background

Phishing - Bewährte Praktiken

Ein informierter Mensch ist so viel wert wie zwei!

Lernen Sie, die Fallen des Phishings zu durchschauen

icon

Globale
Checkliste
icon

Links und
Anhänge
icon

Dringlichkeit und
Druck
icon

Passwörter und
MFA
icon

Phishing im
Unternehmen
icon

Phishing
entwickelt sich

Fallen Sie nicht mehr herein: Überprüfen Sie Links und Anhänge

1. Wie man einen Link überprüft (BEVOR man klickt)

Mit der Maus darüberfahren

Fahren Sie auf einem Computer einfach mit dem Mauszeiger über den Link, OHNE zu klicken. Die tatsächliche URL-Adresse wird normalerweise unten links in Ihrem Browser angezeigt.

Lange auf dem Handy drücken

Drücken und halten Sie auf einem Smartphone oder Tablet Ihren Finger auf den Link. Ein Pop-up-Fenster zeigt die vollständige URL an.

  • Sieht sie genau so aus wie die erwartete Website? (z.B. `bank.de` und nicht `bank-sicher.com` oder `bank.de.info.net`)
  • Gibt es Rechtschreibfehler? (z.B. `googlle.com` statt `google.com`)
  • Verwendet sie das sichere HTTPS-Protokoll (angezeigt durch ein Vorhängeschloss in der Adressleiste, sobald Sie auf der Seite sind)?

Analysez l'URL affichée

Im Zweifelsfall

Öffnen Sie den Link nicht. Gehen Sie direkt auf die betreffende Website, indem Sie die Adresse in Ihren Browser eingeben oder einen gespeicherten Favoriten verwenden.

2. Vorsichtsmaßnahmen bei Anhängen

Erwarten Sie den Anhang?

Wenn Sie nicht erwartet haben, ein Dokument von diesem Absender zu erhalten, seien Sie äußerst vorsichtig.

Vorsicht vor verdächtigen Dateitypen

Seien Sie sehr wachsam bei ausführbaren Dateien (.exe), Archiven (.zip, .rar) oder Office-Dokumenten (.doc, .docx, .xls, .xlsx, .ppt, .pptx), wenn sie von einer unerwarteten Quelle stammen, insbesondere wenn sie zur Aktivierung von Makros auffordern.

Analysieren Sie den Kontext

Rechtfertigt der Inhalt der E-Mail das Vorhandensein eines Anhangs? Ist der Dateiname logisch?

Im Zweifelsfall

Laden Sie den Anhang nicht herunter und öffnen Sie ihn nicht. Kontaktieren Sie den Absender auf einem anderen Weg (Telefon, neue, manuell eingegebene E-Mail), um den Versand zu bestätigen.

Ihre Wachsamkeit ist Ihr bester Schutz gegen Cyberangriffe.

Phishing entwickelt sich: Kennen Sie die verschiedenen Formen

1. Einige gängige Formen des Phishings

Spear Phishing

Sehr gezielter Angriff auf eine Einzelperson oder eine kleine Gruppe innerhalb des Unternehmens. Die E-Mail ist sehr personalisiert und verwendet spezifische Informationen über das Ziel, um legitim zu erscheinen.

Whaling

Zielt speziell auf Führungskräfte oder Personen mit privilegiertem Zugang zu finanziellen oder sensiblen Informationen ab.

Smishing

Phishing per SMS. Die Nachricht enthält einen bösartigen Link oder fordert zum Anruf einer betrügerischen Nummer auf.

Vishing

Phishing per Telefonanruf (Voice Phishing). Der Betrüger gibt sich als vertrauenswürdiger Gesprächspartner aus (Bank, technischer Support, Verwaltung), um Ihnen Informationen zu entlocken.

Pharming

Technik, die den Datenverkehr einer legitimen Website auf eine gefälschte Website umleitet, ohne dass das Opfer überhaupt auf einen Link klickt, oft durch Änderung von Systemdateien auf dem Computer.

Business Email Compromise (BEC)

Chef-Betrug oder Lieferanten-Betrug. Der Angreifer gibt sich als Führungskraft oder Geschäftspartner aus, um eine dringende Überweisung anzuordnen.

Bleiben Sie über neue Taktiken informiert, um sie besser zu durchschauen.

Checkliste: Wie überprüft man, ob eine E-Mail legitim ist?

1. Einige gängige Formen des Phishings

Absender

Überprüfen Sie die vollständige E-Mail-Adresse. Ist es die offizielle Adresse der Organisation oder gibt es feine Abweichungen?

Rechtschreibung und Grammatik

Enthält die E-Mail Rechtschreib-, Grammatikfehler oder seltsame Formulierungen?

Anrede

Ist sie unpersönlich ("Sehr geehrter Kunde", "Hallo Benutzer") oder wird Ihr Name verwendet?

Link-Ziel

Fahren Sie mit der Maus über den Link (ohne zu klicken!), um die tatsächliche URL zu sehen. Entspricht sie der erwarteten offiziellen Website?

Anhänge

Erwarten Sie diesen Anhang? Ist der Dateityp verdächtig?

Dringlichkeit oder Drohung

Erzeugt die Nachricht ein Gefühl der Dringlichkeit oder enthält sie Drohungen, um Sie zu schnellem Handeln zu bewegen?

Ungewöhnliche Anfrage

Ist die Anfrage (Überweisung, Information, Aktion...) seltsam oder unerwartet in diesem Kontext?

Anfrage nach sensiblen Daten

Fragt die E-Mail nach Ihrem Passwort, Ihren Bankdaten oder anderen vertraulichen Informationen?

Externe Überprüfung

Überprüfen Sie im Zweifelsfall die Information, indem Sie die Organisation direkt über ihre offizielle Website oder per Telefon kontaktieren (antworten Sie nicht auf die verdächtige E-Mail).

Meldung

Wenn Ihnen die E-Mail verdächtig erscheint, melden Sie sie Ihrer IT-Abteilung.

Indem Sie diese Überprüfungen anwenden, erhöhen Sie Ihre Fähigkeit, Phishing-Versuche zu erkennen, erheblich.

Phishing-Vorfall im Unternehmen: Die richtige Reaktion

1. Schritte, die SOFORT zu befolgen sind

Keine Panik, aber schnell handeln

Zeit ist ein Schlüsselfaktor, um den Schaden zu begrenzen.

Melden Sie den Vorfall UNVERZÜGLICH

  • Informieren Sie sofort Ihren direkten Vorgesetzten.
  • Kontaktieren Sie die IT-Abteilung oder den Sicherheitsbeauftragten (CISO) des Unternehmens. Verwenden Sie offizielle Kommunikationskanäle (Telefon, internes Meldetool) und nicht die potenziell kompromittierte E-Mail.
  • Beschreiben Sie genau, was passiert ist (Klick, Anhang geöffnet, Informationen eingegeben usw.).

Isolieren Sie Ihr Gerät

Trennen Sie sich vom Unternehmensnetzwerk (Ethernet-Kabel ziehen, WLAN deaktivieren). Fahren Sie Ihren Computer nicht herunter, es sei denn, die IT weist Sie dazu an, da dies die Beweissammlung verhindern könnte.

Löschen Sie nichts

Löschen Sie die verdächtige E-Mail oder potenziell heruntergeladene Dateien nicht. Sie sind wichtig für die Analyse des Vorfalls.

Ändern Sie Ihre Passwörter

Wenn Sie Ihr Sitzungspasswort oder ein anderes berufliches Passwort eingegeben haben, ändern Sie es sofort. Idealerweise tun Sie dies von einem anderen sicheren Gerät aus, wenn möglich.

Seien Sie zur Zusammenarbeit bereit

Erzeugt die Nachricht ein Gefühl der Dringlichkeit oder enthält sie Drohungen, um Sie zu schnellem Handeln zu bewegen?

Ungewöhnliche Anfrage

Das IT-Team wird Ihre Mitarbeit benötigen, um die Systeme bei Bedarf zu untersuchen und zu bereinigen.

2. Warum das Melden unerlässlich ist

Identifikation

Ermöglicht die schnelle Identifizierung und Blockierung der Bedrohung zum Schutz anderer Mitarbeiter.

Verbreitung

Begrenzt die Verbreitung potenzieller Malware im Unternehmensnetzwerk.

Helfen

Hilft dem Sicherheitsteam, die verwendeten Taktiken zu verstehen und die Abwehrmaßnahmen zu verstärken.

Ihre Ehrlichkeit und Reaktionsfähigkeit sind für die kollektive Sicherheit unerlässlich.

Ihre Verteidigungslinie: Starke Passwörter und MFA

1. Starke Passwörter

Länge

Ein Passwort sollte idealerweise mindestens 12 Zeichen enthalten.

Komplexität

Mischen Sie Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen (!@#$%^&*).

Einzigartigkeit

Verwenden Sie NIEMALS dasselbe Passwort für verschiedene Konten, insbesondere für berufliche und private.

Vermeiden Sie persönliche Informationen

Verwenden Sie nicht Ihren Namen, Ihr Geburtsdatum, den Namen eines Verwandten, den Namen eines Haustieres...

Verwenden Sie eine Passphrase

Ein Satz, der für Sie leicht zu merken, aber schwer zu erraten ist (z.B. "MeineKatzeLiebtBlauesTrockenfutter!7").

Denken Sie an einen Passwort-Manager

Ein sicheres Werkzeug zum Erstellen und Speichern Ihrer komplexen Passwörter.

2. Multi-Faktor-Authentifizierung (MFA)

Was ist das?

MFA erfordert mindestens zwei Nachweise Ihrer Identität zum Anmelden (etwas, das Sie wissen - Passwort, etwas, das Sie haben - Telefon/Token, etwas, das Sie sind - Fingerabdruck/Gesichtserkennung).

Warum ist es entscheidend?

Selbst wenn ein Betrüger Ihr Passwort erhält (z.B. durch Phishing), kann er sich ohne den zweiten Authentifizierungsfaktor nicht anmelden.

Aktivieren Sie es überall

Aktivieren Sie MFA auf all Ihren beruflichen und privaten Konten, die dies anbieten (E-Mail, VPN, Apps, Banken, soziale Netzwerke...).

Starke Passwörter + MFA = Erheblich verbesserte Sicherheit.

Achtung vor Phishing-Taktiken: Dringlichkeit und Druck

1. Wie man diese Taktik erkennt

Sehr kurze Fristen

"Sie haben 24 Stunden Zeit, um zu antworten", "Ihr Konto wird in Kürze gelöscht, wenn Sie nicht handeln".

Drohungen

"Ihr Konto wurde kompromittiert", "Sie riskieren eine Geldstrafe", "Ihre Lieferung kann nicht zugestellt werden".

Ungewöhnliche und dringende Anfragen

Ein Vorgesetzter, der eine dringende Überweisung per E-Mail anfordert, eine sofortige Geschenkkartenanfrage usw.

Alarmistischer Ton

Verwendung von Großbuchstaben, übermäßigen Ausrufezeichen, dramatischen Formulierungen.

2. Wie man auf Dringlichkeit reagiert

Nehmen Sie sich Zeit

Eine wichtige E-Mail erfordert in der Regel keine sofortige Maßnahme unter Androhung katastrophaler Folgen. Atmen Sie durch und analysieren Sie die Nachricht in Ruhe.

Klicken Sie nicht

Vermeiden Sie es, auf Links zu klicken oder Anhänge zu öffnen, wenn Sie sich unter Druck gesetzt fühlen.

Überprüfen Sie über einen anderen Kanal

Wenn die Nachricht angeblich von einer Person oder Organisation stammt, die Sie kennen, kontaktieren Sie diese direkt über einen üblichen Weg (Telefon, offizielle App, Website), um die Information zu überprüfen. Verwenden Sie NICHT die in der verdächtigen E-Mail angegebenen Kontaktdaten.

Sprechen Sie darüber

Wenn Sie Zweifel an einer E-Mail haben, sprechen Sie mit einem Kollegen oder kontaktieren Sie Ihre IT-Abteilung, bevor Sie handeln.

Lassen Sie sich nicht unter Druck zu einem Fehler verleiten. Überprüfung ist der Schlüssel.

Schulen Sie Ihre Teams

Schulen Sie Ihre Teams mit PhishTrainer.

Verwandeln Sie mit PhishTrainer Ihre Mitarbeiter in die erste Verteidigungslinie gegen Phishing. Simulieren, sensibilisieren und sichern Sie Ihr Unternehmen nachhaltig dank realistischer und ansprechender Phishing-Kampagnen.

Demonstration ansehen

Kontaktieren Sie Uns

Wir werden Ihre personenbezogenen Daten gemäß unserer Datenschutzrichtlinie verarbeiten.

Vielen Dank, Ihre Nachricht wurde erfolgreich gesendet.
Fehler! Die Nachricht konnte nicht gesendet werden.