Die meisten erfolgreichen Angriffe im Netz brechen keine Verschl\u00fcsselung und knacken keine Server. Sie zielen auf den Menschen. Phishing ist der Versuch, Sie mit einer gef\u00e4lschten Nachricht dazu zu bringen, Zugangsdaten preiszugeben, eine sch\u00e4dliche Datei zu \u00f6ffnen oder Geld zu \u00fcberweisen. Der Begriff spielt auf das Angeln an: Angreifer werfen einen K\u00f6der aus und warten, wer anbei\u00dft. Dieser Leitfaden erkl\u00e4rt, wie Phishing und Social Engineering funktionieren, mit welchen Tricks die Angreifer arbeiten, woran Sie eine gef\u00e4lschte Nachricht erkennen und was zu tun ist, wenn Sie doch einmal hereingefallen sind.<\/p>\n
Phishing ist deshalb so wirksam, weil es nicht die Technik, sondern menschliche Reaktionen ausnutzt: Vertrauen in bekannte Marken, den Reflex zu gehorchen, wenn eine Nachricht dringlich klingt, und die Eile im Alltag. Keine noch so gute Software sch\u00fctzt vollst\u00e4ndig davor, wenn man die Muster nicht kennt. Genau deshalb ist Aufmerksamkeit hier die wichtigste Verteidigung.<\/p>\n
Social Engineering ist der Oberbegriff f\u00fcr Angriffe, die Menschen manipulieren, statt Technik zu \u00fcberwinden. Phishing ist die h\u00e4ufigste Form davon. Statt eine Sicherheitsl\u00fccke in einem System zu suchen, sucht der Angreifer die Schwachstelle im Verhalten: Er gibt sich als vertrauensw\u00fcrdige Stelle aus, etwa als Bank, als Paketdienst, als Arbeitgeber oder als bekannter Onlinedienst, und verleitet Sie zu einer Handlung, die Ihnen schadet.<\/p>\n
Der klassische Ablauf besteht aus drei Teilen. Zuerst kommt der K\u00f6der, meist eine E-Mail, eine SMS oder eine Nachricht in einem Messenger, die echt aussieht. Dann folgt ein Vorwand, der Sie zum Handeln bewegt: ein angeblich gesperrtes Konto, eine offene Rechnung, ein verpasstes Paket. Schlie\u00dflich gibt es ein Ziel, etwa einen Link zu einer gef\u00e4lschten Anmeldeseite oder einen Anhang, der Schadsoftware enth\u00e4lt. Gelingt der K\u00f6der, geben Sie Ihre Zugangsdaten auf einer t\u00e4uschend echten Seite ein, und die Angreifer fangen sie ab.<\/p>\n
Phishing tritt in mehreren Spielarten auf, die sich vor allem darin unterscheiden, wie gezielt sie vorgehen und \u00fcber welchen Kanal sie kommen.<\/p>\n
Die h\u00e4ufigste Form ist die breit gestreute E-Mail, die an unz\u00e4hlige Empf\u00e4nger zugleich geht. Sie imitiert einen bekannten Dienst und hofft darauf, dass ein kleiner Teil der Empf\u00e4nger gerade tats\u00e4chlich Kunde ist und reagiert. Solche Mails sind oft generisch gehalten, sprechen Sie mit unpers\u00f6nlichen Formeln an und enthalten h\u00e4ufiger sprachliche Ungereimtheiten.<\/p>\n
Beim Spear-Phishing nimmt der Angreifer eine bestimmte Person ins Visier und passt die Nachricht individuell an. Er nutzt daf\u00fcr Informationen, die er etwa aus einem Datenleck<\/a>, aus sozialen Netzwerken oder von der Website eines Unternehmens gewonnen hat. Eine Mail, die Ihren vollst\u00e4ndigen Namen, Ihre Position und einen echten Bezug zu Ihrem Arbeitsalltag nennt, wirkt \u00fcberzeugend und senkt die nat\u00fcrliche Vorsicht. Diese Angriffe sind deutlich gef\u00e4hrlicher als Massen-Phishing.<\/p>\n Phishing beschr\u00e4nkt sich nicht auf E-Mail. Beim Smishing kommt der K\u00f6der per SMS, etwa als angebliche Paketbenachrichtigung mit einem Link. Beim Vishing ruft der Angreifer an und gibt sich am Telefon als Bankmitarbeiter, Techniksupport oder Beh\u00f6rde aus. Die Stimme am Telefon erzeugt zus\u00e4tzlichen Druck und l\u00e4sst weniger Zeit zum Nachdenken, was diese Variante besonders heikel macht.<\/p>\n Im beruflichen Umfeld verbreitet ist der sogenannte CEO-Betrug, bei dem sich der Angreifer als Vorgesetzte oder Vorgesetzter ausgibt und eine dringende \u00dcberweisung anordnet. Verwandt damit ist der Rechnungsbetrug, bei dem eine echte Rechnung abgefangen und mit ge\u00e4nderter Kontonummer erneut verschickt wird. Beide Varianten setzen auf Autorit\u00e4t und Zeitdruck und richten oft erheblichen finanziellen Schaden an.<\/p>\n So unterschiedlich die Formen sind, die zugrunde liegenden psychologischen Hebel \u00e4hneln sich. Wer sie kennt, erkennt den Angriff oft schon am Muster.<\/p>\n Der wichtigste Hebel ist Dringlichkeit<\/strong>. Eine Nachricht, die behauptet, Ihr Konto werde in wenigen Stunden gesperrt oder eine Frist laufe gleich ab, soll Sie zum \u00fcberst\u00fcrzten Handeln bringen, bevor Sie nachdenken. Eng damit verbunden ist die Erzeugung von Angst<\/strong>, etwa durch die Behauptung, es habe einen verd\u00e4chtigen Zugriff gegeben. Auf der anderen Seite steht die Verlockung<\/strong>, etwa ein angeblicher Gewinn oder eine R\u00fcckerstattung, die zu sch\u00f6n klingt, um wahr zu sein.<\/p>\n Hinzu kommt das Ausnutzen von Autorit\u00e4t<\/strong>. Eine Nachricht, die scheinbar von einer Beh\u00f6rde, der Gesch\u00e4ftsf\u00fchrung oder einem gro\u00dfen Unternehmen stammt, wird seltener hinterfragt. Schlie\u00dflich setzen Angreifer auf Vertrautheit<\/strong>: Sie kopieren Logos, Schriftbilder und Formulierungen bekannter Marken so genau, dass die F\u00e4lschung auf den ersten Blick echt wirkt. Genau weil all diese Hebel auf Emotionen zielen, hilft eine einfache Gegenregel: Je st\u00e4rker eine Nachricht Sie zum sofortigen Handeln dr\u00e4ngt, desto mehr Anlass besteht, innezuhalten und zu pr\u00fcfen.<\/p>\n Es gibt eine Reihe verl\u00e4sslicher Warnzeichen. Selten treffen alle zugleich zu, doch schon eines sollte Ihre Aufmerksamkeit wecken.<\/p>\n Ein besonders verl\u00e4sslicher Schutz ergibt sich aus einer einfachen Gewohnheit: Tippen Sie die Adresse eines Dienstes selbst in den Browser ein oder nutzen Sie ein gespeichertes Lesezeichen, statt einem Link aus einer Nachricht zu folgen. So landen Sie sicher auf der echten Seite. Hilfreich ist hier auch ein Passwort-Manager, denn er f\u00fcllt Zugangsdaten nur auf der hinterlegten echten Adresse aus und verweigert den Dienst auf einer gef\u00e4lschten Seite. Mehr dazu im Leitfaden zur Passwortsicherheit<\/a>.<\/p>\nSmishing und Vishing<\/h3>\n
CEO-Betrug und Rechnungsbetrug<\/h3>\n
Mit welchen Taktiken Angreifer arbeiten<\/h2>\n
Woran Sie eine Phishing-Nachricht erkennen<\/h2>\n
\n