Hamburg/Hannover - Eine harmlos aussehende Mail von einer internen Firmenadresse, vielleicht verbunden mit der Bitte, sich doch für einen neuen Verteiler zu registrieren. Tatsächlich jedoch sind Cyberkriminelle die Absender. Sie wollen auf diese Weise ins Firmennetzwerk einbrechen. Am helllichten Tag.
Solche Angriffe nennt man Phishing. Die Wortschöpfung setzt sich aus "password" (Password) und "fishing" (angeln) zusammen, meint also Passwort-Angeln. "Es geht beispielsweise um Versuche, Nutzer mit gefälschten Nachrichten, Mails oder SMS auf Betrugsseiten zu locken", erklärt Andy Voss von der "Computer Bild". Phishing-Attacken sind selbst für erfahrene Anwenderinnen oder sogar Profis nicht immer sofort erkennbar und richteten sich immer öfter auch gegen Firmenmitarbeiter im Homeoffice.
"Mitarbeitende im Homeoffice sind beliebte, weil leichte Opfer. Während der Firmen-Admin im Unternehmen noch eine gewisse Kontrolle über die Arbeitsrechner hat, gibt es das im Homeoffice oft nicht", sagt Ronald Eikenberg vom "c't"-Fachmagazin. Besonders verwundbar ist eine Firma, wenn Mitarbeitende für die Büroarbeit im Homeoffice ihren eigenen Rechner nutzen, der eben auch privat im Einsatz ist.
Die ganze Firma lahm gelegt
"Fängt sich der Mitarbeitende zu Hause einen Trojaner ein, kann dieser durch die VPN-Verbindung dann im Firmennetz wüten. Schlimmstenfalls legt man also durch einen falschen Klick die ganze Firma lahm", warnt Eikenberg.
Der IT-Branchenverband Bitkom rät daher, private Rechner im Homeoffice aussen vor zu lassen. "Besser ist es, nur Unternehmensgeräte zu nutzen, auf denen dann zum Beispiel die Zugriffsrechte beschränkt werden und die Installation von Software nur Administratoren gestattet ist", sagt Simran Mann, IT-Sicherheitsexpertin beim Bitkom. Zudem könne so auch sichergestellt werden, dass notwendige Sicherheitsupdates tatsächlich eingespielt werden.
Ist der Heimarbeitsplatz infiziert, ist das nicht unbedingt sofort erkennbar. Ein Ziel der Angreifer ist es ja auch, möglichst lange unentdeckt zu bleiben, erklärt Eikenberg. "Hinweise darauf sind aber beispielsweise Umleitungen von Website-Aufrufen, das Auftauchen von Programmen, die man nicht installiert hat oder ein plötzlicher Anstieg der Auslastung des Systems." Skeptisch sollten Nutzer zudem werden, wenn der Virenscanner anschlägt.
Der Mensch im Mittelpunkt des Angriffs
Bei allen technischen Möglichkeiten: Am Ende ist es immer die Userin, die im Mittelpunkt einer Cyberattacke steht. "Phishing ist eine Form des Social Engineering, also ein Angriff auf die Schwachstelle Mensch. Technische Schutzmassnahmen sind sinnvoll, können solche Angriffe aber nicht verhindern", sagt Eikenberg.
Gleichwohl gelte immer: Nur mit aktueller Software und nur mit aktivem Virenschutzprogramm arbeiten. Der in Windows 10 und 11 integrierte Defender reiche in vielen Fällen schon aus, sagt Eikenberg. Haupteinfallstor für Cyberkriminelle sei nach wie vor die E-Mail.
"Aber es gab und gibt durchaus Angriffe, bei denen Beschäftigten präparierte USB-Speicher untergejubelt werden, die automatisch Schadsoftware installieren, wenn sie in das Firmen-Notebook gesteckt werden", sagt Bitkom-Expertin Mann. Hier sei der Aufwand aber natürlich ungleich höher.
Während Mail-Angriffe früher noch relativ einfach zu erkennen waren, etwa durch schlechtes Deutsch im Textblock der Mail, sei das mittlerweile deutlich schwieriger. "Diese Mails sind teilweise sehr professionell und ausführlich recherchiert, bis hin zu E-Mail-Signaturen der vermeintlichen Absender", warnt Simran Mann.
Angriffe auch per Telefon
Aber auch per Telefon versuchen Kriminelle nach wie vor, sich Zugang zu Rechnern zu verschaffen. Hier ist auch von Vishing die Rede, einer Wortschöpfung aus "voice" (Stimme) und "fishing".
Ein Klassiker: Betrüger geben sich am Telefon als Mitarbeitende des Microsoft-Supports aus und schaffen es so immer wieder, Menschen dazu zu bringen, Software zur Fernwartung zu installieren. Dann haben sie die volle Kontrolle über den Rechner und Zugang zu allen Daten.
Andy Voss rät, bei solchen Anrufen direkt aufzulegen. Weder Microsoft noch andere seriöse Unternehmen rufen jemals ungefragt an oder schicken einfach E-Mails, in denen persönliche Daten abgefragt werden. Mit der beste Schutz gegen Cyberattacken und Social Engineering: der gesunde Menschenverstand und Skepsis.
"Wer sich aktiv über die Tricks der Angreifer informiert, erkennt diese natürlich leichter", sagt Voss. Keinesfalls sollte man Anhänge in Mails unbekannter Absender einfach nur aus Neugierde öffnen.
Vergleichsweise leicht haben es Cyberkriminelle mit Arbeitenden im Homeoffice auch deshalb, weil die Kommunikation fast ausschliesslich digital läuft. "Der persönliche Austausch unter vier Augen bleibt aus. Die Wahrscheinlichkeit ist damit viel höher, dass man auf eine gefälschte Mail hereinfällt, die vermeintlich vom Chef oder Admin stammt", sagt Eikenberg. Wer unsicher ist, sollte lieber einmal zu viel telefonisch nachfragen, als dubiose Anhänge zu öffnen oder nebulöse Anweisungen auszuführen.
© dpa-infocom, dpa:220930-99-958246/2 © dpa
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.