Phishing ist eine Cyberangriffs-Methode, bei der Angreifer versuchen, vertrauliche Daten von Nutzern oder Unternehmen zu erschleichen.

Beim klassischen Phishing handelt es sich um Massenangriffe auf Nutzer. Betrüger versenden dabei Spam-Nachrichten, um Passwörter, Kreditkartendaten zu stehlen oder sich Zugang zu persönlichen Konten zu verschaffen.

Unternehmensphishing (auch Business-Phishing genannt) zielt auf Mitarbeiter ab, die Zugriff auf sensible Unternehmensdaten haben – insbesondere Führungskräfte, Mitarbeiter der Buchhaltung und IT-Personal. Die Angreifer verfolgen dabei in der Regel folgende Ziele: Diebstahl geschäftskritischer Daten, Erwerb von Zugängen zu internen Systemen oder Störung der Unternehmensinfrastruktur.

Wie gehen Betrüger vor?

Sie studieren das Unternehmen – zunächst analysieren Betrüger soziale Netzwerke, die Unternehmensstruktur und den Kommunikationsstil.

Sie imitieren E-Mails von Vorgesetzten oder Kollegen durch Klon-Domains, z. B. mustermann@company.de → mustermann@companny.de.

Sie schreiben in Messenger im Namen echter Mitarbeiter mit Profilfotos. Sie senden Sprachnachrichten, die von künstlicher Intelligenz generiert wurden.

Sie versenden schädliche Dateien – beispielsweise unter dem Vorwand einer notwendigen Programmaktualisierung.

Sie erstellen täuschend echte Login-Seiten, um Passwörter abzugreifen.

Wie können Sie sich vor Phishing schützen?

Wir haben einige Sicherheitstipps zusammengestellt, mit denen Sie sich und Ihr Unternehmen vor Betrugsversuchen schützen können.

Klicken Sie nicht sofort auf Links und überprüfen Sie die Absenderadresse – Fahren Sie mit dem Mauszeiger über den Absendernamen oder Link, um die tatsächliche E-Mail-Adresse und Domain einzusehen.

Öffnen Sie keine verdächtigen Anhänge – insbesondere Dateien, die zur Aktualisierung von Programmen oder Aktivierung von Makros auffordern. Vorsicht bei Dateiformaten wie .exe, .js, .scr oder passwortgeschützten .zip-Dateien – diese könnten Schadsoftware enthalten.

Setzen Sie Anweisungen in „Dringend“-E-Mails nicht sofort um. Prüfen Sie jede verdächtige Bitte um Überweisungen oder Datenabfragen sorgfältig – bestätigen Sie diese telefonisch oder im Arbeitschat mit Kollegen.

Aktualisieren Sie rechtzeitig die Sowftware – Updates beheben Sicherheitslücken, die Angreifer ausnutzen könnten.

Nutzen Sie ein E-Mail-Filtersystem – solche Systeme verwenden spezielle Algorithmen zur Analyse eingehender Nachrichten, filtern verdächtige Mails heraus und verschieben sie in den Spam-Ordner.

Entwickeln und implementieren Sie eine Informationssicherheitspolitik – etablieren Sie klare Regeln für: E-Mail-Prüfverfahren, Internet- und Smartphone-Nutzung sowie den Umgang mit Hacking-Versuchen.

Verwenden Sie Antivirus und Zwei-Faktor-Authentifizierung.
Zwei-Faktor-Authentifizierung aktivieren

Schulen Sie die Mitarbeiter regelmäßig im Erkennen von Phishing – organisieren Sie Vorträge und Webinare über Cyberbetrug und führen Sie auch Phishing-Simulationen durch, um die Anfälligkeit des Unternehmens zu testen.

Prüfen Sie genau die Domain der Website vor der Anmeldung – beispielsweise enthält die offizielle Bitrix24-Cloud-Domain nur "bitrix24", nicht aber Varianten wie "bltrix", "bitrix25" oder ähnliche.

Melden Sie verdächtige E-Mails oder Webseiten unverzüglich an Ihre IT-Sicherheitsabteilung. Bleiben Sie stets aufmerksam und hinterfragen Sie auffällige Nachrichten sorgfältig.