Awareness: Erkennen und Abwehren von Social‑Engineering‑Angriffen🔗

Informationssicherheit beginnt im Kopf: Nur wer die gängigen Tricks von Angreifern kennt, kann Warnzeichen rechtzeitig erkennen.

Phishing‑Varianten & wie man sie erkennt🔗

In über 90 % der erfolgreichen Angriffe auf Unternehmen nutzen Täter zuerst eine Phishing- oder Social-Engineering-Technik, um an Passwörter, Zahlungsinformationen oder vertrauliche Dokumente zu gelangen.
Wenn du die typischen Maschen erkennst, stoppst du den Angriff, bevor technische Schutzmaßnahmen überhaupt greifen müssen.

Damit man sich vor Phishing schützen kann, ist es wichtig die gängigen Phishing-Varianten zu kennen. Denn nur so kennt man die Details, auf die man achten muss, und Maschen in die man nicht reinfallen darf.

Taktiken🔗

Bulk‑Phishing🔗

Hierbei werden Massen-E-Mails ohne persönliche Ansprache, oft fehlerhaft oder in schlechter Übersetzung, an möglichst viele Empfänger geschickt. Die Erfolgsrate ist gering, doch dank der schieren Menge finden sich immer wieder Personen, die darauf hereinfallen.

So erkennst du Bulk-Phishing:

• Generischer Betreff wie „Dringend“ oder „Wichtige Mitteilung“
• Viele Rechtschreib- und Grammatikfehler
• Absender-Adresse eines Free-Mail-Dienstes (@gmx.net, @yandex.com)

Spear-Phishing🔗

Spear-Phishing geht gezielt auf eine bestimmte Person: Angreifer recherchieren Name, Funktion und laufende Projekte und imitieren interne Absender inklusive echter Signatur.

So erkennst du Spear-Phishing:

• Persönliche Anrede und Bezug auf reale Vorgänge („Projekt Delta“)
• Unauffällige, aber leicht veränderte Domain (@firmenname.com)
• Unerwartete Bitte mit Zeitdruck („Sende mir alle Gehaltslisten als Excel“)

Whaling / CEO-Fraud🔗

Beim Whaling visieren Kriminelle die „großen Fische“ – Geschäfts- oder Finanzleitung – an, um hohe Geldsummen umzuleiten.

So erkennst du Whaling:

• Neue Kontoverbindung und „absolute Vertraulichkeit“
• Extrem kurzer Zeitrahmen („innerhalb von 45 Minuten überweisen“)
• Absender-Adresse, die dem Chef ähnelt, aber nicht exakt stimmt (ceo-corp.com statt .de)

Techniken🔗

Vishing🔗

Telefonischer Phishing-Versuch, etwa durch angeblichen IT-Support mit der Aufforderung, Passwörter oder Tokens preiszugeben.

So erkennst du Vishing:

• Unaufgeforderter Anruf aus angeblicher Support-Abteilung
• Auffällige Rückrufnummer, oft aus dem Ausland
• Keine interne Authentifizierung (Ticket-Nr. / Mitarbeiter-ID)

Smishing🔗

SMS- oder Messenger-Nachrichten, die mit angeblichen Gebühren oder Lieferhindernissen locken.

So erkennst du Smishing:

• Kurz-URL (bit.ly/…) oder unbekannte Domain
• Forderung kleiner Beträge (z. B. 3,99 € Zollgebühr)
• Nummer gehört keinem bekannten Paketdienst

Business-Email-Compromise (BEC)🔗

Angreifer kapern oder fälschen Geschäftskorrespondenz, um Zahlungsdaten zu ändern.

So erkennst du BEC:

• Änderung der Bankverbindung ohne formellen Prozess
• Domain minimal verändert (supplier-eu.net statt supplier.eu)
• Bitte, den „neuen“ IBAN sofort zu verwenden

Clone Phishing🔗

Eine echte, früher gesendete E-Mail wird geklont; Link oder Anhang wird durch Malware ersetzt.

So erkennst du Clone Phishing:

• Betreff beginnt mit „Re:“ oder „Fwd:“ – wirkt wie Antwort auf alte Mail
• Neuer Anhang oder ZIP ist passwortgeschützt („Passwort: report2024“)
• Anhangsdatum oder -größe weichen von der ursprünglichen Mail ab

Tipps

Angreifer verwenden gerne in ihren Links sogenannte Homoglyphen – dabei werden Buchstaben durch ähnlich aussehende Unicode‑Zeichen ersetzt.
Hier ist ein Beispiel: paypaI.com (mit großem I) und paypal.com (mit kleinem l) sehen nahezu gleich aus.

Durch die Verwendung von Homoglyphen können also täuschend echte Aliase erstellt werden, die nur durch genaues Hinsehen entlarvt werden können.
Gerade im stressigen Büroalltag ist es jedoch nicht immer möglich, sich so viel Zeit zu nehmen.

Es ist daher umso wichtiger, dass du immer zuerst mit der Maus über einen Link hoverst, den echten Ziel-Link in der Statusleiste prüfst und bei jedem Zweifel lieber einmal mehr die IT-Abteilung kontaktierst, bevor du klickst.

Links im Browser oder Mail-Client

Hat man einen verdächtigen Link oder (meist) blau hinterlegten Text erhalten, so kann man meist durch Schweben oder "hovern" mit dem Mauscursor über den Text den echten Link lesen. Bei den meisten Mailclients erscheint dann der eigentliche Text direkt an der gleichen Stelle. Bei Webbrowsern sieht man ihn unten links oder rechts.

Hier siehst du ein Beispiel in Outlook.

Erscheint dir der Link verdächtig, dann solltest du nicht raufklicken und den Vorfall melden.

Deepfake‑Impersonation🔗

– Gefälschte KI‑Stimme oder Video des Chefs im Teams‑Call.

Tailgaiting🔗

Baiting🔗

Quishing🔗

USB-Drop-Attacks🔗

Malvertising🔗

Ausführliches Pretexting‑Beispiel🔗

Nehmen wir an, du arbeitest in der Verwaltungsabteilung einer Firma und erhälst folgenden Anruf:

Guten Tag, hier spricht Herr König von der Wirtschaftsprüfung Müller & Partner.
Wir sind heute kurzfristig im Haus, um den Jahresabschluss zu finalisieren.
Frau Lehmann aus der Buchhaltung kennt mich – sie ist aber aktuell nicht erreichbar.
Damit wir die Frist einhalten können, benötige ich sofort Export‑Zugriff auf das ERP‑System, Mandant 123.
Wenn das nicht innerhalb der nächsten Stunde klappt, verzögert sich Ihr Abschluss und die Finanzaufsicht verhängt Strafen.

Warum passt das nicht zum normalen Ablauf?

1. Externe Prüfer melden sich stets vorab über bekannte Ansprechpartner – nie ad hoc beim Service‑Desk.
2. Druck & Dringlichkeit („sofort“, „Strafen“) ohne formellen Prüfauftrag oder Projekt‑Ticket.
3. Keine Authentifizierung – keine Prüfernummer, keine Mail aus offizieller Domain, kein NDA‑Verweis.

Die richtige Reaktion ist: Identität verifizieren (Rückruf über offizielle Hotline), Anfrage an DSB / IT‑Security weiterleiten, keinen Zugriff gewähren.

Rote Flaggen & Schnell‑Check🔗

Zusammengefasst kannst du die meisten Phishing- oder Social-Engineering-Attacken mit den folgenden Anzeichen erkennen:

1. Dringlichkeit oder Drohung ohne offiziellen Prozess
2. Absender‑Domain mit Tippfehlern / Homoglyphen
3. Unerwartete Anhänge oder Passwortabfragen
4. Zahlungs‑/Passwort­änderungen ohne Doppe‑Freigabe
5. Link‑Ziel passt nicht (Hover‑Kontrolle!)

Malware in Anhängen – worauf achten?🔗

Trotz diverse Mail-Filter und Anti-Virenprogrammen kann es durchaus immer noch vorkommen, dass Malware z. B. per Mail an den Empfänger durch kommt. Meist sind die Prozesse dann noch so neu, dass Filter sie schlichtweg noch nicht kennen und dementsprechend reagieren.

In der folgenden Tabelle findest du die aktuell am häufigsten verwendeten Dateitypen, welche von Angreifern verwendet werden um Malware über Anhänge einzuschleusen.

Typische Warnzeichen sind:

• Passwort‑geschütztes Archiv und Passwort steht in derselben Mail → soll Mail‑Filter umgehen.
• Excel/Word fragt nach Makro‑Aktivierung von Absender, den du nicht kennst.
• Archiv enthält nur eine einzelne .exe oder .scr‑Datei.

Hast du einen ungewöhnlichen Anhang entdeckt, so solltest du am besten wie folgt vorgehen:

1. Nicht öffnen, Makros nicht aktivieren.
2. IT‑Abteilung informieren – Datei in Quarantäne lassen oder weiterleiten.
3. Absender über bekannte Nummer verifizieren, nicht per „Antworten“.

3‑Schritte‑Reaktionsplan🔗

Am besten orientierst du dich an diesen drei einfachen Grundregeln, wenn dir eine E-Mail, ein Anruf oder eine Nachricht verdächtig vorkommt:

1. Stop – Erst innehalten und genau hinschauen
   Prüfe Absenderadresse, Linkziel (per Hover), Dateianhänge und Auffälligkeiten wie ungewöhnliche Endungen oder Druckausübung.

2. Think – Im Zweifel nachfragen
   Kontaktiere den Absender über bekannte Kanäle oder frage bei der IT-Abteilung bzw. dem Sicherheits-Team nach. Niemals einfach reagieren oder weiterleiten.

3. Act – Richtig reagieren und melden
   Verdächtige Nachrichten nicht einfach löschen, sondern an das zuständige Security-Team weiterleiten, damit der Vorfall bewertet und ggf. weitere Schutzmaßnahmen getroffen werden können.