Phishing ist eine der grössten Herausforderungen für die Informations- und Cybersicherheit von kleinen und mittleren Unternehmen (KMU). Trotz verstärkter Sicherheitsmassnahmen und zunehmender Sensibilisierung gelingt es Cyberkriminellen immer wieder, sensible Daten und finanzielle Ressourcen zu erbeuten. Dieser Artikel beleuchtet die Entwicklung von Phishing, die neuesten Angriffsmethoden und effektive Schutzmassnahmen für KMU.
Symbolbild Firefly
Phishing ist nach wie vor eine der gravierendsten Bedrohungen für KMU. Trotz verstärkter Sicherheitsmassnahmen und Sensibilisierungskampagnen bleibt diese Form des Cyberangriffs äusserst effektiv und anpassungsfähig.
Entwicklung von Phishing in den letzten Jahren
Phishing-Angriffe haben ihren Ursprung in den 1990er Jahren, als Cyberkriminelle begannen, gefälschte E-Mails zu versenden. Diese gaben vor, von vertrauenswürdigen Quellen wie Banken oder Online-Diensten zu stammen. Die E-Mails enthielten oft Links zu gefälschten Websites, die darauf abzielten, vertrauliche Informationen wie Benutzernamen, Passwörter und Kreditkartendaten zu stehlen.
Die Grundzüge sind noch immer dieselben, Phishing-Angriffe wurden aber zunehmend komplexer und spezialisierter. Cyberkriminelle begannen, ihre Techniken zu verfeinern, um die Glaubwürdigkeit ihrer Angriffe zu erhöhen. Dazu gehören personalisierte E-Mails, die auf spezifische Ziele abzielen, und die Nutzung von Social-Engineering, um das Vertrauen der Opfer zu gewinnen.
In den letzten Jahren nutzen Phishing-Angriffe auch neue Kanäle, wie beispielsweise soziale Netzwerke oder Messenger-Dienste. Die Angreifer verwenden diese, um Informationen über ihre Ziele zu sammeln und gezielte Angriffe durchzuführen. Smishing (SMS-Phishing), das auf Smartphones und Tablets abzielt, hat ebenfalls zugenommen, da immer mehr Menschen mobile Geräte für ihre Online-Aktivitäten nutzen.
Ein bemerkenswerter Trend ist das Aufkommen von Phishing-as-a-Service (PhaaS). Hierbei bieten Cyberkriminelle ihre Phishing-Dienste auf dem Schwarzmarkt an, wodurch auch technisch weniger versierte Betrüger Zugang zu fortschrittlichen Phishing-Techniken und -Tools erhalten. Dies hat in letzter Zeit zu einer deutlichen Zunahme der Anzahl und Raffinesse von Phishing-Angriffen geführt.
Aktuelle Phishing-Angriffsmethoden
Spear-Phishing
Spear-Phishing ist eine spezielle Form des Phishings, bei der die Angreifer gezielt spezifische Personen oder Organisationen ins Visier nehmen. Die Angriffe sind gut vorbereitet und recherchiert und nutzen persönliche Informationen über die Zielperson, um die Glaubwürdigkeit der Nachricht weiter zu erhöhen. Typische Beispiele sind E-Mails, die vorgeben, von Arbeitskollegen, Kunden oder Lieferanten zu stammen und auffordern, auf einen Link zu klicken oder einen Anhang zu öffnen.
Whaling
Whaling – auch als CEO-Fraud bekannt – ist eine spezielle Form des Spear-Phishings, welche sich gegen Führungskräfte oder andere wichtige Personen innerhalb eines Unternehmens richtet. Diese Angriffe sind besonders gefährlich, da diese Personen oft Zugang zu sensiblen Informationen und finanziellen Mitteln haben. Die Angreifer verwenden dabei oft raffinierte Social-Engineering-Taktiken, um ihre Opfer zu täuschen und dazu zu bringen, vertrauliche Informationen preiszugeben oder finanzielle Transaktionen auszuführen.
Clone-Phishing
Beim Clone-Phishing erstellen die Angreifer eine Kopie einer legitimen E-Mail, die die Zielperson zuvor erhalten hat, und ändern den Inhalt so, dass die E-Mail einen bösartigen Link oder Anhang enthält. Da die E-Mail dem Empfänger oder der Empfängerin vertraut erscheint, ist die Wahrscheinlichkeit grösser, dass er oder sie den bösartigen Link anklickt oder den Anhang öffnet.
Vishing und Smishing
Neben dem klassischen Phishing via E-Mail nutzen Cyberkriminelle vermehrt auch andere Kommunikationskanäle wie Telefon (Vishing – von Voice-Phishing) und Kurznachrichten (Smishing – von SMS-Phishing), um ihre Opfer zu erreichen. Beim Vishing geben sich die Angreifer oft als Vertreter vertrauenswürdiger Institutionen (Polizei, Finanzinstitut etc.) aus und versuchen, ihre Opfer dazu zu bringen, vertrauliche Informationen am Telefon preiszugeben. Beim Smishing verwenden die Angreifer gefälschte Kurznachrichten, die bösartige Links enthalten oder dazu auffordern, persönliche Informationen preiszugeben.
QR-Phishing
Die steigende Verbreitung und Beliebtheit von QR-Codes nutzen auch die Angreifer. Beim QR-Phishing (manchmal auch Qishing oder Quishing genannt) platzieren sie gefälschte QR-Codes beispielsweise auf Flyer, Plakaten oder in E-Mails. Diese führen auf gefälschte Websites, die vertrauliche Informationen abfangen.
Phishing über soziale Netzwerke
Cyberkriminelle nutzen zunehmend soziale Netzwerke, um Phishing-Angriffe durchzuführen. Sie erstellen gefälschte Profile oder kompromittieren bestehende Konten, um bösartige Links oder Nachrichten zu verbreiten. Diese Angriffe sind oft schwer zu erkennen, da sie aus dem vertrauenswürdigen Umfeld der sozialen Netzwerke stammen.
Angriffe auf Cloud-Dienste und SaaS-Plattformen
Mit der steigenden Nutzung von Cloud-Diensten und Software-as-a-Service (SaaS)-Plattformen haben sich Phishing-Angriffe auch auf diese Bereiche ausgeweitet. Die Angreifer haben dabei die Anmeldedaten im Visier, um Zugang zu Daten und Anwendungen zu erhalten. Ein verbreitetes Ziel sind Office-365-Anmeldedaten, um Konten zu kompromittieren und weitere Angriffe durchzuführen.
Schutzmassnahmen für KMU
Schulung und Sensibilisierung
Eine der wichtigsten Massnahmen zum Schutz vor Phishing-Angriffen ist die regelmässige Schulung und Sensibilisierung der Mitarbeitenden. Diese müssen in der Lage sein, Phishing-Nachrichten zu erkennen und wissen, wie sie darauf reagieren sollen. Schulungs- und Sensibilisierungsprogramme sollten auch Social-Engineering-Techniken abdecken sowie regelmässige Tests und Übungen beinhalten. Eine gute Möglichkeit hierfür bietet der Phishing-Test von «eBanking – aber sicher!»: www.ebas.ch/phishingtest
KMU sollten insbesondere sichere Browsing- und E-Mail-Praktiken fördern, wie beispielsweise das Vermeiden des Klickens auf verdächtige Links und das Herunterladen von Anhängen aus unbekannten Quellen. Zudem sollten Mitarbeitende dazu angehalten werden, verdächtige E-Mails oder Anfragen sofort zu melden.
Zwei-Faktor-Authentifikation (2FA)
Die Zwei-Faktor-Authentifikation (2FA) bietet einen zusätzlichen Schutz, indem sie neben dem Passwort einen weiteren Authentifizierungsfaktor erfordert. Das kann beispielsweise ein Code sein, der auf das Smartphone gesendet wird. Besonders gefährdete Informationen und Netzwerke sollten unbedingt mit 2FA geschützt werden.
Sicherheitslösungen
Der Einsatz von Sicherheitstechnologien und -lösungen wie DomainKeys Identified Mail (DKIM), Sender Policy Framework (SPF), E-Mail-Filtern und Virenschutzprogrammen helfen, Phishing-Angriffe einzudämmen. Wichtig ist, dass diese Lösungen regelmässig aktualisiert werden, um gegen die neuesten Bedrohungen gewappnet zu sein.
Sicherheitsüberprüfungen und Updates
Regelmässige Sicherheitsüberprüfungen und Updates der IT-Infrastruktur sind entscheidend, um Schwachstellen zu identifizieren und zu beheben, bevor sie von Cyberkriminellen ausgenutzt werden. Dazu gehört auch das Patchen von Software und Betriebssystemen sowie die Überprüfung der Sicherheitskonfiguration.
Incident-Response-Plan
Ein gut durchdachter und überprüfter Incident-Response-Plan hilft auch KMU, im Falle eines Cyber-Angriffs, schnell und effektiv reagieren zu können. Der Plan sollte klare Anweisungen für die Identifizierung, Eindämmung und Behebung eines Vorfalls sowie für die Kommunikation mit den Betroffenen enthalten.
Fazit
Phishing ist eine der grössten Bedrohungen für KMU, da Cyberkriminelle ihre Techniken laufend weiterentwickeln und neue Angriffsmethoden schaffen. Die zunehmende Komplexität und Spezialisierung von Phishing-Angriffen erfordert eine umfassende und kontinuierliche Sicherheitsstrategie. KMU müssen ihre Mitarbeitenden regelmässig schulen und sensibilisieren, moderne Sicherheitslösungen einsetzen und stets wachsam bleiben, um sich gegen diese anhaltende Gefahr zu schützen. Nur durch eine Kombination aus technischen Massnahmen, Sensibilisierung und proaktiven Sicherheitspraktiken können KMU ihre Widerstandsfähigkeit gegen Phishing-Angriffe stärken und ihre wertvollen Daten und Ressourcen schützen.
Weiterführende und praxisnahe Informationen zur Informations- und Cybersicherheit für KMU finden sich unter: www.ebas.ch/kmu
Der Autor
Dominik Schupp ist seit 2008 wissenschaftlicher Mitarbeiter und seit 2024 Dozent für Informations- und Cybersicherheit an der Hochschule Luzern - Informatik. Einerseits unterrichtet er im Bachelor Wirtschaftsinformatik und in der Weiterbildung und andererseits ist er für die Dienstleistung «eBanking – aber sicher!» tätig. www.hslu.ch | www.ebas.ch
Der Beitrag erschien im topsoft Fachmagazin 24-4
Das Schweizer Fachmagazin für Digitales Business kostenlos abonnieren
Abonnieren Sie das topsoft Fachmagazin kostenlos. 4 x im Jahr in Ihrem Briefkasten.