Phishing und E-Mail-Hacking

Phishing ist in Deutschland die häufigste Form des Angriffs auf die Datensicherheit. Gehackte E-Mail-Konten von Beraterinnen und Beratern sowie deren Kunden können große Schäden anrichten – wie schützen Sie sich und Ihre Kunden?

Kaum jemand, der regelmäßig online geht und E-Mails nutzt, hat es noch nicht erlebt: Phishing. Kriminelle versuchen, an geheime Daten und Passwörter zu gelangen, um so zum Beispiel auf Kosten anderer Einkäufe im Internet zu tätigen oder Konten zu leeren. Tatsächlich gehen mehr als 30% der in Deutschland registrierten IT-Sicherheitsvorfälle auf das Konto von Phishing. Sie stellen damit das mit Abstand häufigste Sicherheitsrisiko dar.¹

Weniger bekannt ist das Risiko, das von gehackten E-Mail-Konten ausgeht. Aber auch hier haben viele von uns bereits Erfahrungen gemacht: Wenn zum Beispiel plötzlich von bekannten E-Mail-Adressen seltsame Nachrichten eingehen, die etwa zur Preisgabe von Zugangsdaten aufrufen. Das Hacking von Mail-Konten und das Phishing können also aus Sicht der Kriminellen auch gut kombiniert werden.

Trügerisches Sicherheitsempfinden

Mit der Zunahme der Nutzung von Onlineangeboten in allen Lebensbereichen ist über das letzte Jahrzehnt das Vertrauen der Bürgerinnen und Bürger in Deutschland in die Datensicherheit gewachsen. Während noch im Jahr 2014 fast 50% der Befragten die generelle Datensicherheit als weniger sicher oder unsicher einschätzten, drücken heute fast 70% eher ihr Vertrauen in die Internetsicherheit aus (siehe Grafik).

Einschätzung der generellen Datensicherheit im Internet 2014 vs. 2022 (Grafik auch zum Download verfügbar)

Doch diese Einschätzung zeigt wohl mehr einen Einstellungswandel in der Breite der deutschen Bevölkerung als eine Verbesserung der tatsächlichen Sicherheitslage. Nach Jahrzehnten hoher Zurückhaltung und – zum Teil unbegründeter – Ressentiments werden Onlineangebote verstärkt genutzt. Überwiegend positive Erfahrungen unterstützen die Wahrnehmung, dass man sich sicher in der Onlinewelt bewegen könne. Fakt ist aber, dass gerade der Anstieg in der Nutzung von Online-Services und die Home-Office-Tätigkeit im Zuge der Corona-Pandemie zu erhöhten Sicherheitsrisiken geführt hat.

Corona war ein Segen – für Internetkriminelle

Am deutlichsten zeigt die weltweit sprunghafte Zunahme von Phishing-Attacken, dass Hacker versuchen, die höhere Frequenz der Nutzung von Onlineangeboten für sich zu nutzen. So stieg allein die Zahl der entdeckten gefälschten Webseiten, mit denen Nutzerzugangsdaten abgefischt werden sollten, seit Beginn der Corona-Maßnahmen im Frühjahr 2020 auf das achtfache (!) ihres Ausgangswertes (siehe Grafik).

Anzahl der entdeckten Phishing-Webseiten von Januar 2015 bis September 2022 (Grafik auch zum Download verfügbar)

Phishing: 6 Tipps, wie Sie Angriffe erkennen

Da Sie als Beraterin oder Berater über Zugangsdaten zu sensiblen Informationen über Ihre Kundinnen und Kunden verfügen, wäre erfolgreiches Phishing für Sie mit möglicherweise hohen Schäden verbunden. Es lohnt sich also, ein besonderes Augenmerk auf die Abwehr von Phishing-Attacken zu legen. Das sind die wichtigsten Tipps:

Wenn Sie eine E-Mail erhalten, die Sie zum Anklicken von eingebetteten Links auffordert und Sie nicht sicher sind, dass Sie diese E-Mail „ausgelöst“ haben (zum Beispiel als Bestätigung für einen gerade vollzogenen Internet-Kauf), seien Sie zunächst einmal misstrauisch. Überprüfen Sie immer die Integrität aller eingebetteten URLs – also der Zieladressen, die hinter den Links stehen, die Sie anklicken sollen. Phishing-Nachrichten können oberflächlich betrachtet sehr seriös wirken. Aber wenn Sie mit der Maus über die eingebetteten Links bzw. Buttons fahren, wird Ihnen die wahre Zieladresse im Internet (die wahre URL) angezeigt. Stimmt diese nicht mit dem vermeintlichen Absender überein, ist höchste Vorsicht geboten. Überprüfen Sie die Details sorgfältig, da einige Adressen echt erscheinen können, aber dann doch geringfügige Unterschiede aufweisen
(z. B. www.amazon.com vs. www.amazon.org). Auf einem Mobilgerät können Sie die gleiche Funktion ausführen, indem Sie Ihren Finger für ein paar Sekunden leicht auf dem Link gedrückt halten.

Phishing-E-Mails werden oft vorgeblich von großen Unternehmen gesendet, mit denen viele Bürgerinnen und Bürger zu tun haben. Wenn eine Nachricht viele Fehler aufweist, ist sie wahrscheinlich nicht durch die Werbe- oder Rechtsabteilung eines großen Unternehmens gekommen und damit verdächtig. Aber: Da vermehrt KI-Technologie genutzt wird, werden Phishing-E-Mails, die Fehler enthalten, seltener. Es ist daher immer wichtig, sich darauf zu konzentrieren, worum Sie gebeten werden, und nicht nur darauf, wie oder von wem Sie angesprochen werden.

Kein seriöses Unternehmen wird Sie jemals per E-Mail auffordern, Passwörter oder Anmeldedaten zu senden. Sie sollten auch vorsichtig sein, wenn Sie in einer E-Mail dazu aufgefordert werden, auf einen Link zu klicken, der Sie zu einer Website führt, auf der Sie sich anmelden können. Im Zweifel suchen Sie besser die offizielle Website des Unternehmens direkt auf. In kritischen Fällen kontaktieren Sie das Unternehmen unabhängig und auf anderem Weg, zum Beispiel telefonisch, um zu überprüfen, ob die gewünschten Angaben tatsächlich eingefordert werden.

Sie haben einen großen Preis oder Wettbewerb gewonnen! Aber haben Sie eigentlich an diesem Wettbewerb teilgenommen? Ein Finanzunternehmen sendet Ihnen eine Tabelle mit Angaben, die Sie „angefordert“ haben. Doch obwohl die E-Mail oberflächlich so aussieht, als sei sie eine Antwort auf eine Mailanfrage von Ihnen, können Sie sich nicht erinnern, je eine solche Anfrage gestellt zu haben? Dann handelt es sich höchstwahrscheinlich um eine Phishing-E-Mail. Seien Sie auch besonders vorsichtig bei unerwarteten E-Mails mit Anhängen. Diese können schädlich sein und Ihren Computer mit Malware (Schadsoftware, die zum Beispiel Ihren Computer lahmlegt) infizieren.

Nachrichten, die etwa besagen, dass Sie „Jetzt antworten“ müssen, damit Ihr Zugang nicht gesperrt oder Ihr Konto nicht gelöscht wird, sollen Sie dazu bringen zu handeln, ohne vorher richtig nachzudenken. Nehmen Sie sich gerade dann die Zeit, alles gründlich zu untersuchen.

Es wäre fantastisch, wenn wir alle Möglichkeiten eines Phishing-Angriffs mit den bisher genannten wichtigen Regeln abdecken könnten. Die Betrüger sind aber erfinderisch und versuchen mit immer neuen Tricks, Ihre Aufmerksamkeit abzulenken. Die beste Verteidigung gegen Betrug ist daher Ihr gesunder Menschenverstand. Manchmal scheinen die Dinge einfach nicht ganz richtig zu sein – lernen Sie, diesem Gefühl zu vertrauen. 

Warum ein gehacktes E-Mail-Konto zu großen Schäden führen kann

Heutzutage ist E-Mail für uns alle ein wichtiges Kommunikationsmittel. Mit der weit verbreiteten Umstellung auf die Arbeit aus dem Home-Office hat seine Nutzung noch weiter zugenommen. Leider ist E-Mail damit zu einem Hauptziel für Hacker geworden. Gerade für die Finanzberatung ist das Hacken eines E-Mail-Kontos (also die Übernahme der Kontrolle über ein E-Mail-Konto) ein kaum zu überschätzendes Risiko für Schäden geworden – finanzielle Schäden für Ihre Kunden und kaum zu behebende Reputationsschäden für Sie.

Denn die „Übernahme“ Ihres E-Mail-Kontos ermöglicht Kriminellen, Informationen einzusehen, Kunden zu kontaktieren und Betrugsversuche durchzuführen. Neben schwerwiegenden Reputationsschäden kann ein Schaden für Ihre Kunden sogar zu behördlichen oder rechtlichen Schritten gegen Sie führen.

3 Maßnahmen, um den Schaden gering zu halten

Bei vielen von uns ist das primäre E-Mail-Konto mit vielen anderen Konten verknüpft – von Bankkonten und Zugängen zur Depotverwaltung von Kunden bis hin zu Konten in sozialen Netzwerken, Onlineshops und so weiter. Wenn Cyberkriminelle die Kontrolle über unsere E-Mail-Adresse erlangen, könnten sie diese für den Zugriff auf persönliche Informationen nutzen und anschließend andere Konten oder Dienste übernehmen. Denn die Funktion, die es ermöglicht, ein „Passwort zurückzusetzen“, ist häufig auf die hinterlegte E-Mail-Adresse zurückverlinkt. 

Die gute Nachricht ist, dass Sie mit wenigen Schritten die Sicherheit Ihres E-Mail-Kontos erheblich verbessern können:

Verwenden Sie immer ein eigenes Passwort statt eines Standardpassworts für alles – insbesondere für jedes Konto, das sensible Informationen enthält. Dies ist besonders wichtig für Ihr E-Mail-Konto, da es das Tor zu vielen Ihrer anderen Online-Konten ist. Warum Länge und Komplexität beim Erstellen eines Passworts entscheidend sind und was es sonst noch zu beachten gilt, erfahren Sie in unserem Praxistipp zur Passwortsicherheit.

Wenn Ihr E-Mail-Konto zu Ihrem Dokumentenspeicher wird, könnte ein Hacker Zugriff auf alle Informationen erhalten, die Sie dort horten. Jeder Anhang, den Sie jemals gesendet oder erhalten haben, jeden Austausch mit Kunden, jedes Foto, Verträge, Rechnungen, Steuerformulare – manchmal sogar Passwörter oder PINs!

• Um dieses Risiko zu minimieren, speichern Sie nur begrenzte Informationen in Ihrem E-Mail-Konto.
• Speichern Sie vertrauliche persönliche Informationen immer nur außerhalb des Postfachs in sicheren Dokumentenspeichern. Achtung: Cloudspeicher können, wenn sie nicht ordentlich konfiguriert sind, ein mindestens ebenso großes Risiko wie E-Mail-Konten darstellen. Am besten also sensible Daten auf einem externen Laufwerk / USB-Stick speichern.

Öffentliche WLAN-Zugangspunkte sind verlockend, um kostengünstig in Verbindung zu bleiben – Hotels, Restaurants, Cafés oder auch Einkaufszentren bieten sie an. Aber die Barrierefreiheit kann mit Risiken verbunden sein. Denn öffentliche WLAN-„Hotspots“ sind genau das – öffentlich. Sie bieten weder Privatsphäre noch Schutz für Ihre Daten und Kommunikation. Daher:

• Verwenden Sie niemals öffentliches ein WLAN, um auf vertrauliche Informationen wie Ihr E-Mail-Konto zuzugreifen oder sich zum Beispiel bei einer Website anzumelden oder Kreditkarteninformationen zu übermitteln.

Quellen:

¹ DsiN Sicherheitsindex 2022, „Digitale Sicherheitslage von Verbraucher:innen in Deutschland“