Foto: Delta Amphule/adobe stock

Foto: Delta Amphule/adobe stock

Attacke aus dem Posteingang

Phishing erkennen

Von Carola Heine, IT-Fachjournalistin und IT-Expertin von lexoffice

Phishing, eine Wortschöpfung aus Phreak (Hacker) und Fishing, bezeichnet Betrugsversuche mithilfe von Mails und Websites, die von den Originalen vertrauenswürdiger Anbieter kopiert und mit Schadsoftware versehen werden. Leider handelt es sich um hochfunktionale Schadsoftware, die Daten unauffällig im Hintergrund ausspioniert und weitergibt oder ganze Computersysteme in Geiselhaft nimmt, bis von den Geschädigten ein Lösegeld gezahlt wurde, um wieder auf die eigenen Daten zugreifen zu „dürfen“. Die volkswirtschaftlichen Schäden von Cyber-Delikten, die mit gezielten Phishing-Attacken beginnen, werden in Deutschland pro Jahr mindestens auf einen zweistelligen Millionenbetrag geschätzt. Betroffen sind Personen und Firmen jeder Größenordnung – doch besonders kritisch sind alle Fälle, in denen es um die Gefährdung sensibler Daten geht, wie beispielsweise die persönlichen Informationen Ihrer Mandate.

Angreifer nutzen besonders gerne E-Mails

Gefälschte Websites mit schädlichen Links sehen aus wie das Original – auf solche Fakes sollen Sie in der Regel über eine Mail gelockt werden. Phishing per E-Mail ist besonders tückisch, denn diese Mails sehen täuschend echt wie die von vertrauenswürdigen Absendern aus – es sind aber Fälschungen von Betrügern, die Sie zum unbedachten Klick verführen sollen. Phishing-Mails angeln nach Zahlungsinformationen, wie Kreditkartendaten und Bankverbindungen. Auch Fake-Websites zielen darauf ab, Zugangsdaten und persönliche Informationen zu ergattern und Schadsoftware zu installieren.

Ein Link, der Sie zu einem Bestätigungsklick auffordert, eine dringende Ermahnung, Daten zu aktualisieren, um einen Zugriff nicht zu verlieren oder ein Datei-Anhang mit einem angeblich brisanten oder wichtigen Inhalt, beispielsweise einer Rechnung: Phishing-Mails sehen aus wie von einer vertrauenswürdigen Quelle. Viele enthalten Flüchtigkeitsfehler, einige sehen inzwischen aber fehlerfrei aus. Wenn Sie unvorsichtig auf diese Links oder Datei-Anhänge in Phishing-Mails klicken, geben Sie persönliche Daten preis oder installieren eine Schadsoftware, die auf Ihre Systeme zugreift und es Angreifern im schlimmsten Fall sogar erlaubt, Mandantendaten abzurufen. Die entstandenen Schäden sind in den meisten Fällen finanziell. Aber für Steuerberater steht naturgemäß noch viel mehr auf dem Spiel, wenn eine Kanzlei durch Vorsichtsmangel Zugriff auf Mandantendaten gewährt: Sie riskieren die Daten Ihrer Mandanten sowie finanzielle Schäden für alle, haften schlimmstenfalls für den entstandenen Aufwand und gefährden obendrein die Reputation Ihrer Kanzlei.

Die besten 5 Tipps gegen Phishing-Attacken

Sie sind den Angriffen jedoch nicht hilflos ausgesetzt, sondern können wirksame Maßnahmen gegen Phishing-Attacken ergreifen. Die IT-Profis von lexoffice haben deshalb einige Tipps für Sie. Das wichtigste Werkzeug ist eine umsichtige Vorgehensweise.

1. Informieren Sie sich über Phishing

Wenn Sie die häufigsten Phishing-Methoden und Ziele kennen, fallen Sie nicht so schnell auf gefälschte Mails, Fake-Websites und dringliche Aufforderungen herein. Je mehr Sie über die Taktiken der „Phisher“ wissen, desto besser schützen Sie sich und Ihre Mitarbeiter davor.

2. Betrachten Sie Mails mit Skepsis und Vorsicht

Verdächtige Mails sind einfach zu erkennen, wenn Sie einmal wissen, worauf Sie achten sollten: Unerwartete, nicht von Ihnen angeforderte Datei-Anhänge und Links im Text, die zu Handlungen auffordern – besonders, wenn persönliche Informationen abgefragt oder bestätigt werden sollen. Prüfen Sie Absenderadressen, klicken Sie nicht auf Links.

3. Starke Passwörter und Zwei-Faktor-Authentifizierung

Aktivieren Sie immer, wo vorhanden, die Zwei-Faktor-Authentifizierung, um eine zusätzliche Sicherheitsebene hinzuzufügen und den Zugriff auf die eigenen Daten und die der Mandanten zu schützen. Sorgen Sie dafür, dass Passwörter einzigartig und stark sind und regelmäßig aktualisiert werden.

4. Den eigenen Computer fit und sicher halten

Aktualisieren Sie regelmäßig Ihren Browser, Ihr Betriebssystem und Ihr Antivirenprogramm und andere Software, um über die neuesten Sicherheitsfunktionen zu verfügen. Das sorgt dafür, dass zum Beispiel Viren in Dateianhängen besser entdeckt werden.

5. Wach und aufmerksam bleiben

Achten Sie darauf, ob verdächtige Aktivitäten oder Veränderungen in den Systemen stattfinden, mit denen Sie arbeiten. Wurden zum Beispiel zusätzliche, unbekannte Benutzer angelegt? Gab es Änderungen in den Belegen, Kontakten, Bankkonten? Ändern Sie sofort Ihr Login und informieren Sie den Anbieter, wenn Sie den Eindruck haben, dass ein unbefugter Zugriff stattgefunden hat.

Weitere Informationen zum Thema Phishing bietet auch das Bundesamt für Sicherheit in der Informationstechnik: www.bsi.bund.de/dok/507910