Herr Barreith, Phishing-Mails sind schon lange eine Bedrohung für Firmen. Warum gelingt es nach wie vor so vielen Hackern, damit vertrauliche Daten abzugreifen?
Christoph Barreith: Ganz klar: Die E-Mails werden immer besser. Angreifer gehen heute detailgetreu auf aktuelle Vorgänge im Unternehmen und tagesaktuelle Geschehnisse ein. Dann schreibt mir auf einmal nicht mehr irgendeine Königsfamilie, dass sie Millionen für mich bereithält – sondern beispielsweise mein vermeintlicher Chef. Der möchte dann, dass ich sofort Geld für ihn überweise. Man spricht in diesem Fall von einem CEO Fraud. Oder ich werde vom Kollegen aus der IT-Abteilung angewiesen, meinen Benutzernamen und mein Passwort einzugeben, da sonst angeblich Accounts gesperrt werden. Die Masche hier ist klar: Als Empfänger:in der E-Mail werde ich unter Druck gesetzt und soll schnell etwas erledigen. Das funktioniert am Ende, weil die Mitarbeitenden ihren Job gut machen und weiterhelfen wollen. Und vielleicht für einen Moment unachtsam sind.
Hacker werden also immer professioneller. Habe ich überhaupt eine Chance, Phishing von normalen E-Mails zu unterscheiden?
Ja, aber die Mitarbeiter:innen müssen wissen, wie sie Phishing-Mails erkennen. Das fängt schon bei der Betreffzeile an. Es lohnt sich, einen genaueren Blick auf die Nachricht zu werfen: Erscheint der Betreff merkwürdig? Handelt es sich um eine Antwort auf eine Mail, die ich niemals versendet habe? Stimmt bei der Absenderadresse etwas nicht – gibt es Buchstabendreher oder eine auffällige Adresse? Wurde die Nachricht zu einer ungewöhnlichen Zeit versendet? Das sind erste Hinweise. Genauso, wenn eine mir sonst bekannte Person plötzlich einen komplett anderen sprachlichen Stil nutzt. Und meine Alarmglocken sollten natürlich auch bei verdächtigen Anhängen oder Links schrillen – genauso, wenn ich offensichtlich zu einer außergewöhnlichen Handlung gedrängt werde.
Wenn ich den Verdacht habe, dass eine Phishing-E-Mail in meinem Postfach gelandet ist, was sollte ich dann tun?
Zuerst einmal: Niemals vorschnell etwas ausführen, das nicht dem eigentlichen, gelernten Prozess entspricht. Gerade wenn es darum geht, vertrauliche Daten einzugeben oder Überweisungen vorzunehmen. Wird der Geldtransfer sonst über die Buchhaltung abgewickelt – warum sollte meine Chefin auf einmal mitten in der Nacht wollen, dass ich schnell 10.000 EUR auf ein mir unbekanntes Konto überweisen? Hier rate ich: Immer bei der betreffenden Person nachfragen. Am besten direkt und nicht über das Telefon, denn selbst ein Anruf kann von Hackern gefakt werden. Darüber hinaus: Unbedingt die interne IT informieren. Die Abteilung muss wissen, wenn so eine E-Mail durchgegangen ist. Nur dann kann sie entsprechend reagieren und Kolleg:innen und somit das Unternehmen schützen.
Ich habe doch irgendwo meine vertraulichen Daten eingegeben und im Nachhinein ein schlechtes Gefühl. Was jetzt?
Auch hier gilt: Der internen IT-Abteilung Bescheid geben. Unternehmen sollten unbedingt eine offene Fehlerkultur leben. Selbst wenn eine Person vertrauliche Daten preisgegeben hat. Das ist zwar keine schöne Situation, die IT kann aber handeln. Und das, bevor die Angreifer tief ins Unternehmensnetzwerk eindringen und großen Schaden anrichten. Dafür ist es wichtig, dass Mitarbeitende nicht an den Pranger gestellt werden. Was aber noch viel grundlegender ist: Die Mitarbeiter:innen müssen wissen, wie sie Phishing-Mails erkennen. Das können Firmen gezielt üben.
Die Mitarbeiter:innen müssen wissen, wie sie Phishing-Mails erkennen. Das können Firmen gezielt üben.
Was können Unternehmensführung und IT machen, um ihre Mitarbeitende besser für das Thema zu sensibilisieren?
Wie schon gesagt, kommt es auf die Übung an. Wenn sich das Team jedes Jahr das gleiche Video anschauen muss, hilft das oftmals nur wenig weiter. Dann tritt der Abnutzungseffekt ein und niemand sieht mehr wirklich hin. Besser ist eine zeitgemäße Information, beispielsweise in Form von Schulungen oder gar Serien im Netflix-Stil. Unterhaltsam und kurzweilig, mit praktischem Nutzen für die Mitarbeitenden – und keinen langatmigen Belehrungen.
Was sollte die IT tun, wenn es dennoch zur Cyberattacke kommt?
Unternehmen müssen weiterdenken und einen detaillierten, genau dokumentierten Notfallplan in der Tasche haben. Ich rate unseren Kunden: Schult eure IT-Mitarbeitende praktisch! Nur so wissen sie, wie sie sich im Angriffsfall verhalten müssen. Denn wenn es darauf ankommt, liegen die Nerven blank. Unternehmen müssen aber auch strategisch vorausdenken, bevor es zum Angriff kommt: Ohne moderne IT-Security-Strategie geht heute nichts mehr. Diese muss sich an den Geschäftszielen orientieren und an das Business gekoppelt sein. Hier empfehle ich, einen externen Experten mit ins Boot zu holen, der unabhängig berät und alle Aspekte des Themas IT-Security beleuchten kann. Genau diese Aufgabe übernehmen wir jeden Tag für unsere Kund:innen und versuchen so, den Hackern immer einen Schritt voraus zu sein.