Überblick — Cybersecurity Awareness — Praxisleitfaden — Grundlagen.
Phishing-Mails sind eine der häufigsten Bedrohungen für KMU, aber mit gezielter Schulung lassen sich diese effektiv erkennen und abwehren.
Was ist Phishing?
Phishing bezeichnet den Betrugsversuch, sich mithilfe gefälschter E-Mails oder Webseiten vertrauliche Informationen von Nutzern zu erschleichen. Häufig zielen diese E-Mails darauf ab, Passwörter, Kreditkartendaten oder andere sensible Informationen zu erlangen. Phishing-Mails wirken oft täuschend echt und sind darauf ausgelegt, den Empfänger in die Irre zu führen.
Merkmale einer Phishing-Nachricht
Typische Anzeichen einer Phishing-Nachricht sind unwirkliche Absenderadressen, allgemeine Anredeformen und dringende Aufforderungen zum Handeln. Auch Links, die auf unbekannte oder seltsam klingende Domains führen, sind häufige Merkmale. Ein KMU-Mitarbeiter könnte beispielsweise eine E-Mail mit dem Betreff "Dringende Massnahme erforderlich: Kontodaten aktualisieren" von einer angeblich vertrauenswürdigen Quelle erhalten. Die Nachricht enthält dann Links, die auf gefälschte Webseiten führen.
Beispiele aus dem KMU-Alltag
Ein gängiges Szenario in KMUs ist der Empfang von E-Mails, die dem Personalwesen oder der IT-Abteilung vorgaukeln, aus der internen Kommunikation zu stammen. Diese enthalten Anhänge oder Links, auf die geklickt werden soll. Ein anderer Fall könnte eine scheinbare Rechnung eines Lieferanten sein, die eine sofortige Zahlung fordert. Solche Phishing-Versuche zielen darauf ab, den Mitarbeitenden unter Druck zu setzen, ohne gründlich zu prüfen.
Typische Fehler beim Erkennen von Phishing
Ein häufiger Fehler ist das blinde Vertrauen in vermeintlich bekannte Absender. Mitarbeitende übersehen oft subtile Änderungen in der E-Mail-Adresse. Eine Korrektur ist, stets die vollständige Absenderadresse zu prüfen, nicht nur den angezeigten Namen. Ein weiterer Fehler ist die fehlende Prüfung des Links vor dem Klicken. Die Korrektur hier besteht darin, den Mauszeiger über den Link zu halten und die tatsächliche URL zu überprüfen, bevor sie geöffnet wird.
14-Tage-Handlungsanleitung zur Stärkung der Phishing-Erkennung
Tag 1-3: Führen Sie ein Einführungsseminar durch, das den Angestellten die verschiedenen Phishing-Techniken erklärt.
Tag 4-7: Erstellen Sie ein Quiz mit Beispielen echter und gefälschter E-Mails, um das Lernverständnis der Mitarbeitenden zu testen.
Tag 8-10: Entwickeln Sie ein Handbuch mit den wichtigsten Erkennungsmerkmalen von Phishing-Mails und verteilen Sie es.
Tag 11-14: Simulieren Sie Phishing-Angriffe innerhalb der Organisation und besprechen Sie die Ergebnisse sowie Strategien zur Verbesserung in einem nachfolgenden Workshop.
Durch diese konkreten Schritte erhöhen Sie die Aufmerksamkeit und Kompetenz Ihrer Mitarbeitenden im Umgang mit schädlichen E-Mails. Damit stärken Sie den Schutz Ihres KMU vor digitalen Angriffen.