Was ist eigentlich Phishing?
Der Begriff Phishing ist zusammengesetzt aus den Worten Password und fishing und bedeutet, dass wichtige Daten wie Beispielweise Logins oder Kreditkartendaten abgegriffen werden. Dazu werden beispielsweise betrügerische Nachrichten per E-Mail, über Messenger oder über soziale Netzwerke, im großem Stil gesendet oder verbreitet, die so aussehen, als ob sie von bekannten Unternehmen oder sogar von deinem Chef oder Familie kommen.
Wie funktioniert Phishing?
a) Link zum anklicken
Phishing-Mails enthalten Links zu vermeintlichen Login-Seiten. Die Login-Seiten sind meist recht gut nachgebaut und sollen den Anschein vermitteln, dass sie von dem tatsächlichen Unternehmen sind. Die Angreifer möchten nun also, dass der User seine Login-Daten preisgibt. Dazu wird meist in den E-Mails geschrieben, dass eine dringende Nachricht auf den Kunden wartet, dass das Kundenkonto vorübergehend eingefroren wurde oder die Zugangsdaten schnell aktualisiert werden müssten. Damit soll vermittelt werden, dass ein schnelles Einloggen unabdingbar ist und der User kaum Zeit hat, Fehler zu bemerken.
b) Anhang mit Schadsoftware
Phishing-Mails sind auch E-Mails mit gefährlichen Anhängen. Öffnest du diese Anhänge, installieren sie auf deinem Gerät unbemerkt Schadsoftware, fangen Daten ab oder locken dich gar in eine kostspielige Abo-Falle.
Vorsicht bei Anhängen mit Formaten wie .exe oder .scr. Diese können Schadsoftware direkt auf Ihr Gerät laden. Manchmal werden Nutzer oder Nutzerinnen auch durch Doppelendungen wie Dokument .pdf.exe in die Irre geführt.
Klicke keine Links direkt an, sondern fahre mit dem Mauszeiger erst einmal darüber (sogenanntes Hovern). So wird dir der Link angezeigt (meist unten links in dem jeweiligen Programm), der tatsächlich hinterlegt ist. Wenn hier kryptische Zeichen im Link sind, sollten bei dir sämtliche Alarmglocken läuten.
Was sind die häufigsten Phishing-Mails?
Es gibt unzählige E-Mails, mit denen versucht wird Daten abzugreifen. Einige Betreff-Beispiele:
- Problem verhindert Zahlung - Bitte aktualisieren Sie Ihre Kontoinformationen
- Wir können ihr Paket derzeit nicht Zustellen
Das Paket mit der Nummer 58412233520000

Sie sollen so etwas doch gar nicht anklicken!
You shouldn't click on something like that!
- von unserem Lager an Ihre Adresse. Aufgrund fehlender Informationen in unserem System. Bitte beheben Sie dieses Problem innerhalb von (5) Werktagen, andernfalls müssen wir das Paket an den Hersteller zurücksenden.
- Ihre Zugangsdaten müssen aktualisiert werden
- Unbezahlte Rechnung - Gefahr der …-Deaktivierung
- Herzlichen Glückwunsch! Sie haben gewonnen
- Herzlich willkommen bei …! Bitte bestätigen Sie …
- Ihr Test Parfum wartet auf Sie! Jetzt bestätigen.
Sie wurden ausgewählt und haben die Chance, ein brandneues Test Parfum zu erhalten! Um Ihren Gewinn zu beanspruchen, beantworten Sie einfach ein paar kurze Fragen zu Ihrer Erfahrung mit uns.
- Ihr Kundenkonto wurde vorübergehend gesperrt
Wir haben verdächtige aktivitäten auf Ihrem Kundenkonto, aus dem Ausland festgestellt und vorläufig gesperrt. Bitte vergeben Sie sich ein neues Passwort, Sie haben 24 Stunden Zeit, ansonsten wird Ihr Kundenkonto …! Zu Ihrer eigenen Sicherheit fragen wir bei Login auch Ihr Geburtsdatum und komplette Adresse ab, diese hat der vermeitliche Angreifer noch nicht.
- Millionenerbe: Sie sind der einzige verbleibende Kontakt
- Attraktives Angebot wegen Gesetzesänderung/Lagerauflösung für Sie
GUTSCHRIFT 1 (Finanzamt, Behörde, Deutschlandticket) Wir haben versehentlich doppelt abgebucht, für die Gutschrift teilen Sie uns bitte ihre Kontonummer mit, auf der wir den Betrag zurücküberweisen sollen.
GUTSCHRIFT 2 (Finanzamt, Behörde, Deutschlandticket) ie haben noch ein Guthaben in Höhe von …., für die Überweisung teilen Sie uns bitte ihre Kontonummer mit, auf der wir den Betrag zurücküberweisen sollen.
- …
Bei all diesen Phishing-Mails wird darum gebeten, dass du deine Daten eingeben sollst oder dass du unbedingt den Anhang öffnen sollst.
So erkennst du Phishing-Mails
Auch wenn die Phishing-Mails immer besser gemacht werden, so kannst du sie doch anhand von einigen Merkmalen entlarven:
Schlechtes Deutsch / Keine Anrede
Das war einmal, kann aber auch ein Hinweis sein. In der Regel kommen die E-Mails mittlerweile inkl. Ansprache und richtigem Deutsch
Du bist bei dem Unternehmen Kunde, welches dich vermeintlich angeschrieben hat, aber sie verwenden keine persönliche Anrede? Dann solltest du hellhörig werden!
Falsche Anrede, wie redet Ihr euch an? Sehr geehrte(r) Herr / Frau …, Hallo …
Betreff mit sofortiger Handlungsaufforderung
Vermittelt eine E-Mail, dass du ganz dringend Daten angeben sollst, dein Konto vor einer Sperrung retten sollst oder du super schnell einen Gewinn einlösen kannst - dann solltest du wachsam sein und nicht vorschnell handeln bzw. in dem Fall klicken oder Daten eingeben.
E-Mails mit Link, um Daten einzugeben
In der E-Mail wirst du aufgefordert einen bestimmten Link anzuklicken und deine Daten einzugeben. Schau dir die E-Mail ganz genau an!
Deine Bank fragt niemals nach Deinen Login-Daten per Telefon oder E-Mail - Klicke nicht den Link in der E-Mail an, sondern nutze Deinen Favorit, Bookmark oder suche über eine der bekannten Suchmaschinen
URLs mit Buchstabendreher oder Rechtschreibfehler
Sieh genau hin, wie der Link aussieht: Sieht er nur so ähnlich wie ein bekanntes Unternehmen aus? Sind kryptische Zeichen enthalten?
Klicke nicht den Link in der E-Mail an, sondern nutze Deinen Favorit, Bookmark oder suche über eine der bekannten Suchmaschinen
Generell sollten Sie jeden Link in E-Mails und sozialen Netzen vor dem Aufruf sorgsam prüfen. Viele Verdachtsmomente sind auch für Laien erkennbar. Stutzig sollten Sie zum Beispiel werden, wenn die Internetadresse zwar den Namen der jeweiligen Institution enthält, aber in Verbindung mit ungewöhnlichen Zahlen oder Zeichenkombinationen wie in www.567x-IhreBank.de, www.sicherheitsportal-IhreBank.de, www-IhreBank.com
Hier ist www- (Strich) der Fehler, damit handelt es sich um einen gefälschten Namen
.
Am besten prüfen Sie die URL der Seite, um sicherzustellen, dass sie tatsächlich von der Partei kontrolliert wird, von der sie behauptet, kontrolliert zu werden. Der wichtige Teil der URL ist der Teil zwischen https:// und dem nächsten Schrägstrich (/). (Wenn es keinen Schrägstrich gibt, beginnen Sie am Ende der URL). Dies ist der Teil der URL, der den Besitzer der Website angibt. Einige häufige Domains sind z. B. amazon, google und ebay!
Überprüfe den Absender
Klicke den Absender an (Von Feld in E-Mails), um die komplette Absender-E-Mail-Adresse zu sehen, nicht nur den hinterlegten Namen, der dir angezeigt wird.
Erwartest Du wirklich ein Paket?
Gehe auf die Webseite des Absenders und klicke dort die Sendungsverfolgung an, oder gehe auf eine Suchmaschine gebe den Paketdienst ein und nutze dort die Sendungsverfogung
Unsichere Internetseite
Du sollst Daten eingeben, aber die Adresszeile der Internetseite hat kein geschlossenes Schloss-Symbol bzw. beginnt statt mit https:// nur mit http:// - Vorsicht! Auf unverschlüsselten Webseiten solltest du NIEMALS Daten eingeben!
Vielleicht haben Sie früher einmal gehört oder gelesen, dass die Abkürzung "https://" im Internetadressfeld Ihres Browsers für eine gesicherte Verbindung und folglich für eine vertrauenswürdige Website steht. Tatsächlich signalisiert die Abkürzung, dass der Betreiber ein sogenanntes SSL-Zertifikat für seine Seiten erworben hat. Genau dies tun aber auch immer mehr Phishing-Betrüger, um den Anschein der Vertrauenswürdigkeit zu erwecken. "https://" bedeutet heute also keine Entwarnung mehr.
Korrektes Impressum: Überprüfe, ob das Impressum korrekt ist. Sind dort Unstimmigkeiten? Wurden hier Daten einfach zusammenkopiert oder fehlen wichtige Angaben?
Das sollten Sie tuen wenn …
… a) Sie Zahlungsdaten weitergegeben haben:
- Sperren Sie Ihr Bankkonto.
- Kontrollieren Sie die Umsätze Ihres Bankkontos und setzen Sie sich mit Ihrer Bank in Verbindung.
- Nutzen Sie nach der Entsperrung ausschließlich neue Passwörter und PINs für Ihr Konto.
… Sie Zugangsdaten zu anderen Konten, z.B. Online-Shops, Google oder Apple, weitergegeben haben:
- Vergeben Sie ein neues Passwort.
- Nehmen Sie Kontakt mit dem Anbieter auf.
- Überprüfen Sie zudem, ob Zahlungsdaten betroffen waren und nehmen Sie dementsprechend auch Kontakt mit Ihrer Bank auf.
… Sie Zugangsdaten zu Ihrem E-Mail-Konto weitergegeben haben:
- Vergeben Sie sofort ein neues Passwort.
- Es kann sein, dass mit dem Zugang zu Ihrem E-Mail-Postfach auch die Zugänge anderer Online-Dienste kompromittiert sind und beispielsweise geändert oder übernommen wurden. Deswegen müssen Sie diese ebenfalls zurücksetzen. Das gilt für Online-Profile, mit denen Sie sich bei anderen Diensten, z.B. einem Online-Shop, anmelden können.
… Sie auf einen Link geklickt haben und Geldforderungen bekommen:
- Zahlen Sie kein Geld an Kriminelle.
- Wenden Sie sich bei Geldforderungen Unbekannter an die Polizei, die Verbraucherzentrale oder suchen Sie Rat bei einem Rechtsbeistand.
… den Verdacht haben, dass Ihre Daten abgeschöpft wurden:
- Erstatten Sie in jedem Fall Anzeige bei Ihrer örtlichen Polizeidienststelle - auch bei einem vagen Verdacht. Als Opfer von Internetkriminalität haben Sie die gleichen Rechte wie Opfer anderer Straftaten auch.
Vergeben Sie für alle Online Account-Zugänge jeweils unterschiedliche Passwörter. Passwort-Manager können dabei hilfreich sein.
Wo finde ich Hilfe? CyberSicherheits-Lotse
NOTFALL
Bundesnetzagentur (BNetzA)
Beschwerde zu unerwünschten Spam- oder Phishing-Nachrichten über SMS oder Messenger
www.bundesnetzagentur.de
Polizeien der Länder
Strafanzeige stellen bei den Onlinewachen der Länder oder der örtlichen Polizeidienststelle
www.polizei.de
Forschungsgruppe SECUSO
NoPhish: Info- und Lehrmaterialien zur Erkennung von Phishing-Mails
secuso.aifb.kit.edu
Europäische Kommission
EDIH Academy | European Digital Innovation Hubs Network
EDIH-Akademie
Digitale Rettungskette
Sollten Sie einen IT-Sicherheitsvorfall bemerken oder auch nur einen Verdacht haben, können Ihnen die folgenden Schritte helfen, den Schaden zu beheben oder mindestens zu begrenzen. Dabei reicht die Unterstützung, basierend auf dem Konzept der Digitalen Rettungskette, von Checklisten über eine telefonische Unterstützung durch Helfer des Cyber-Sicherheitsnetzwerkes bis hin zu einem Team von Spezialisten, welches vor Ort tätig werden kann.
- Ruhe Bewahren!
- Selbsthilfe
- Mit einem anderen Gerät ggf. nach dem Fehler suchen
- Einen Freund anrufen und Fragen
- Kontaktstelle des CSN (Bundesamt für Sicherheit in der Informationstechnik) kostenfreie Hotline 0800-274-1000 täglich von 8-18 Uhr, hilft Betroffenen, den Angriff/die Störung richtig einzuschätzen und entsprechende Abwehrmaßnahmen in die Wege zu leiten
- Digitale Ersthelfer springen bei Bedarf ein, wenn es sich um kleinere Sicherheitsvorfälle oder IT-Störungen handelt.
- Vorfall-Experten hingegen sind vom BSI zertifizierte IT-Fachleute, die ggf. sogar vor Ort Hilfestellung anbieten.
- Und schließlich gibt es im Netzwerk noch IT-Sicherheitsdienstleister, die ebenfalls vom BSI zertifiziert wurden und ganze Teams zur Verfügung stellen, wenn es sich um große Cyber-Angriffe oder komplexe Sicherheitsthemen handelt.
TOP MASSNAHMEN BEI CYBER-ANGRIFFEN
Die Bewältigung eines Cyber-Angriffs ist stets individuell und Maßnahmen müssen auf die Gegebenheiten der IT-Infrastruktur vor Ort, die Art des Angriffs und die Zielsetzungen der Organisation angepasst werden. Die in den 12 als Fragen formulierten Punkten implizierten Maßnahmen dienen als Impuls und Hilfestellung bei der individuellen Bewältigung.
- Wurden erste Bewertungen des Vorfalls durchgeführt, um festzustellen, ob es sich um einen Cyber-Angriff oder lediglich um einen technischen Defekt handelt?
- Haben Sie kontinuierlich Ihre Maßnahmen abgestimmt, dokumentiert und an alle relevanten Personen und Verantwortlichen kommuniziert?
- Wurden System-Protokolle, Log-Dateien, Notizen, Fotos von Bildschirminhalten, Datenträger und andere digitale Informationen forensisch gesichert?
- Haben Sie stets die besonders zeitkritischen und damit vorrangig zu schützenden Geschäftsprozesse im Fokus gehabt?
- Wurden betroffene Systeme vom Netzwerk getrennt? Wurden Internetverbindungen zu den betroffenen Systemen getrennt? Wurden alle unautorisierten Zugriffe unterbunden?
- Wurden Backups / RAID-Systeme gestoppt und vor möglichen weiteren Einwirkungen geschützt?
- Wurden Maßnahmen unternommen, um das gesamte Maß der Ausbreitung festzustellen? Wurden alle angegriffenen Systeme identifiziert?
- Wurden die beim Cyber-Angriff ausgenutzten Schwachstellen in Systemen oder (Geschäfts-)Prozessen durch relevante Maßnahmen adressiert und behoben?
- Wurden, nach Abstimmung, die Polizei oder relevante Behörden (Datenschutz, Meldepflichten, etc.) benachrichtigt? BSI Meldeportal
- Wurden die Zugangsberechtigungen und Authentisierungsmethoden für betroffene (geschäftliche und ggf. private) Accounts überprüft (z.B. neue Passwörter, 2FA)?
- Wird das Netzwerk nach dem Vorfall weiterüberwacht, um mögliche erneute Anomalien festzustellen?
- Wurden die betroffenen Daten und Systeme wiederhergestellt oder neu aufgebaut?
Top 12 Massnahmen ist ein gemeinsames Produkt nachfolgender Organisationen: Bundeskriminalamt, Charter of Trust, Deutscher Industrie- und Handelskammertag e.V., eco - Verband der Internetwirtschaft e.V., Initiative Wirtschaftsschutz, Nationale Initiative für Informations- und Internet-Sicherheit e.V., VOICE- Bundesverband der IT-Anwender e.V., Allianz für Cyber-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik