 

Spear Phishing, Whaling und Clone Phishing

Unter Phishing versteht man den Versuch, Opfer auszutricksen, sodass sie sensible Informationen wie Nutzernamen, Passwörter und andere kritische Details preisgeben. Meist erfolgen solche Angriffe per E-Mail. Dabei geben sich Cyberkriminelle als vertrauenswürdige Personen aus und versuchen den Empfänger dazu zu bewegen, einen E-Mail-Anhang zu öffnen oder einen Link anzuklicken. Dieser führt meist zu einer manipulierten Website, die täuschend echt aussieht. Gibt der Anwender dort seine Login-Daten ein, kann der Hacker sie abgreifen.

Besonders beliebt sind sogenannte Spear-Phishing-Attacken. Sie zielen auf ausgewählte Personen oder Unternehmen ab und nutzen persönliche Informationen, um Opfer zu täuschen. Richtet sich der Angriff an eine Führungskraft oder einen Manager, spricht man von Whaling. Besonders perfide ist das sogenannte Clone Phishing. Dabei kopieren die Angreifer eine legitime E-Mail, die der Empfänger bereits zuvor erhalten hat, und tauschen das Attachment aus. Anschließend schicken sie die Nachricht erneut mit gefälschter Adresse ab – vermeintlich als zweiten Versuch oder Update. 

Sorgloser Umgang mit E-Mails und Passwörtern

Eine Phishing-Attacke kann nur dann erfolgreich sein, wenn sich das Opfer austricksen lässt und mitwirkt. Hacker haben umso leichteres Spiel, je sorgloser Anwender mit E-Mails und Passwörtern umgehen. Wie die Avast-Studie zeigt, gibt es hier noch viel Aufklärungsbedarf: Acht Prozent der Befragten gaben an, dass sie auf Links in E-Mails von unbekannten Absendern klicken. Fast 18 Prozent verwenden dasselbe Passwort für verschiedene Anwendungen, und 7,5 Prozent teilen sogar Passwörter mit Kollegen, damit diese auf E-Mails und Anwendungen zugreifen können. Mehr als 15 Prozent bleiben auf ihrem PC oder Laptop eingeloggt, während sie in einem Meeting oder nicht am Platz sind.

5 Tipps für mehr Sicherheit

Was können Unternehmen und Anwender tun, um sich besser vor Phishing-Attacken zu schützen? 

1. Awareness-Trainings: Die wichtigste Maßnahme besteht darin, Mitarbeiter für Cyberrisiken zu sensibilisieren. Bewährt haben sich zum Beispiel simulierte Phishing-Kampagnen. Klickt ein Mitarbeiter auf einen manipulierten Link, wird er auf seinen Fehler aufmerksam gemacht und erhält Tipps, wie er sich richtig verhalten sollte.
2. Spam-Filter: Auf technischer Seite helfen Spam-Filter, verdächtige E-Mails zu erkennen und zu blockieren. 
3. Manipulations-Checks: Moderne Security-Tools können prüfen, ob eine Website seriös ist. Solche Systeme schlagen Alarm, wenn ein Anwender eine manipulierte Login-Seite öffnet.
4. Multi-Faktor-Authentifizierung: Mitarbeiter sollten mindestens zwei Faktoren nutzen müssen, um sich in ihren Account einzuloggen, zum Beispiel eine Smart Card und ein Passwort.
5. E-Mail-Content-Bearbeitung: Unternehmen können URLs in E-Mails deaktivieren oder sogar ganz entfernen. Ein Anwender kann die Adresse dann weder anklicken noch kopieren. Diese Maßnahme ist zwar drastisch, aber sehr erfolgreich gegen Phishing-Angriffe.

Oliver Kunzmann, Cybersicherheitsexperte bei Avast, rät: „Es gibt viele technische Möglichkeiten, um das Netzwerk zu sichern und sich besser vor Cyberangriffen zu schützen. Dazu zählen zum Beispiel Produkte wie Secure Internet Gateway und Secure Web Gateway. Doch das allein reicht nicht aus. Denn Phishing zielt auf menschliche Schwäche ab und gerade in unsicheren Zeiten, wie wir sie derzeit mit der Corona-Pandemie erleben, sind Menschen besonders empfänglich für die miesen Tricks der Cyberkriminellen. Auch die beste Technologie kann Fehler und Gutgläubigkeit von Menschen nicht kompensieren. Die wichtigste Maßnahme ist daher, Mitarbeiter besser auf die Gefahren durch Phishing und Fake News vorzubereiten.“

Im Rahmen einer digitalen Cybersecurity-Schulungsreihe behandelt Avast in einer Folge auch ausführlich das Thema Phishing. Dieses Video zeigt, wie diese Angriffe von Hackern initiiert werden, um die persönlichen Daten eines Anwenders zu stehlen. Es werden die verschiedenen Formen von Phishing-Angriffen untersucht, einschließlich die des Social-Engineerings. 

*Für die Umfrage im Auftrag von Avast hat das Marktforschungsunternehmen Toluna Mitarbeiter in kleinen und großen Organisationen zur Cybersecurity-Richtlinie ihres Unternehmens befragt. An der Studie im November 2019 nahmen insgesamt 1.102 Personen ab 18 Jahren teil.