Inhalt
Phishing als Gefahr für Unternehmen und Steuerkanzleien
Phishing-Mails sind keine neue Bedrohung für die Sicherheit und Daten von Unternehmen und Steuerkanzleien. Was neu ist, ist allerdings die Qualität, mit der diese erstellt werden. Längst kann man diese Art der Angriffe nicht mehr an seltsamen Anreden oder schlechter Sprache identifizieren. Längst ist die Qualität der Nachrichten gestiegen und kann nur noch schwierig von denen der Originalabsendern unterschieden werden.
Aber wie kann man Phishing erkennen und was ist zu tun, wenn es zu einem Angriff kommt? Das möchten wir in diesem Blog klären.
BSI warnt vor Phishing-Mails und -Webseiten
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt auf seiner Homepage vor dem Schaden durch Phishing-Mails und Webseiten. Aber was genau versteht man unter Phishing?
Blog-Tipp: Cyberangriffe – schützen Sie Ihr Unternehmen oder Ihre Kanzlei
Was ist Phishing und wie funktioniert es?
Phishing ist eine Methode, mit der Cyberkriminelle Informationen wie Passwörter, Kreditkartendaten und persönliche Informationen stehlen. Typischerweise geschieht dies durch gefälschte E-Mails oder Webseiten, die von legitimen Unternehmen oder Organisationen zu stammen scheinen. Diese betrügerischen Nachrichten oder Links zielen darauf ab, Benutzer dazu zu bringen, ihre Daten preiszugeben, indem sie zum Beispiel auf gefälschte Anmeldeseiten gelockt werden.
Woran erkennt man Phishing?
Das BSI gibt Merkmale an, anhand derer man eine Phishing-Mail erkennen kann bzw. wann man skeptisch sein sollte. Dabei wird angegeben, dass man misstrauisch werden sollte, wenn mindestens drei der folgenden Merkmale zutreffen:
“• Der Text der Mail gibt dringenden Handlungsbedarf vor, etwa: “Wenn Sie Ihre Daten nicht umgehend aktualisieren, dann gehen sie unwiederbringlich verloren …”.
Quelle: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Spam-Phishing-Co/Passwortdiebstahl-durch-Phishing/Wie-erkenne-ich-Phishing-in-E-Mails-und-auf-Webseiten/wie-erkenne-ich-phishing-in-e-mails-und-auf-webseiten_node.html
• Drohungen kommen zum Einsatz: „Wenn Sie das nicht tun, müssen wir Ihr Konto leider sperren …”.
• Sie werden aufgefordert, vertrauliche Daten wie die PIN für Ihren Online-Bankzugang oder eine Kreditkartennummer einzugeben.
• Die E-Mail enthält Links oder Formulare.
• Die Mail scheint von einer bekannten Person oder Organisation zu stammen, jedoch kommt Ihnen das Anliegen des Absenders ungewöhnlich vor.”
Phishing-Mails: Absender prüfen
Wenn eine E-Mail im HTML-Format eingeht, kann man feststellen, ob eine andere E-Mail-Adresse, als jene im Absender hinter dem Versand steckt. Wenn Sie z.B. die E-Mails in einem Browser öffnen, kann man im Quelltext einen Hinweis auf den Absender finden. Bei einem E-Mail-Programm kann man dies anzeigen lassen, indem man mit dem Cursor über den Absender fährt. Wird dort eine andere Adresse angezeigt, dann liegt mit hoher Wahrscheinlichkeit eine Phishing-Mail vor.
Blog-Tipp: BSI warnt vor Verwundbarkeit durch Schwachstellen im Exchange-Server
Phishing-Webseiten: SSL-Zertifikat als Garant für Sicherheit?
Leider nutzen mittlerweile auch immer mehr betrügerische Homepages die bekannten SSL-Zertifikate, so dass sich der Anwender nicht mehr nur auf diese vermeintliche Sicherheitseinstellung stützen kann, um eine sichere Homepage zu erkennen.
Alle Nutzer sollten weitergeleitete Links, Links auf Sozialen Medien in E-Mails oder von nicht vertrauenswürdigen Absendern genau prüfen und nur diese nutzen, die auch schlüssig erscheinen. Darüber hinaus kann es helfen, wenn man mögliche Links nicht in einer E-Mail öffnet, sondern über die Seite des vermeintlichen Absenders öffnet. Auch macht es Sinn, in Suchmaschinen zu recherchieren, ob eine Betrugsmasche unter diesem Stichwort oder von diesem Verteiler bekannt ist.
Bankdaten und ähnliches sollten Sie nie über einen externen Link eingeben. Besonders misstrauisch sollten Nutzer werden, wenn Sie nach der Anmeldung die Daten erneut eingeben sollen.
Risiken für kleine Unternehmen und Steuerkanzleien
Kleine Unternehmen und Steuerkanzleien können das Ziel von Phishing-Angriffen werden, wenn sie weniger robuste Sicherheitsmaßnahmen haben. Ein erfolgreicher Phishing-Angriff kann zu Datenverlust, finanziellen Verlusten, Reputationsschäden und sogar zur Beeinträchtigung der Kundendaten führen. Mit den zunehmenden Online-Aktivitäten und der Digitalisierung in der heutigen Geschäftswelt ist es wichtiger denn je, die Mitarbeiter und die interne IT-Infrastruktur vor Phishing zu schützen.
Wie kann man sich noch vor Phishing schützen?
Das BSI ruft dazu auf, kritisch zu sein und entsprechende E-Mails, Webseiten und Links zu hinterfragen. Darüber hinaus können Unternehmen und Steuerkanzleien auch noch weitere Schritte zum Schutz vor Phishing nutzen.
Awareness-Training: Schulen Sie Ihre Mitarbeiter regelmäßig in Phishing-Präventionstechniken, damit sie verdächtige E-Mails erkennen und melden können.
Aktuelle Software: Stellen Sie sicher, dass alle Software und Sicherheitspatches auf dem neuesten Stand sind, um potenzielle Sicherheitslücken zu schließen.
Zwei-Faktor-Authentifizierung: Implementieren Sie zusätzliche Sicherheitsschichten wie die Zwei-Faktor-Authentifizierung, um den unbefugten Zugriff auf Konten zu erschweren.
Backup-Lösungen: Sichern Sie regelmäßig Ihre Daten mit Backup-Lösungen, um diese im Falle eines erfolgreichen Angriffs schnell wiederherstellen zu können.
Blog-TIPP: Die Bedeutung von Awareness in Steuerkanzleien und Unternehmen
Was tun, wenn Phishing erfolgreich war?
Wenn man trotz aller Vorsichtsmaßnahmen doch Opfer von Phishing geworden ist oder den Verdacht hat, dann sollte man die betroffenen Konten und Zugänge im Zweifel sperren und mindestens die Zugangsdaten ändern. Entsprechende Webseiten sollten auch gemeldet werden.
Wichtig in Unternehmen ist, dass der IT-Fachmann informiert wird, um mögliche Schäden durch die Sperrung des betroffenen Zugangs abzuwenden. Kontrollieren Sie ebenfalls Vorgänge in diesem Zugang auf untypische Buchungen o.ä.
Nehmen Sie ggf. Kontakt mit dem Systemanbieter auf. Prüfen Sie bei den Angriffen, bei denen die E-Mail-Adresse abgegriffen wurde, auch andere Zugänge, die über diese E-Mail laufen könnten. Darüber hinaus sollten Phishing-Angriffe auch zur Anzeige gebracht werden.
Blog-Tipp: Kennwörter als Pfeiler für die IT-Sicherheit in Unternehmen und Steuerkanzleien
IT-Sicherheit für Unternehmen und Steuerkanzleien
Um Unternehmen und Steuerkanzleien vor Phishing-Angriffen zu schützen, bedarf es ein sicheres Konzept für die IT-Sicherheit zu implementieren. Dazu gehört auch, dass ein Notfallplan erstellt wird, welche Maßnahmen bei einem Phishing-Angriff greifen. Dazu sollte es eine Zusammenarbeit mit einem entsprechenden IT-Fachmann geben. Ebenfalls sollten Maßnahmen und Vorgaben an die Mitarbeiter transportiert werden.
Das Team von MC-Netzwerke betreut Steuerberater, Unternehmen und andere Organisationen im Großraum Köln, Bonn, Düsseldorf und ganz NRW im Bereich Digitalisierung und unterstützt diese auch im Bereich IT-Sicherheit. Nehmen Sie einfach mit uns Kontakt auf und wir erstellen Ihnen gerne ein praxisnahes und individuelles Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Sollten Sie sich unsicher sein, ob Ihre IT-Lösung Schwachstellen hat, nehmen Sie gerne mit uns Kontakt auf.
Dennis Manz ist seit über 20 Jahren selbstständig in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Microsoft Certified Trainer, externer Datenschutzbeauftragter, Steuerfachangestellter und Fachassistent für Lohn und Gehalt.
Als Gründer und Geschäftsführer von IT und Beratungsunternehmen betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen IT, Datenschutz und GoBD-Beratung.