So schützen sich KMU vor Phishing-Mails

Mitarbeiter von KMU werden häufig Opfer von Phishing-Mails. Mit diesen 5 Punkten erkennen Sie solche Angriffe sofort.

Bei einem Phishing-Angriff werden E-Mails versendet, deren Absender sich als vertrauenswürdige Unternehmen, Bekannte oder Mitarbeiter ausgeben. Folgen die Empfänger den Anweisungen aus den Mails, erlangen die Angreifer Zugriff auf unternehmensinterne Dienste, Mails, Passwörter und Dokumente. Das schwächste Glied in der Kette sind die Nutzer: Passt ein Mitarbeiter einen Moment lang nicht auf, ist das Unternehmen bereits gefährdet.

Deshalb ist es wichtig, dass Sie Ihre Mitarbeiter und Angestellten ausreichend über Phishing-Mails schulen und informieren. Die folgenden Punkte erklären Ihnen, wie Sie solche Mails erkennen. Lesen Sie sich die Punkte mit Ihren Angestellten genau durch und ziehen Sie bei Bedarf weitere Quellen zu Rate.

Absender: Viele E-Mail-Dienste zeigen nur den Namen des Absenders an und nicht die ganze E-Mail-Adresse. Das ist ein Problem, denn jeder kann sich «Microsoft Support» nennen, auch Sie. Wenn Ihnen eine E-Mail verdächtig vorkommt, schauen Sie sich die E-Mail-Adresse genauer an. Phishing-Mails setzen häufig auf Gratisdienste wie Gmail oder Outlook. Richtige Unternehmen benutzen im Normalfall die Domain des Unternehmens als E-Mail-Adresse.

Sprache: Ist das Mail plötzlich auf Englisch, obwohl sie von diesem Absender sonst nur deutsche E-Mails erhalten? Hat es im Text grammatikalische Fehler, die auf eine automatische Übersetzung hinweisen?

Links: Fahren Sie mit der Maus über die Links im Mail. So sehen Sie unten links im Browser oder in gängigen Mail-Programmen bereits die hinterlegte URL. Überprüfen Sie hier, ob die hinterlegte URL vertrauenswürdig aussieht. Domains, die Ihnen nicht bekannt sind oder gar Fehler enthalten, sollten Sie meiden. Häufig werden auch Domains eingesetzt, die auf den ersten Blick gleich aussehen wie das Original, etwa microzoft.com anstatt microsoft.com.

Webseiten: Falls Sie doch auf einen Link geklickt haben, sollten Sie die Website genauer unter die Lupe nehmen. Wieder dienen Rechtschreibefehler oder unsaubere Designs als Warnsignale. Wenn Sie sich trotzdem nicht sicher sind, ob Sie sich nun wirklich auf der richtigen Webseite befinden, suchen Sie mit Google nach dem Namen des Unternehmens. So landen Sie sicher auf der richtigen Seite.

Passwörter: Geben Sie Ihr Passwort und weitere sensible Daten nur dann ein, wenn Sie sich absolut sicher sind, dass Sie sich auf einer vertrauenswürdigen Website befinden. Sollten Sie im Nachhinein Zweifel haben, ändern Sie umgehend Ihr Passwort und informieren Sie Ihren IT-Support.

 

Schon gewusst? Phishing kommt vom englischen Wort Fishing (Fischen) und wird auch so ausgesprochen. Das Mail dient dabei als Köder, die Empfänger sind die Fische. Wie beim richtigen Fischen erwartet niemand, dass jeder darauf reinfällt. Es reicht, wenn einer zu beisst. Beim Whale-Phising (Walfischen) konzentrieren sich die Angriffe aus besonders wichtige Opfer wie Geschäftsführer. Spear-Fishing (Speerfischen) richtet sich gegen einzelne Opfer , über die sich die Angreifer vorher genau informiert haben. So können die Mails noch individueller gestaltet werden.