Bitte vertraulich – so lautet der Betreff einer Mail, die die Abteilungsleiterin in der Verwaltung von Krämer IT eines Morgens um 7.30 Uhr in ihrem Postfach findet.
Absender: Geschäftsführer Michael Krämer.
Er bittet die vertraute Mitarbeiterin darum, eine Überweisung von 50.000 Euro vorzunehmen. Absenderadresse schien korrekt, die Ansprache mit dem Vornamen passt auch – denn so ist es Krämer IT üblich. Insiderwissen über das Hauptkonto bei der Sparkasse, das aktuell genügend Deckung aufweisen müsste… alles passt.
Es gehe um den Erwerb eines Konkurrenzunternehmens. Deshalb sei das Ganze auch sehr brisant und absolut vertraulich zu behandeln. Die Mitarbeiterin wird ausdrücklich gebeten, den persönlichen Kontakt zum Geschäftsführer zu vermeiden, Rückfragen sollen nur per Mail gestellt werden.
Es gibt in diesem Fall kaum eine Möglichkeit, den Fehler zu erkennen. In unserem Beispiel sind die Mails sehr persönlich, die Angreifer haben gut recherchiert. Wer auf diese Mail antwortet, geht davon aus, dass die Rückfrage beim Geschäftsführer ankommt. In diesem Fall hilft am effektivsten eine klare, vorher abgestimmte Handlungsweise, dass bestimmte Beträge immer persönlich abzusprechen sind oder solche Anweisungen nur mit einer persönlichen Unterschrift möglich sind.
Fake-Mails gibt es viele. Oft ist es schwer, sie überhaupt zu erkennen. Wir haben im Folgenden aber ein paar Tipps für Sie vorbereitet, an denen man schon relativ einfach und sicher sogenannte Phishingmails erkennen kann.
• Beispielsweise ein fehlender Name: erhalten Sie von Paypal oder Amazon eine Aufforderung, ihr Konto zu entsperren, handelt es sich zu 99 % um Fake- und Phishingmails. Dies können Sie problemlos daran erkennen, dass meistens kein korrekter Name in der E-Mail verwendet wurde.
• Mails in einer fremden Sprache sind ebenfalls einfach zu identifizieren, es wird oft von einem dringenden Handlungsbedarf gesprochen. Grundsätzlich werden sie dazu aufgefordert, Daten zu verifizieren oder einzugeben. Zusätzlich soll ein Link angeklickt oder ein beigefügtes Formular ausgefüllt werden.
• Ganz besonders vorsichtig müssen Sie sein, wenn Sie zur Öffnung einer auch noch so harmlos wirkenden Datei wie beispielsweise einer PDF oder eines Word-Dokuments aufgefordert werden. Zur Klarheit: Banken haben sich darauf verständigt, dass sie keine sensiblen Daten per Email senden oder anfordern. Wenn „Ihre Bank“ Sie beispielsweise auffordert, etwas Derartiges zu tun, ist dies ein klarer Indikator dafür, dass es sich hierbei um eine Phishingmail handelt.
Unser Partner Networkbox bietet zum Thema Fake- und Phishingmails passende Schulungen an. Diese Onlineschulungen sind kostengünstig für alle Mitarbeiter eines Unternehmens verfügbar. Durch Schulung und Sensibilisierung kann die Sicherheit im Unternehmen deutlich erhöht werden.
Bei Fragen wenden Sie sich gerne an Stefan Müller.
