Irgendeiner klickt immer – das sind die Tricks der Cyberkriminellen

Noch nie gab es in der Schweiz so viele Cyberangriffe und Online-Betrugsversuche wie dieses Jahr. Wie können sich KMU schützen? Antworten vom Experten.

Verfasst von Reto Stauffacher

Im Video: Swisscom-Experte Raphael Boullet gibt Tipps, wie sich Unternehmen gegen Phishing-Angriffe und andere Cyberattacken schützen können.  (Produziert von Reto Vetterli)

In den letzten drei Jahren haben sich die Meldungen von Cyberangriffen in der Schweiz verdreifacht. Allein schon seit Beginn des Jahres registrierte das Nationale Meldezentrum für Cybersicherheit NCSC mehr als 16’000 Fälle von Betrugsversuchen. Ausserdem sorgten ungewöhnlich schwere Fälle bei grösseren Unternehmen wie NZZ oder Bernina für Schlagzeilen. Das Problem ist also akuter als je zuvor und jedes Unternehmen, egal wie gross oder klein, kann ein Opfer solcher Angriffe werden.

Das führt dazu, dass KMU immer mehr in IT-Sicherheit investieren, um sich besser zu schützen. Allerdings zielt nur ein kleiner Teil der Cyberangriffe direkt auf technische Schwachstellen ab. Viel häufiger versuchen Hacker, solche Sicherheitsmassnahmen auszuhebeln, indem sie direkt Mitarbeitende angehen, um sie auszutricksen. 

Worauf haben es die Angreifer abgesehen? Und wie können sich KMU schützen? Diese und weitere Fragen beantwortete der Cyber-Security-Experte Raphael Boullet in einem Praxis-Webinar von Gryps und Swisscom (zum Replay, nur für registrierte Nutzerinnen und Nutzer). Eine Zusammenfassung der wichtigsten Aussagen.

Wie gehen die Angreifer vor?

90% aller Cyberangriffe beginnen mit einer Phishing-Mail. Damit sind Mails gemeint, die ziellos und in grosser Menge verschickt werden, meist im Namen eines bekannten Unternehmens. Mit falschen Versprechungen versuchen die Angreifer, die Empfänger in die Irre zu führen. Ganz nach dem Motto: Irgendeiner klickt immer. Wer in einer solchen Phishing-Mail auf den Link klickt oder den Anhang öffnet, dessen Gerät ist unter Umständen bereits infiziert. Die Adressen für solche Angriffe stammen oft aus Datenlecks.

Den grössten Schaden jedoch verursachen gezielte Angriffe. Diese setzen mehr Recherche voraus: Die Angreifer suchen beispielsweise die Namen und die offiziellen Titel ihrer Opfer auf Unternehmenswebseiten oder Social-Media-Profilen und starten dann unter falscher Identität einen Angriff. Hier spricht man entweder von Spear-Phishing (auf eine bestimmte Person ausgerichtet) oder von Whaling-Angriffen (auf hochrangige Opfer im Unternehmen ausgerichtet).

Dank künstlicher Intelligenz werden Phishing-Mails immer professioneller und sind immer schwieriger zu durchschauen. (Bild erstellt mit der KI von Midjourney)

Sind solche Mails nicht relativ einfach zu durchschauen?

Dank künstlicher Intelligenz leider immer weniger. Gemäss dem diesjährigen Cyber Security Threat Radar von Swisscom sind Angriffe, bei denen KI zum Einsatz kommt, in den Fokus gerückt. Damit lassen sich beispielsweise personalisierte Phishing-E-Mails viel überzeugender formulieren: mit weniger Rechtschreibfehlern oder exakter Anrede.

Worauf haben es die Hacker abgesehen?

Ziel der Angreifer sind sensible Daten oder vertrauliche Informationen, die verkauft oder für weitere Angriffe verwendet werden können. Auch Login-Daten und Passwörter sind interessant, um Zugang zum Netzwerk zu bekommen oder Schadsoftware einzuschleusen. Im schlimmsten Fall kann so das Unternehmen erpresst werden.

Was schützt konkret vor Phishing-Angriffen?

Eine Kombination aus technischen Massnahmen und aufgeklärten Mitarbeitenden bietet den besten Schutz. Einige Beispiele:

• Mit technischen Massnahmen können Phishing-Mails teilweise ausgefiltert werden. E-Mail-Security-Programme mit Phishing-Filter und Antivirus- oder Antispam-Software filtern einen Teil der Phishing-Mails heraus.
• Aber Vorsicht: Auch wenn Antivirensoftware und E-Mail-Sicherheitssysteme installiert sind – Computerviren mutieren und ändern sich, sodass sie, bis zum nächsten Softwareupdate, vom System nicht mehr erkannt werden. Daher sollten idealerweise unterschiedliche Anbieter für E-Mail-Sicherheit und Virenschutz eingesetzt werden.
• Dann gibt es Massnahmen, mit denen man die Auswirkungen eines erfolgreichen Phishing-Angriffs reduzieren kann, beispielsweise mittels Zwei-Faktor-Authentifizierung. Ausserdem sollten die Passwörter regelmässig geändert werden.
• Ganz wichtig ist es, die Mitarbeitenden kontinuierlich zu sensibilisieren und zu trainieren. Die Gefahr muss immer wieder ins Bewusstsein gerufen werden.

Wie können KMU ihre Mitarbeitenden sensibilisieren?

Regelmässige Mitarbeiterschulungen sind das A und O. Dabei sind zwei Punkte zentral: Einerseits können Sie intern Phishing-Attacken simulieren und damit Ihre Mitarbeitenden trainieren, wachsam zu sein und sich korrekt zu verhalten. Andererseits ist Kontinuität von grosser Bedeutung: Das Thema muss immer wieder in Erinnerung gerufen werden, beispielsweise an Mitarbeiterveranstaltungen oder in Newslettern.