Informationssicherheit

    Was ist Phishing?

    "Phishing" ist ein Kunstwort aus "Password" und "Fishing". Hier versuchen Kriminelle, an Zugangsdaten zu gelangen. Mit den erbeuteten Zugangsdaten sind dann weitere Angriffe möglich, die finanziellen Schaden, Datenverlust und Mehrarbeit auslösen können.

    Eine häufig verwendete Phishing-Methode ist der Versand von E-Mails. Dabei kann der Absender verfälscht sein, um Glaubwürdigkeit vorzutäuschen. Meist werden die Empfängerinnen und Empfänger der Phishing-E-Mails unter zeitlichen oder moralischen Druck gesetzt. Dies soll das Opfer in eine Drucksituation bringen und zu falschen oder fahrlässigen Handlungen verleiten. Wir geben Ihnen Hinweise, wie Sie Phishing-Versuche leichter erkennen können.

    • Wie erkenne ich Phishing-E-Mails?
      • Handelt es sich um die erwartete Absender-Adresse?
        • Oft werden E-Mail-Adressen leicht verändert, z.B. durch Hinzufügen eines Punktes oder eines Unterstrichs. Achten Sie deshalb auf die korrekte Schreibweise der E-Mail-Adresse. Auch die Domain sollte korrekt sein. So ist z.B. die Domain '@gmail.com' nicht mit '@gamil.com' zu verwechseln. Oft werden auch Behörden imitiert, z.B. Polizei oder Finanzamt. Achten Sie deshalb darauf, dass die Domain mit der Sie vertraut sind, korrekt ist. Auch die Domain '@polizei.de' ist nicht mit '@polizei.com' zu verwechseln. Erhalten Sie von bestimmten Personen reglmäßig digital signierte E-Mails (zu erkennen an einem Siegel-Symbol in Ihrem E-Mail-Programm), dann seien Sie misstrauisch, wenn auf einmal das Siegel-Symbol fehlt.
        • Die Absender-E-Mail-Adresse können Sie am PC überprüfen:
          • Bewegen Sie in Outlook den Mauszeiger über den Absendernamen und klicken Sie auf den Pfeil unten rechts.
          • Installieren Sie für Thunderbid das Add-On "Show Address Only".
          • Klicken Sie in Apple Mail auf den Pfeil rechts neben dem Namen des Absenders
          • Klicken Sie in Gmail auf den Pfeil neben "an mich" (bzw. "to me") - und nutzen Sie zu dienstlichen Zwecken Ihre HTWG-E-Mail-Adresse und keine anderen Anbieter.
        • Die Absender-E-Mail-Adresse können Sie am Smartphone überprüfen:
          • Tippen Sie in Outlook auf den Absendernamen.
          • Tippen Sie in iOS Mail auf "Details" und dann auf den Absendernamen
          • Tippen Sie in Gmail auf den Pfeil neben "an mich" (bzw. "to me").
      • Ist die E-Mail sprachlich und inhaltlich korrekt?
        • Oft täuschen Phishing-Versuche die Herkunft aus großen und bekannten Unternehmen vor. Sind Rechtschreibung und Grammatik so gut wie erwartet? Werden Sie mit Ihrem Namen angesprochen oder ist die Anrede unpersönlich? Denken Sie nach: Kennt das Unternehmen überhaupt Ihre (dienstliche) E-Mail-Adresse? Haben Sie vorher schon E-Mails bekommen? Ist die E-Mail eine Massenaussendung oder kommt sie von individuellen Mitarbeiterinnen und Mitarbeitern des Unternehmens?
      • Klingt das Angebot zu gut?
        • Wer möchte nicht endlich belohnt werden? Dabei zeigt die allgemeine Lebenserfahrung, dass einem im Leben selten etwas geschenkt wird. Und so ein tolles Geschenk wird in einer (unpersönlichen) E-Mail angekündigt?
        • Nein, die Millionenerbin, die Probleme mit ihrer Hausbank hat, braucht Sie nicht, um eine Auslandsüberweisung zu machen. Nein, das Ministerium hat nicht plötzlich erkannt, dass Ihnen eine Zulage für besondere Leistungen gezahlt werden sollte. Nein, der Personalrat hat keinen extra Urlaubstag ausgehandelt, dessen Inanspruchnahme Sie eben mit Ihren Zugangsdaten bestätigen sollen. Was zu gut klingt, ist meist nicht gut, sondern ein Betrugsversuch.
      • Werden Konsequenzen angedroht oder wird schnelles Handeln verlangt?
        • Unter Druck treffen viele nicht die besten Entscheidungen. Denken Sie nach: Meldet sich das Rechenzentrum oder ein Dienstleister wirklich mit einer unakzeptabel kurzen Frist? Hängt von Ihrer Antwort wirklich so viel ab wie in der E-Mail angekündigt? Würde Sie jemand tatsächlich unter Druck setzen und nur eine Webseite, aber keine alternative Kontaktmöglichkeit z.B. per Telefon anbieten?
      • Ist eine verlinkte Webseite korrekt und vertrauenswürdig?
        • In E-Mails enthaltene Links können ihre eigentliche Adresse verschleiern. Das kann bewusst durch die Darstellung der Adresse passieren oder auch durch Nutzung von Diensten zur Verkürzung von URLs. Wenn Sie nicht wissen, auf welche Webseite sie geleitet werden, landen Sie am Ende vielleicht auf einer gefälschten Webseite oder Ihnen wird über den Link Schadsoftware auf den PC heruntergeladen.
        • Um zu sehen, auf welche Webseite ein Link wirklich führt, kann man am PC mit der Maus über den Link fahren. Dadurch wird die gesamte URL angezeigt. Stimmt die dann angezeigte URL mit der vorher im Text dargestellten Adresse überein?
        • Während in einer E-Mail z.B. nur 'htwg-konstanz.de' angezeigt wird, kann dahinter als wahre Adresse etwa 'http://xyz.htwg-konstanz.de.irgendwo.com/` stehen. Um die korrekte Domain zu erhalten, gehen Sie von dem ersten einzelnen Schrägstrich bis zum zweiten Punkt zurück. In diesem Fall wäre dies 'irgendwo.com' und nicht wie zunächst erwartet 'htwg-konstanz.de'.

      Aktuelle Beispiele des BSI für Phishing

    • Wie gehe ich mit Phishing-E-Mails um?
      • Ruhe bewahren.
        • Wenn Sie unsicher sind, ob die E-Mail ein Phishing-Versuch sein könnte, fragen Sie beim Absender nach. Da beim Phishing der Absender oft verfälscht wird, nutzen Sie einen anderen Kommunikationskanal. Ein anderer Kommunikationskanal heißt konkret, dass Sie anrufen oder dass Sie in einer neuen E-Mail die Empfängeradresse selber eintippen. Antworten Sie nicht einfach auf die E-Mail, denn Ihre Antwort könnte dann genau bei den kriminellen Personen ankommen, die Ihnen die E-Mail geschickt haben. Zum einen werden die Ihnen keine ehrliche Auskunft geben, zum anderen bestätigen Sie damit, dass Sie Ihre E-Mails lesen und kommunikationsbereit sind.
        • Wenn Sie sicher sind, dass es sich um einen Phishing-Versuch handelt, löschen Sie die E-Mail oder markieren Sie sie als Spam in Ihrem E-Mail-Programm. Dadurch steigt die Wahrscheinlichkeit, dass künftige ähnliche Versuche bei Ihnen gar nicht erst im Posteingang angezeigt werden.
        • Sie können einen Phishing-Versuch bei Ihren EDV-Betreuerinnen und -Betreuern melden.
      • Keine Anhänge öffnen oder Links anklicken
        • Öffnen Sie keine Anhänge von Phishing-E-Mails. Die Anhänge können Schadsoftware enthalten, die dann beim Öffnen auf Ihrem Computer ausgeführt würde. Das Ergebnis könnte Datenverlust oder eine Beschädigung Ihres Computers sein.
        • Klicken Sie nicht auf Links in Phishing-E-Mails. Die Links könnten Sie auf Webseiten führen, die gut nachgemacht sind und Sie glauben lassen, es sei alles in Ordnung (und Sie verraten dann dort Ihre Zugangsdaten). Die Webseiten könnten auch Schadsoftware enthalten, die auf Ihren Computer heruntergeladen werden könnte. Das Ergebnis könnte Datenverlust oder eine Beschädigung Ihres Computers sein.
    Nach oben