IT-Sicherheit: Phishing-Schutzmaßnahmen für KMU

Die Buchhalterin einer Haustechnikfirma bekommt eine Mail vom Chef: Sie soll 46.000 Euro an einen Lieferanten überweisen, und zwar bitte sofort! Auf den ersten Blick wirkt die Mail wie viele Mails, die ihr der Firmeninhaber von seiner persönlichen Mail-Adresse aus schreibt: Anrede, Gruß, seine Kontaktdaten und das Firmenlogo im Mail – alles wie immer. Trotzdem zögert die Buchhalterin. Warum schickt der Chef die Kontodaten mit, an die sie überweisen soll, und hat es gar so eilig mit der Überweisung? Sie ruft ihn an – er weiß von nichts.

Was ist Phishing?

Phishing bezeichnet Täuschungsversuche, etwa mit gefälschten E-Mails, SMS, QR-Codes, gefälschten Webseiten, fallweise auch Anrufen. Ziel der Kriminellen ist, an Passwörter zu kommen, die Getäuschten zum Herunterladen von Schad- oder Spionagesoftware zu bringen, oder – wie im eingangs beschriebenen Beispiel – Geldtransfers auszulösen. Laut aktuellem APWG-Report hat die Gefährdung durch Phishing weiter zugenommen. Zudem steigt, auch „dank“ KI, die Qualität der Betrugsversuche: Offensichtliche Merkmale wie krasse Tippfehler oder schlechtes Deutsch gibt es kaum mehr, im Gegenteil: Äußerlich sind viele Phishing-Attacken kaum mehr als Fälschungen zu erkennen.  

Grundlegende Phishing-Schutzmaßnahmen

Es gilt also, grundlegende Phishing-Schutzmaßnahmen immer mitzudenken, etwa: Ämter oder Banken schicken niemals E-Mails oder SMS mit der Aufforderung, Zugangsdaten auf einer Webseite, die man durch Anklicken eines Links öffnet, einzugeben. Warum diese Masche dennoch immer wieder erfolgreich ist: Viele Phishing-Angriffe versuchen, Zeitdruck und Stress auszulösen, damit die Zielperson schnell handelt und gar nicht erst darüber nachdenkt, ob alles seine Richtigkeit hat. Soll eine Überweisung oder Dateneingabe also extrem dringend sein, ist dies ein weiteres Indiz dafür, dass Vorsicht angebracht ist. 

Warum sind KMU bei Phishing-Attacken besonders gefährdet?

Schlanke Teams, kurze Entscheidungswege: Diese Stärken vieler KMU werden zunehmend als Einfallstor für Phishing-Angriffe genutzt. Die Folgen können schwerwiegend sein: Datenverlust, Reputationsschäden, finanzielle Verluste.  

3 fiese Phishing-Fallen

1. CEO-Fraud: Kriminelle geben sich, etwa per Mail, SMS oder auch mit Anrufen und
   gefälschten Stimmen, als Geschäftsführer:in oder Führungskraft aus und fordern
   dringende Überweisungen. Zeitdruck und Autorität sollen kritisches Hinterfragen
   verhindern.
2. Gefälschte Paket- oder Rechnungs-Mails: Täuschend echte Nachrichten von vermeintlichen
   Logistikdiensten verleiten zur Datenweitergabe oder zum Klick auf einen Link, der
   Schadsoftware herunterlädt.
3. Vishing: Beim telefonischen Voice Phishing geben sich Täter:innen als IT-Support oder Bankmitarbeitende aus, um Passwörter zu erbeuten oder Überweisungen zu tätigen. 

Sensibilisierung als wichtigste Phishing-Schutzmaßnahme

Viele Phishing-Angriffe versuchen, Fehlverhalten bei Mitarbeitenden auszulösen: Etwa eine Überweisung zu tätigen, Daten herauszugeben, oder Schadsoftware zu installieren. Die wichtigste Phishing-Schutzmaßnahme ist daher auch keine IT-Sicherheitsmaßnahme, sondern: Das Team für die Gefahr zu sensibilisieren. Haben die Mitarbeitenden das Problem „am Radar“ und agieren entsprechend wachsam, sinkt das Risiko schnell.