So gefährlich sind Phishing-Mails
Informationen, die Unternehmen besitzen, sind nicht nur für das Unternehmen selbst wertvoll, sondern auch für Cyber-Kriminelle. Ein beliebtes Opfer von Cyber-Angriffen sind Mitarbeiter, denen Informationen entlockt werden, mit dem Ziel, auf das Firmennetzwerk zuzugreifen. Und dafür verwenden die Angreifer oft eine sogenannte 'Phishing'-E-Mails.
Informationen, die Unternehmen besitzen, sind nicht nur für das Unternehmen selbst wertvoll, sondern auch für Cyber-Kriminelle. Ein beliebtes Opfer von Cyber-Angriffen sind Mitarbeiter, denen Informationen entlockt werden, mit dem Ziel, auf das Firmennetzwerk zuzugreifen. Und dafür verwenden die Angreifer oft eine sogenannte "Phishing"-E-Mails.
Phishing-E-Mails gelten immer noch als eine der häufigsten Unternehmensbedrohungen. Laut dem Cyber Security Breaches Survey 2019 der britischen Regierung sind diese Art Angriffe für Unternehmen viel schwieriger zu verteidigen als die Bedrohung durch Schadsoftware oder konkrete Hacking-Aktivitäten.
Phishing macht 90 Prozent aller Datenschutzverletzungen aus, und 76 Prozent der Unternehmen berichten, dass sie 2018 Opfer eines solchen Angriffs geworden sind. 2019 hat in den USA das sogenannte Business E-Mail Compromise (BEC) einen Schaden von mehr als zwölf Milliarden Dollar verursacht.
Und so wird gephisht: Wenn es beispielsweise Nachrichten über einen Datenverstoß oder einen Systemfehler gibt, können Angreifer versuchen, die Mitarbeiter davon zu überzeugen, ihre Daten zu ändern. Sie führen sie dann zu einer Website, die sich als Unternehmenswebsite oder als Website einer Tochtergesellschaft ausgibt. Oder sie übernehmen die Identität eines Mitarbeiters und bitten andere Mitarbeiter, eine Datei "für einen Kunden" herunterzuladen, in der sie einen Virus verstecken.
Diese Vorgehensweise führt meistens zum Erfolg. Denn wenn ein Hacker in der Lage ist, ein Unternehmen exakt zu imitieren, dann sind die Mitarbeiter des Unternehmens geneigt, die E-Mail als legitim zu betrachten. Das funktioniert immer dann besonders gut, wenn die E-Mail zur richtigen Zeit oder zum passenden Anlass kommt. Zum Beispiel wenn ein Mitarbeiter sich an den Service Desk wendet, um zum Beispiel um das Zurücksetzen eines Passworts zu bitten.
Wenn dann eine Phishing-E-Mail eintrifft, die diesen Anlass aufgreift und in überzeugender Form in den Content einbindet, dann wird der Mitarbeiter wahrscheinlich in die Falle tappen.
