Wer online unterwegs ist, läuft auch Gefahr sich angreifbar zu machen. Menschliche Fehler sind dabei die Gefahrenquelle Nummer 1, wie eine Untersuchung von Capterra zeigt. [1] Besonders das sogenannte Phishing wird für Unternehmen immer bedrohlicher. Eine Gefahr, gegen die sich aber auch KMU bereits mit einfachen Maßnahmen gut wappnen können. Neben entsprechenden Sicherheitssystemen ist auch die Weiterbildung der eigenen Mitarbeitenden ein wichtiger Bestandteil einer effektiven IT-Sicherheitspolitik.

Phishing – Was ist das?

Beim sogenannten Phishing wird nach geheimen Informationen wie Passwörtern „geangelt“ (password + fishing = phishing). Angreifer versuchen über gefälschte E-Mails, SMS und Webseiten an persönliche Daten zu gelangen oder zur Ausführung schädlicher Aktionen zu verleiten.

E-Mail-Phishing stellt nach Ansicht der von Capterra befragten IT-Entscheider gegenwärtig eine der größten IT-Bedrohung dar. 77 % der Befragten gaben an, dass sie selbst oder andere im Unternehmen bereits Phishing-Mails erhalten haben. 44 % der Befragten gaben sogar an, dass ihr Unternehmen während der Pandemie mehr Phishing-Mails erhalten hat als zuvor. Eine Gefahrenquelle stellen diese bösartigen Mails auch deshalb dar, da sie zunehmend schwerer zu erkennen sind. Über die Hälfte der Befragten haben bereits selbst einen bösartigen Link aus solch einer Mail angeklickt oder kennen andere im Unternehmen, die dies getan haben. Dunkelziffern liegen vermutlich weitaus höher.

Wie kann ich mich vor Phishing schützen?

Cyberkriminelle leben davon, dass sie stets versuchen mit neuen Methoden Sicherheitsbarrieren zu umgehen. Das bedeutet, dass trotz aller technischen Vorsichtsmaßnahmen Phishing-Mails im Postfach landen können. Darum ist es wichtig, dass sich alle Mitarbeitenden im Unternehmen mit der Gefahr auseinandersetzen.

Eine erste, einfach Regel lautet: achtsam sein. Generell sollte man bei Mails mit unpersönlicher Anrede, Inhalten mit Gefahrandrohung, Aufforderungen vertrauliche Daten zu übermitteln oder in schlechtem Deutsch verfassten Texten aufmerksam sein. Das BSI hat Informationen zusammengestellt, wie viele Phishing-E-Mails und -Webseiten erkannt werden können.

Eine Methode zur Mitarbeitersensibilisierung und -schulung sind Phishing-Tests. Die Zahl der KMU, die Phishing-Tests durchführen, hat sich laut Capterra seit 2019 mehr als verdoppelt. Bei einem Phishing-Test werden den Mitarbeitenden fingierte Mails untergeschoben, die diese als Phishing-Mail erkennen und melden müssen. Wird auf die Test-Mails geantwortet, ein Link geklickt oder ein Anhang geöffnet, werden die Mitarbeitenden zu einer sicheren Website des Test-Anbieters weitergeleitet. Dort finden sich Informationen wie die Mail hätte erkannt werden können. Auch das Projekt BAK Game der Initiative IT-Sicherheit in der Wirtschaft bietet Online-Lernspiele zum Thema Phishing an. Unternehmen und ihre Mitarbeitende können kostenfrei und in einer sicheren, exemplarischen Umgebung testen, wie gut sie Phishing-Mails selber erkennen würden. Die Spielerinnen und Spieler müssen mithilfe eines exemplarischen Mailpostfachs verschiedene E-Mails lesen und entscheiden, ob es sich dabei um eine Phishing-Mail handelt oder nicht. Mitarbeitende werden dadurch für die Bedrohung sensibilisiert und erkennen betrügerische Nachrichten zukünftig besser.

    [1]   Capterra (2021): Der Stand der IT-Sicherheit in deutschen KMU, https://intl-blog.imgix.net/wp-content/uploads/2021/06/Capterra-ITSecurity-Whitepaper-1.pdf