Vorsicht vor Phishing!

Fische fängt man mit einem Köder. Den verwenden auch Online-Diebe, die im Internet „Phishen“.

Phishing bezeichnet das Versenden gefälschter E-Mails oder Sofortnachrichten, deren Absender namhafte Unternehmen zu sein scheinen. Online-Betrüger wollen dadurch den Empfänger dazu verleiten, auf einen Link in der Nachricht zu klicken.

Wenn ein Mitarbeiter „anbeißt“, kann dies verschiedene Folgen haben – jedoch immer negative. Der Link kann den Benutzer auf eine überzeugend gefälschte Website leiten oder ein Popup-Fenster öffnen, in dem ein seriöses Unternehmen imitiert wird. Möglicherweise wird der Mitarbeiter auch aufgefordert, den Kundendienst anzurufen. Das Ziel ist immer dasselbe: Dem Mitarbeiter vertrauliche Daten wie Kontonummern oder Kreditkartennummern, Kennwörter oder Persönliche Identifikationsnummern (PINs) zu entlocken. Mit denen verschafft sich der Online-Betrüger dann Zugang zu den Konten des Mitarbeiters oder stiehlt dessen Identität. Untersuchungen zufolge verursachte der Betrug durch Phishing im Jahr 2004 unmittelbare Verluste von 137 Millionen $.

Eine weitere Phishing-Variante installiert Spyware auf dem Computer. Mit ihr werden sämtliche Tastatureingaben verfolgt. Vertrauliche Informationen können so schon während der Eingabe entwendet werden. Diese so genannten Keystroke-Logger zeichnen beim Aufruf von Banking-, E-Mail und anderen Online-Konten Tastatureingaben auf und senden Kennwörter und Kontonummern an den Online-Betrüger. Verfügt der Betrüger erst einmal über die gestohlenen Anmelde- und Kennwortinformationen, kann er sich mit gewöhnlichen Hackertricks Zugang zum angegriffenen Computer oder Unternehmensnetzwerk verschaffen.

Ein Phishing-Betrug an einem Mitarbeiter gefährdet sein finanzielles Vermögen und seine Identität. Ihr Unternehmen kann aber weitaus mehr verlieren.

Wenn sich Cyber-Diebe mit Hackertechnologie über den angegriffenen Computer eines Mitarbeiters Zugang zu Unternehmensnetzwerken verschaffen, können Sie proprietäre Daten, wie Mailinglisten oder anderes geistiges Vermögen, stehlen. Der Diebstahl vertraulicher Kundendaten kann das Vertrauen Ihrer Kunden in Ihr Unternehmen und Ihre Marke zerstören und so verheerende Folgen haben.

Vier Möglichkeiten, Phishing-Betrügern zu entgehen

Angesichts des möglichen Schadens sollten Sie Ihr Unternehmen mit vier Maßnahmen gegen Phishing-Angriffe schützen:

1. Halten Sie Ihre Computer auf dem neuesten Stand
Sie sollten die wichtigsten Computer- und Netzwerkssicherheitssysteme installieren: Auf allen Computern im Netzwerk muss eine Antivirensoftware installiert sein, und Netzwerk wie PCs müssen durch eine Firewall geschützt sein. Firewalls bilden eine schützende Barriere zwischen Ihrem Netzwerk und dem Internet.

Aktualisieren Sie Ihre Software. Laden Sie regelmäßig die neuesten Anti-Spyware- und Antivirenupdates herunter. Die meisten Programme können so eingerichtet werden, dass sie Ihr System automatisch durchsuchen. Besuchen Sie Microsoft Update, um sich die neuesten und wichtigsten Updates für Windows, Office und andere Microsoft-Programme zu beschaffen. Windows XP Service Pack 2 verhindert in erster Linie die Anzeige von gefälschten Internetadressen, so dass sie die tatsächliche Quelle der besuchten Seite verifizieren können. Der neue Microsoft Phishing-Filter im Windows Internet Explorer 7 verwendet einen Online-Service, der mehrmals in der Stunde hinsichtlich neuer Informationen über betrügerische Webseiten aktualisiert wird. Dieser Service warnt Sie sowohl vor bekannten als auch über verdächtigen Phishing-Webseiten. Weitere Informationen zum Phising-Filter im Windows Internet Explorer 7 finden Sie unter http://www.microsoft.com/germany/windows/products/windowsvista/features/details/ie7antiphishing.mspx

2. Reduzieren Sie Sicherheitslücken
Verwenden Sie Filterungstechnologien, um Phishing-E-Mails abzufangen, bevor sie Ihre Mitarbeiter erreichen. In Outlook 2007 und Outlook 2003 können Sie mit dem Junk-E-Mail-Filter die E-Mail-Arten in Ihrem Posteingang kontrollieren. Der Filter selektiert automatisch Nachrichten aus, die als Junk-E-Mails behandelt werden sollen. Wenn Sie mit Exchange Server 2003 arbeiten, können Sie zusätzliche Junk-Mail-Filterungstechnologien verwenden.

Installieren Sie einen Popup-Fenster-Blocker, wie MSN Pop-up Guard oder den in Windows Vista SP1 und Windows XP SP2 enthaltenen Blocker. So blockieren Sie Popups, die möglicherweise von Phishing-Betrügern stammen. Weitere Informationen zum Popup-Blocker in Windows Internet Explorer 7 finden Sie unter http://windowshelp.microsoft.com/Windows/de-DE/Help/6553df0e-c42b-4f47-8376-7e76950e8f241031.mspx

3. Klären Sie Ihre Mitarbeiter auf
Selbst einem Experten für E-Mail-Betrug kann es schwer fallen, eine gefälschte von einer echten E-Mail zu unterscheiden. Wachsamkeit, Vorsichtsmaßnahmen und Aufklärung sind unerlässlich, wenn Sie Ihr Unternehmen und Ihre Mitarbeiter vor Phishing-Betrügern schützen wollen.

Erstellen Sie als erstes eine Richtlinie für die Internetnutzung. Aus dieser sollte eindeutig hervorgehen, in welchen Fällen Mitarbeiter für persönliche Zwecke im Internet surfen dürfen und welche Aktivitäten verboten sind. Halten Sie Ihre Mitarbeiter auch dazu an, persönliche Daten niemals in einer E-Mail, Kurzmitteilung oder einem Popup-Fenster anzugeben. Die meisten seriösen Unternehmen verwenden keine derartigen Methoden, um über vertrauliche Informationen Auskunft zu erhalten.

Ihre Mitarbeiter sollten auch wissen, dass sie nicht auf Links in E-Mails, Sofortnachrichten oder Popup-Fenstern klicken dürfen, in denen persönliche Daten erfragt werden. Sonst könnten Sie zu einer betrügerischen Website geleitet werden, die sämtliche Informationen an einen Datendieb weiterleitet. Ist die Echtheit einer E-Mail unsicher, sollten sie die Telefonnummer des Unternehmens ermitteln (z. B. über das Telefonbuch oder eine Unternehmensbeschreibung) und dort anzurufen. Geben Sie die Adresse der Website ein, oder verwenden Sie ein Favoritenlesezeichen, um die entsprechende Website zu besuchen.

4. Überprüfen Sie, ob die Website vertrauliche Daten schützt
Phishing-Betrüger können die Internetadresse fälschen, die der Browser anzeigt. Gehen Sie kein Risiko ein, und schließen Sie eine Website beim geringsten Zweifel an ihrer Seriosität.

Selbst wenn Sie von der Echtheit einer Website üb erzeugt sind, sollten Sie vor Preisgabe finanzieller oder persönlicher Daten einige Dinge überprüfen: Die Internetadresse sollte mit https („s“ für sicher) und nicht nur mit http beginnen. In der Taskleiste sollte ein geschlossenes Vorhängeschloss oder ein unversehrter Schlüssel angezeigt werden. Beide signalisieren, dass vertrauliche Daten bei der Übertragung über das Internet per Datenverschlüsselung gesichert werden.

Ein Doppelklick auf das Vorhängeschloss zeigt das Sicherheitszertifikat für die Website an. Vergewissern Sie sich, dass der Name des Unternehmens im Sicherheitszertifikat mit dem in der Internetadresse übereinstimmt. Ist dies nicht der Fall, befinden Sie sich möglicherweise auf einer gefälschten Seite.

Die neuesten Phishing-Tricks und Statistiken zum Phishing finden Sie auf der Website der Anti-Phishing-Arbeitsgruppe (US-Link), die sich der Bekämpfung von Online-Betrug und Identitätsdiebstahl widmet.

Zum Seitenanfang