<< Themensammlung Organisieren

23.07.19

So erkennen Sie Phishing-Mails

Quelle: iStock / Getty Images Plus

Es ist nur ein kleiner Klick – und doch kann er großen Schaden anrichten. Wenn Unternehmen auf Phishing-Mails hereinfallen, können sensible Daten oder sogar Geld verloren gehen. Deshalb ist es wichtig, Betrugsversuche rechtzeitig zu erkennen.

Eigentlich ist es eine harmlose Situation: Herr Schmidt, Geschäftsführer eines Unternehmens, kommt morgens in sein Büro und öffnet sein E-Mail-Postfach. Er findet eine Nachricht seiner Bank, die ihm mitteilt, dass ihre Software standardmäßig erneuert wird. Damit keine Kundendaten verloren gehen, soll er die Bankdaten seines Unternehmens erneut eingeben und dafür auf den in der E-Mail angegebenen Link klicken. Herr Schmidt ahnt nichts Böses. Er öffnet den Link und gibt die geforderten Daten ein. Ein Fehler – denn die E-Mail war eine Fälschung. Die Bankdaten sind nun in den Händen Krimineller.

Fälle wie der gerade beschriebene nennen sich „Phishing“. Der Begriff leitet sich vom englischen Wort „fishing“ – auf Deutsch „Angeln“ – ab und beschreibt das dahinter steckende Verfahren: Kriminelle angeln sich persönliche Daten wie etwa Passwörter oder Kreditkartennummern, indem sie Köder – wie etwa gefälschte E-Mails – auslegen. Auf den ersten Blick sehen solche E-Mails täuschend echt aus. Wer auf sie hereinfällt, muss allerdings mit schwerwiegenden Konsequenzen rechnen. So ist es nicht nur möglich, dass Kriminelle an die Bankdaten eines Unternehmens kommen, sondern zum Beispiel auch die Kontrolle über die firmeneigenen E-Mail-Konten übernehmen und diese nutzen, um weitere Schaden verursachende E-Mails zu versenden.

Sechs Merkmale von Phishing-Mails

Wer eine verdächte E-Mail erhält, sollte sie weder beantworten noch darin enthaltene Links anklicken oder Dateianhänge öffnen. Zunächst ist es aber wichtig, betrügerische Nachrichten überhaupt zu erkennen. Die folgenden sechs Merkmale von Phishing-Mails helfen Ihnen, sich und Ihre Mitarbeiter zu sensibilisieren:

  1. Ein fragwürdiger Betreff ist häufig der erste Hinweis auf eine Phishing-Mail. Phrasen wie „Jemand aus Ihrer Umgebung verdient 5.000 € die Woche. Das können Sie auch“ fallen ins Auge und sollten Sie stutzig machen.

  2. Phishing-Mails kommen in der Regel von gefälschten Absenderadressen. Häufig werden Banken, Online-Banking-Plattformen und Verkaufsseiten als Pseudo-Absender gewählt. Auf den ersten Blick wirkt die Absenderadresse seriös, entpuppt sich bei näherem Hinsehen aber als Fälschung. Beispiel: info@foederland.de statt info@foerderland.de.

  3. Texte in Phishing-Mails wirken oft wie von kostenlosen Übersetzungsprogrammen ins Deutsche übersetzt und enthalten Rechtschreib- und Grammatikfehler. Sätze wie „Sie mussten unseren Link besuchen, wo Ihnen eine spezielle Form zum Ausfullen angeboten wird“, sind definitiv ein Indiz für einen Betrugsversuch.

  4. Häufig enthalten Phishing-Mails Anhänge oder Links, die Sie anklicken bzw. öffnen sollen. Die Links führen zu Ihnen angeblich bekannten Websites, wo Sie aufgefordert werden, beispielsweise Ihre persönlichen Daten zu hinterlassen. Dabei liegen hinter vermeintlich seriösen Adressen – wie etwa www.foerderland.de – ganz andere Adressen, die Sie auf Phishing-Sites führen. Klicken Sie einen solchen Link an, landen Sie nicht auf der Website von förderland, sondern werden auf eine Adresse wie zum Beispiel www.narod.stenla.ru weitergeleitet. Links von unbekannten Absendern sollten Sie also niemals anklicken, sondern – wenn überhaupt – nur selbst in den Browser eintippen. In der Regel beginnen solche Links mit einem unverschlüsselten „http“ statt dem verschlüsselten „https“, was bereits auf einen unseriösen Verfasser hindeutet.

    Wenn Sie eine URL wie zum Beispiel www.foerderland.de in Ihren Browser eintippen, passiert Folgendes: Vor der Internetadresse erscheint ein grünes Schlosssymbol sowie das Kürzel „https“. Das „s“ am Ende steht für „secure“ und zeigt an, dass niemand übertragene Daten mitlesen oder abfangen kann, weil der Datenaustausch verschlüsselt stattfindet. Seit Einführung der Datenschutzgrundverordnung ist es für Unternehmen zur Pflicht geworden, ihre Websites auf „https“ umzustellen. Bei Links, die keine Verschlüsselung anzeigen, sollten Sie deshalb besonders vorsichtig sein.

  5. In vielen Phishing-Mails werden Sie statt mit ihrem Namen mit „Sehr geehrter Kunde“ oder „Sehr geehrter Nutzer“ angeredet. Auch eine fehlende persönliche Anrede deutet auf einen betrügerischen Absender hin, denn die Banken, Verkaufsplattformen o. ä., bei denen Sie Kunde sind, kennen Ihren Namen und würden niemals auf „Sehr geehrter Kunde“ zurückgreifen. Mittlerweile haben allerdings einige Absender von Phishing-Mails herausgefunden, dass eine persönliche Ansprache die Glaubwürdigkeit erhöht. Daher ist es möglich, dass auch hinter einer E-Mail, in der Ihr Name genannt wird, eine betrügerische Absicht steckt.

  6. Kriminelle versuchen, Sie mithilfe von Phishing-Mails psychisch unter Druck zu setzen. Finden Sie also eine E-Mail in Ihrem Posteingang, die dringenden Handlungsbedarf signalisiert, sollten Sie ebenfalls achtgeben. Ein typischer Fall wäre beispielsweise eine vermeintliche E-Mail von Ihrer Bank, die mit Kontosperrung droht, sollten Sie nicht Ihre Daten unverzüglich auf der verlinkten Website eingeben. Wenn Sie diesen Anweisungen nachkommen, landen Sie allerdings auf der Website von Betrügern.

IT-Sicherheit ist wichtig

Die beste Reaktion auf eine Phishing-Mail ist, sie zu ignorieren und zu löschen. Darüber hinaus ist es grundsätzlich sinnvoll, in die IT-Sicherheit Ihres Unternehmens zu investieren. Die Computer aller Mitarbeiter sollten mit einem Anti-Viren-Programm ausgestattet sein. Außerdem empfiehlt es sich, einen Mitarbeiter im Hinblick auf IT-Sicherheit zu schulen. Der achtet dann beispielsweise darauf, dass Sie regelmäßig Updates installieren, um Sicherheitslücken zu schließen, oder hat im Blick, welche Mitarbeiter der Firma auf welche Daten zugreifen dürfen. Werden sensible Daten per E-Mail verschickt, ist es außerdem sicherer, die Nachricht zu verschlüsseln.

Autor: Ann-Kathrin Gräfe

Ann-Kathrin Gräfe studierte Literaturwissenschaften und Anglistik und landete anschließend beim Thema Internet. Sie arbeitet bei dotBerlin, der Betreiberin der Top-Level-Domain .berlin sowie punktHamburg, der Betreiberin der Top-Level-Domain .hamburg. Regelmäßig schreibt sie Fachbeiträge rund um Internetadressen und Websitegestaltung.
Ann-Kathrin Gräfe

Schlagworte zu diesem Artikel

Jetzt gratis anmelden und wir unterstützen Sie mit Informationen und aktuellen Lernangeboten!