Phishing ist in Deutschland die häufigste Form des Angriffs auf die Datensicherheit. Gehackte E-Mail-Konten von Beraterinnen und Beratern sowie deren Kunden können große Schäden anrichten – wie schützen Sie sich und Ihre Kunden?
Kaum jemand, der regelmäßig online geht und E-Mails nutzt, hat es noch nicht erlebt: Phishing. Kriminelle versuchen, an geheime Daten und Passwörter zu gelangen, um so zum Beispiel auf Kosten anderer Einkäufe im Internet zu tätigen oder Konten zu leeren. Tatsächlich gehen mehr als 30% der in Deutschland registrierten IT-Sicherheitsvorfälle auf das Konto von Phishing. Sie stellen damit das mit Abstand häufigste Sicherheitsrisiko dar.1
Weniger bekannt ist das Risiko, das von gehackten E-Mail-Konten ausgeht. Aber auch hier haben viele von uns bereits Erfahrungen gemacht: Wenn zum Beispiel plötzlich von bekannten E-Mail-Adressen seltsame Nachrichten eingehen, die etwa zur Preisgabe von Zugangsdaten aufrufen. Das Hacking von Mail-Konten und das Phishing können also aus Sicht der Kriminellen auch gut kombiniert werden.
Trügerisches Sicherheitsempfinden
Mit der Zunahme der Nutzung von Onlineangeboten in allen Lebensbereichen ist über das letzte Jahrzehnt das Vertrauen der Bürgerinnen und Bürger in Deutschland in die Datensicherheit gewachsen. Während noch im Jahr 2014 fast 50% der Befragten die generelle Datensicherheit als weniger sicher oder unsicher einschätzten, drücken heute fast 70% eher ihr Vertrauen in die Internetsicherheit aus (siehe Grafik).
Einschätzung der generellen Datensicherheit im Internet 2014 vs. 2022 (Grafik auch zum Download verfügbar)
DsiN Sicherheitsindex 2022, „Digitale Sicherheitslage von Verbraucher:innen in Deutschland“
Downloads für Ihre Beratung:
Einschätzung der generellen Datensicherheit im Internet 2014 vs. 2022
Diese Grafik wird Ihnen unentgeltlich zur Verfügung gestellt. Bei einer Weiterverwendung obliegt es allerdings Ihnen sicherzustellen, dass alle gesetzlichen Anforderungen in diesem Zusammenhang erfüllt sind. Die FIL Fondsbank GmbH (FFB) übernimmt dafür keine Haftung.
Doch diese Einschätzung zeigt wohl mehr einen Einstellungswandel in der Breite der deutschen Bevölkerung als eine Verbesserung der tatsächlichen Sicherheitslage. Nach Jahrzehnten hoher Zurückhaltung und – zum Teil unbegründeter – Ressentiments werden Onlineangebote verstärkt genutzt. Überwiegend positive Erfahrungen unterstützen die Wahrnehmung, dass man sich sicher in der Onlinewelt bewegen könne. Fakt ist aber, dass gerade der Anstieg in der Nutzung von Online-Services und die Home-Office-Tätigkeit im Zuge der Corona-Pandemie zu erhöhten Sicherheitsrisiken geführt hat.
Corona war ein Segen – für Internetkriminelle
Am deutlichsten zeigt die weltweit sprunghafte Zunahme von Phishing-Attacken, dass Hacker versuchen, die höhere Frequenz der Nutzung von Onlineangeboten für sich zu nutzen. So stieg allein die Zahl der entdeckten gefälschten Webseiten, mit denen Nutzerzugangsdaten abgefischt werden sollten, seit Beginn der Corona-Maßnahmen im Frühjahr 2020 auf das achtfache (!) ihres Ausgangswertes (siehe Grafik).
Anzahl der entdeckten Phishing-Webseiten von Januar 2015 bis September 2022 (Grafik auch zum Download verfügbar)
APWG, Statista, 2022. Anzahl entdeckter Phishing-Webseiten weltweit
Downloads für Ihre Beratung:
Anzahl der entdeckten Phishing-Webseiten von Januar 2015 bis September 2022
Diese Grafik wird Ihnen unentgeltlich zur Verfügung gestellt. Bei einer Weiterverwendung obliegt es allerdings Ihnen sicherzustellen, dass alle gesetzlichen Anforderungen in diesem Zusammenhang erfüllt sind. Die FIL Fondsbank GmbH (FFB) übernimmt dafür keine Haftung.
Phishing: 6 Tipps, wie Sie Angriffe erkennen
Da Sie als Beraterin oder Berater über Zugangsdaten zu sensiblen Informationen über Ihre Kundinnen und Kunden verfügen, wäre erfolgreiches Phishing für Sie mit möglicherweise hohen Schäden verbunden. Es lohnt sich also, ein besonderes Augenmerk auf die Abwehr von Phishing-Attacken zu legen. Das sind die wichtigsten Tipps:
Wenn Sie eine E-Mail erhalten, die Sie zum Anklicken von eingebetteten Links auffordert und Sie nicht sicher sind, dass Sie diese E-Mail „ausgelöst“ haben (zum Beispiel als Bestätigung für einen gerade vollzogenen Internet-Kauf), seien Sie zunächst einmal misstrauisch. Überprüfen Sie immer die Integrität aller eingebetteten URLs – also der Zieladressen, die hinter den Links stehen, die Sie anklicken sollen. Phishing-Nachrichten können oberflächlich betrachtet sehr seriös wirken. Aber wenn Sie mit der Maus über die eingebetteten Links bzw. Buttons fahren, wird Ihnen die wahre Zieladresse im Internet (die wahre URL) angezeigt. Stimmt diese nicht mit dem vermeintlichen Absender überein, ist höchste Vorsicht geboten. Überprüfen Sie die Details sorgfältig, da einige Adressen echt erscheinen können, aber dann doch geringfügige Unterschiede aufweisen
(z. B. www.amazon.com vs. www.amazon.org). Auf einem Mobilgerät können Sie die gleiche Funktion ausführen, indem Sie Ihren Finger für ein paar Sekunden leicht auf dem Link gedrückt halten.
Phishing-E-Mails werden oft vorgeblich von großen Unternehmen gesendet, mit denen viele Bürgerinnen und Bürger zu tun haben. Wenn eine Nachricht viele Fehler aufweist, ist sie wahrscheinlich nicht durch die Werbe- oder Rechtsabteilung eines großen Unternehmens gekommen und damit verdächtig. Aber: Da vermehrt KI-Technologie genutzt wird, werden Phishing-E-Mails, die Fehler enthalten, seltener. Es ist daher immer wichtig, sich darauf zu konzentrieren, worum Sie gebeten werden, und nicht nur darauf, wie oder von wem Sie angesprochen werden.
Kein seriöses Unternehmen wird Sie jemals per E-Mail auffordern, Passwörter oder Anmeldedaten zu senden. Sie sollten auch vorsichtig sein, wenn Sie in einer E-Mail dazu aufgefordert werden, auf einen Link zu klicken, der Sie zu einer Website führt, auf der Sie sich anmelden können. Im Zweifel suchen Sie besser die offizielle Website des Unternehmens direkt auf. In kritischen Fällen kontaktieren Sie das Unternehmen unabhängig und auf anderem Weg, zum Beispiel telefonisch, um zu überprüfen, ob die gewünschten Angaben tatsächlich eingefordert werden.
Beispiel 1
Kunde verliert Kontrolle und 20.000 Euro nach Phishing-Attacke
Kevin Mayer ist Kunde bei einer großen Onlinebank, außerdem hat er ein Depot bei der FFB, das seine langjährige Finanzberaterin, Marion Müller für ihn betreut.
Der Fall:
- Herr Meyer erhält eine E-Mail, vorgeblich von seiner Bank. Der Inhalt: Um seine Kreditwürdigkeit zu prüfen, seien weitere Informationen erforderlich.
- Da Herr Meyer bald größere Investitionen plant, will er seine Kreditwürdigkeit nicht gefährden.
- Ein Link in der E-Mail führt zu einer Website mit dem Logo seiner Bank.
- Dort werden alle seine Bank- und Kontoverbindungen bei den verschiedenen Banken sowie deren Zugangsdaten abgefragt (vorgeblich um den Prüfzugriff zu gewährleisten). Er gibt auch die Zugangsdaten zu seinem Fondsdepot bei der FFB ab – schließlich soll das Kapital dort als Kreditsicherheit dienen.
- Was Herr Meyer nicht bemerkt: Die E-Mail ist ein kalkulierter Phishing-Versuch. Die E-Mail und die per Link verbundene Website wurden von Betrügern erstellt, um an geheime Zugangsdaten und verbundene Telefondaten zu gelangen.
Die Folgen:
- Ohne das Wissen von Herrn Meyer leiten die Betrüger 20.000 Euro vom Girokonto von Herrn Meyer auf eigene, schwer verfolgbare Konten weiter, ohne dass er einschreiten kann.
- Beim Depot bei der FFB hat er mehr Glück: Marion Müller, seine aufmerksame Finanzberaterin, bemerkt in ihrer Kundenübersicht, dass Herr Meyer langfristig angelegte Fondsbestände anscheinend veräußern will und diese auf das (bereits gehackte) Referenzkonto überwiesen werden sollen. Sie kontaktiert Herrn Meyer und entdeckt so den Betrug, bevor auch noch das Depot betroffen ist. Die Orders zum Verkauf der Fondsanteile können gemeinsam mit der FFB gestoppt werden.
Alle Beispiele, Namen von Beteiligten und Schadensdimensionen sind fiktional und frei erfunden. Sie dienen allein der Illustration der Gefahrensituation.
Sie haben einen großen Preis oder Wettbewerb gewonnen! Aber haben Sie eigentlich an diesem Wettbewerb teilgenommen? Ein Finanzunternehmen sendet Ihnen eine Tabelle mit Angaben, die Sie „angefordert“ haben. Doch obwohl die E-Mail oberflächlich so aussieht, als sei sie eine Antwort auf eine Mailanfrage von Ihnen, können Sie sich nicht erinnern, je eine solche Anfrage gestellt zu haben? Dann handelt es sich höchstwahrscheinlich um eine Phishing-E-Mail. Seien Sie auch besonders vorsichtig bei unerwarteten E-Mails mit Anhängen. Diese können schädlich sein und Ihren Computer mit Malware (Schadsoftware, die zum Beispiel Ihren Computer lahmlegt) infizieren.
Nachrichten, die etwa besagen, dass Sie „Jetzt antworten“ müssen, damit Ihr Zugang nicht gesperrt oder Ihr Konto nicht gelöscht wird, sollen Sie dazu bringen zu handeln, ohne vorher richtig nachzudenken. Nehmen Sie sich gerade dann die Zeit, alles gründlich zu untersuchen.
Es wäre fantastisch, wenn wir alle Möglichkeiten eines Phishing-Angriffs mit den bisher genannten wichtigen Regeln abdecken könnten. Die Betrüger sind aber erfinderisch und versuchen mit immer neuen Tricks, Ihre Aufmerksamkeit abzulenken. Die beste Verteidigung gegen Betrug ist daher Ihr gesunder Menschenverstand. Manchmal scheinen die Dinge einfach nicht ganz richtig zu sein – lernen Sie, diesem Gefühl zu vertrauen.
Cybersicherheit für jedermann
Unser umfassender Leitfaden für Sie, Ihre Mitarbeiter und Kunden zum Thema Datenschutz und wie Sie sich vor Angriffen schützen können.
Warum ein gehacktes E-Mail-Konto zu großen Schäden führen kann
Heutzutage ist E-Mail für uns alle ein wichtiges Kommunikationsmittel. Mit der weit verbreiteten Umstellung auf die Arbeit aus dem Home-Office hat seine Nutzung noch weiter zugenommen. Leider ist E-Mail damit zu einem Hauptziel für Hacker geworden. Gerade für die Finanzberatung ist das Hacken eines E-Mail-Kontos (also die Übernahme der Kontrolle über ein E-Mail-Konto) ein kaum zu überschätzendes Risiko für Schäden geworden – finanzielle Schäden für Ihre Kunden und kaum zu behebende Reputationsschäden für Sie.
Denn die „Übernahme“ Ihres E-Mail-Kontos ermöglicht Kriminellen, Informationen einzusehen, Kunden zu kontaktieren und Betrugsversuche durchzuführen. Neben schwerwiegenden Reputationsschäden kann ein Schaden für Ihre Kunden sogar zu behördlichen oder rechtlichen Schritten gegen Sie führen.
3 Maßnahmen, um den Schaden gering zu halten
Bei vielen von uns ist das primäre E-Mail-Konto mit vielen anderen Konten verknüpft – von Bankkonten und Zugängen zur Depotverwaltung von Kunden bis hin zu Konten in sozialen Netzwerken, Onlineshops und so weiter. Wenn Cyberkriminelle die Kontrolle über unsere E-Mail-Adresse erlangen, könnten sie diese für den Zugriff auf persönliche Informationen nutzen und anschließend andere Konten oder Dienste übernehmen. Denn die Funktion, die es ermöglicht, ein „Passwort zurückzusetzen“, ist häufig auf die hinterlegte E-Mail-Adresse zurückverlinkt.
Die gute Nachricht ist, dass Sie mit wenigen Schritten die Sicherheit Ihres E-Mail-Kontos erheblich verbessern können:
Verwenden Sie immer ein eigenes Passwort statt eines Standardpassworts für alles – insbesondere für jedes Konto, das sensible Informationen enthält. Dies ist besonders wichtig für Ihr E-Mail-Konto, da es das Tor zu vielen Ihrer anderen Online-Konten ist. Warum Länge und Komplexität beim Erstellen eines Passworts entscheidend sind und was es sonst noch zu beachten gilt, erfahren Sie in unserem Praxistipp zur Passwortsicherheit.
Beispiel 2
Berater verliert Kundenvertrauen nach gehacktem E-Mail-Konto
Klaus Hagen ist seit Jahren in der Anlageberatung tätig und vermittelt Fondsanteile gem. § 34f GewO. Da er als Vermittler nie im Auftrag seiner Kunden handelt, nimmt er es mit der E-Mail-Sicherheit nicht allzu genau. Denn wirklich sensible Daten, die in einer Transaktion münden, werden ja nur zwischen seinen Kunden und der FFB ausgetauscht. So seine Annahme.
Der Fall:
- Herr Hagen nutzt seine geschäftliche E-Mail-Adresse auch privat. Im Zusammenhang mit einem Onlinekauf, ist er Opfer eines Hackerangriffs geworden.
- Ohne sein Wissen haben Betrüger Kontrolle über sein E-Mail-Konto erlangt. Sie können nun mitlesen, mit welchen Kunden er beruflich in Kontakt steht, sie können aus seinem Account vorgeblich in seinem Namen E-Mails versenden und auch E-Mails erhalten, die an ihn gerichtet sind.
- Da sie ihre Spuren in der Eingangs- und Ausgangsbox löschen, fällt Herrn Hagen nicht auf, dass sein Konto gehackt ist.
- Nun beginnen die Betrüger mit Beratungskunden von Herrn Hagen Kontakt aufzunehmen. Sie senden mit dem für die Kunden gewohnten Absender von Herrn Hagen Phishing-Mails an seine Kunden, in denen sie unter einem Vorwand alle erforderlichen Zugangsinformationen zu ihren Depots bei der FFB abfragen.
- Ein Teil der Kunden gibt bereitwillig Auskunft, da man mit Herrn Hagen ja schon seit Jahren zusammenarbeitet. Sie beherzigen also nicht die Ratschläge zur Vermeidung von Phishing: „Nie Zugangsdaten auf Aufforderung preisgeben“.
- Andere Kundinnen und Kunden kontaktieren Herrn Hagen wegen seiner Anfrage, die ihnen verdächtig vorkommt. Daraufhin fliegt der Betrug auf. Herr Hagen muss sein E-Mail-Passwort ändern und alle Kunden über den möglichen Betrugsfall informieren.
Die Folgen:
- Die Betrüger haben sich in einige Depots von Herrn Hagens Kunden gehackt und konnten auch bereits über Beträge auf Abwicklungskonten verfügen.
- Weitere Eingriffe wie der Verkauf von Fondsanteilen zugunsten der Betrüger konnten von der FFB gestoppt werden, weil andere Kunden rechtzeitig den Betrugsversuch an Herrn Hagen gemeldet hatten.
- Herr Hagen hat infolge des Hackings einige Kunden verloren, die seiner Kompetenz und seinen IT-Sicherheitsvorkehrungen nicht mehr vertrauten.
- Auch die Aufsichtsbehörde prüft, inwieweit Herr Hagen durch Fahrlässigkeit die Sicherheit der Bankdaten seiner Kunden gefährdet hat.
Alle Beispiele, Namen von Beteiligten und Schadensdimensionen sind fiktional und frei erfunden. Sie dienen allein der Illustration der Gefahrensituation.
Wenn Ihr E-Mail-Konto zu Ihrem Dokumentenspeicher wird, könnte ein Hacker Zugriff auf alle Informationen erhalten, die Sie dort horten. Jeder Anhang, den Sie jemals gesendet oder erhalten haben, jeden Austausch mit Kunden, jedes Foto, Verträge, Rechnungen, Steuerformulare – manchmal sogar Passwörter oder PINs!
- Um dieses Risiko zu minimieren, speichern Sie nur begrenzte Informationen in Ihrem E-Mail-Konto.
- Speichern Sie vertrauliche persönliche Informationen immer nur außerhalb des Postfachs in sicheren Dokumentenspeichern. Achtung: Cloudspeicher können, wenn sie nicht ordentlich konfiguriert sind, ein mindestens ebenso großes Risiko wie E-Mail-Konten darstellen. Am besten also sensible Daten auf einem externen Laufwerk / USB-Stick speichern.
Öffentliche WLAN-Zugangspunkte sind verlockend, um kostengünstig in Verbindung zu bleiben – Hotels, Restaurants, Cafés oder auch Einkaufszentren bieten sie an. Aber die Barrierefreiheit kann mit Risiken verbunden sein. Denn öffentliche WLAN-„Hotspots“ sind genau das – öffentlich. Sie bieten weder Privatsphäre noch Schutz für Ihre Daten und Kommunikation. Daher:
- Verwenden Sie niemals öffentliches ein WLAN, um auf vertrauliche Informationen wie Ihr E-Mail-Konto zuzugreifen oder sich zum Beispiel bei einer Website anzumelden oder Kreditkarteninformationen zu übermitteln.
E-Mail-Konto regelmäßig überprüfen
Überprüfen Sie regelmäßig, um sicherzustellen, dass Ihr E-Mail-Konto nicht gehackt wurde. Die beiden Webseiten helfen dabei:
Quellen:
1 DsiN Sicherheitsindex 2022, „Digitale Sicherheitslage von Verbraucher:innen in Deutschland“
Weitere Artikel zum Thema
Strategien für Ihre Kundenportfolios:
Zinssenkungen mit Flexibilität & Qualität navigieren | PIMCO
Wir möchten uns die attraktiven Renditen von heute sichern und behalten zugle…
4,90 € pro Anteil: DWS Top Dividende schüttet wieder aus!
Zum 22. Mal in Folge kann der DWS Top Dividende seinen Anlegerinnen und Anleg…
Biogas: Aus Abfall wird CO2-arme Energie | Pictet
Biogas wurde einst von den Assyrern genutzt, heute ist es eine zukunftsfähige…
Zinssenkungen mit Flexibilität & Qualität navigieren | PIMCO
Wir möchten uns die attraktiven Renditen von heute sichern und behalten zugle…
4,90 € pro Anteil: DWS Top Dividende schüttet wieder aus!
Zum 22. Mal in Folge kann der DWS Top Dividende seinen Anlegerinnen und Anleg…
Flexibel, resilient, dynamisch – seit mehr als 35 Jahren
Seit mehr als drei Jahrzehnten sind Anlegerinnen und Anleger mit dem Carmigna…