Rund 70 % aller erfolgreichen Cybervorfälle beginnen mit einer Phishing-E-Mail. Kein Wunder, denn die Angriffstaktiken der auf diesen Bereich spezialisierten Hacker werden immer ausgefeilter. Die Süddeutsche Zeitung berichtet aktuell von einer neuen Phishing-Welle, bei der Hacker E-Mails des Bundeszentralamts für Steuern nachahmten. Mit dem Versprechen einer Rückerstattung wurden die Empfänger dazu verleitet, einen Anhang zu öffnen. Dahinter verbarg sich Schadsoftware, die alle Dateien auf dem Computer der Opfer verschlüsselte. Für die Freigabe musste ein Lösegeld gezahlt werden. Damit Sie nicht zum Phishing-Opfer werden, haben wir einige Tipps gesammelt.
Was ist Phishing?
Unter Phishing versteht man kurz gesagt das kriminelle „Abfischen“ von Daten per E-Mail. Betroffene erhalten eine E-Mail, die von einem bekannten Absender wie z. B. der Hausbank, Amazon oder einer Behörde zu stammen scheint, und den Empfänger auffordert, einen Anhang zu öffnen oder auf einen Link zu klicken. Meist wird akuter Handlungsbedarf vorgetäuscht wie z. B. eine notwendige Aktualisierung der Daten wegen einer Gesetzesänderung. Zusätzlich werden Konsequenzen angedroht, falls man der Aufforderung nicht nachkommt (z. B. Kontosperrung). Manchmal locken die Cyberkriminellen auch mit Gewinnen oder – ganz aktuell – mit Steuerrückerstattungen. Klickt der Empfänger auf den integrierten Link, landet er auf einer gefälschten Webseite, wo er Zugangsdaten preisgeben soll, die dann missbraucht werden. Und in den E-Mail-Anhängen versteckt sich Schadsoftware, mit der die Cyberkriminellen das gesamte Netzwerk des Opfers ausspionieren oder lahmlegen können, um Lösegeld zu erpressen.
Woran erkennt man eine Phishing-E-Mail?
Phishing-E-Mails gelten weltweit als die größte Gefahr für die IT-Sicherheit. Denn E-Mails machen es Kriminellen leicht, den Empfänger zu täuschen. Warum? Weil sich Absenderadressen, Inhalte, Logos und Layouts vertrauenswürdiger Firmen und Institutionen ganz einfach nachahmen lassen. Als E-Mail-Empfänger muss man oft schon sehr genau hinsehen, um eine gefälschte Mail von einer echten zu unterscheiden. Folgende Anzeichen können für eine Phishing-Mail sprechen:
– Unbekannter Absender, kryptisch anmutende Absender-Adresse
– Anonyme, unpersönliche oder allgemein gehaltene Anrede
– Kein Impressum, fragwürdige, unvollständige Firmenangaben
– Grammatik- und Rechtschreibfehler, ungewöhnliche Wortwahl
– Abgekürzte Weblinks oder anklickbare Bilder im E-Mail-Text
– Zip-, Word- oder Excel-Dateien im Anhang
Wie schützt man sein Unternehmen vor Phishing-Angriffen?
Wer sich wirksam vor Phishing-Mails schützen will, muss auf eine IT-Sicherheitsstrategie setzen, die den Faktor Mensch miteinbezieht. Neben neuesten Softwarelösungen sind Maßnahmen zur Sensibilisierung Ihrer Mitarbeiter unverzichtbar. Mit diesen fünf Tipps lässt sich das Phishing-Risiko minimieren.
1. Absicherung des E-Mail-Clients
Ergänzen Sie Ihre E-Mail-Client-Software durch schützende Software-Komponenten, die Sie durch regelmäßige Updates auf dem neuesten Stand halten. Dazu sollten neben einem Virenschutzprogramm und einer effektiven Firewall auch Anti-Spam- und Anti-Phishing-Software gehören.
2. Verschlüsselung und Signatur
Verwenden Sie bei der Anbindung der E-Mail-Clients standardisierte Protokolle, die mittels SSL/TLS (Secure Socket Layer/Transport Layer Security) durch Authentisierung und Verschlüsselung gesichert werden. Führen Sie zusätzlich im Unternehmen digitale Signaturen ein.
3. Interne E-Mail-Richtlinie
Erstellen Sie eine E-Mail-Richtlinie für Ihre Mitarbeiter mit genauen Anweisungen. Dort können Sie Sie z. B. verbindlich regeln, wie mit E-Mail-Anhängen umzugehen ist, welche Inhalte als „verdächtig“ einzuschätzen sind und wer für die Überprüfung fragwürdiger E-Mails zuständig ist.
4. Schulungen und Checklisten
Gezielte Cyber-Angriffe z. B. durch Spear-Phishing sind selbst für vorsichtige Mitarbeiter kaum zu erkennen. Führen Sie jährliche Schulungen zum Thema durch und informieren Sie über aktuelle Angriffsarten. Geben Sie Ihren Mitarbeitern Checklisten zum Umgang mit verdächtigen E-Mails an die Hand.
5. Phishing-Simulation im Unternehmen
Ein gutes Mittel zur Sensibilisierung sind Phishing-Tests. Dabei werden simulierte Phishing-E-Mails mit –harmlosen – Anhängen oder Links verschickt, um Ihre Mitarbeiter zu testen. Das Ergebnis verschafft Ihnen einen Überblick über die Lage und kann zudem zu Schulungszwecken verwendet werden.
IT-SICHERHEIT IM MASCHINENBAU UND ANLAGENBAU
Gut vorbereitet mit dem Muster IT-Notfallplan Ihrer VSMA GmbH
Wenn wichtige IT-Systeme beeinträchtigt sind, ist Eile geboten. Jedes Unternehmen sollte daher über einen IT-Notfallplan verfügen. Als 100%iges Tochterunternehmen des VDMA e. V. unterstützt Sie die VSMA GmbH bei der Minimierung Ihrer Cyber-Risiken mit praxisorientierten Publikationen. Neu: der VSMA Muster IT-Notfallplan. Die Vorlage enthält wertvolle Vorschläge zum Umgang mit Cyber- und IT-Notfällen.
NEU: VSMA Cyber-Notfallplan: www.vsma.de/it-notfallplan
DIE CYBER VERSICHERUNG FÜR DEN MASCHINENBAU UND ANLAGENBAU
VDMA Cyber-Police (VCP) – umfassender Schutz mit weltweiter Geltung
Ist Ihre IT-Sicherheit auf dem neuesten Stand? Die Hacker leider auch! Sorgen Sie rechtzeitig vor – mit einer Cyber Versicherung, die zu Ihrem Unternehmen passt. Die VDMA Cyber-Police wurde für den Maschinen- und Anlagenbau entwickelt und kommt für alle maßgeblichen Dritt- und Eigenschäden auf. Umfassend, weltweit, zuverlässig.
Branchenversicherung VDMA CYBER-POLICE: www.cyber.vsma.de
Kontakt:
Herr Thomas Völker
VSMA GmbH – ein Unternehmen des VDMA
Telefon +49 69 6603-1520
tvoelker@vsma.org