Stellen Sie sich vor, in Ihrem Briefkasten steckt ein Brief vom Sicherheitschef Ihrer Bank. Darin erklärt er Ihnen, dass es aufgrund von sicherheitsrelevanten Vorkommnissen mit Ihrem Konto notwendig ist, dass Sie Ihre Daten bestätigen. Netterweise hat er Ihnen zu diesem Zweck ein Formblatt beigefügt. Sie nehmen sich also einen Kugelschreiber und füllen das Formular aus. Name, Anschrift, Kontonummer und die Zugangsdaten zum Online-Banking.
Vielleicht wundern Sie sich, dass Sie in dem Brief nur indirekt angesprochen werden. «Sehr geehrte/r Kunde/in» steht da nur. Und auch die Briefmarke aus dem Ausland passt so gar nicht ins Bild, denn Ihre Bank ist ja eigentlich gleich um die Ecke. Als Sie das Blatt sorgfältig falten und in das beigefügte Rücksende-Kuvert stecken wollen, fällt Ihnen auf, dass dieses gar nicht an die Bank adressiert ist. Spätestens jetzt kommen Ihnen Zweifel.
Dass solch dreister Datenklau nicht in der Wirklichkeit vorkommt, liegt daran, dass es für die Verbrecher wegen dem Porto einfach zu teuer ist, Tausende solcher Briefe mit der Post zu verschicken. Und genau aus diesem Grund verschicken die Gangster keine Briefe, sondern E-Mails. So genannte Phishing-Mails. Denn E-Mails kosten nichts.
Und weil leider viele Menschen bei E-Mails den Absender oder enthaltene Links nicht genau prüfen und sich auch gar nicht fragen, warum die eigene Bank die Daten nicht mehr kennt, fallen genügend Menschen auf Phishing-Mails rein und werden zum Opfer. Merke: Echte Banken schicken keine E-Mails um Daten abzufragen, denn sie haben noch genügend Rappen in der Portokasse.
Über 85 Prozent der Vorfälle im Bereich Cyber Security sind auf menschliche Fehler zurückzuführen, dazu gehört unter anderem der fehlerhafte Umgang mit Phishing-Mails. Hacker versuchen durch «Social Engineering» (zwischenmenschliche Beeinflussung) das Vertrauen des Opfers zu gewinnen, um so zu vertraulichen Informationen oder zur Freigabe von Kreditkartenangaben oder Passwörtern zu kommen.
Wie kann ich nun eine Phishing-Attacke vorbeugen?
Um eine Phishing-Attacke zu verhindern sind diverse Massnahmen erforderlich. Diese können einerseits technischer Natur sein. Andererseits und genauso wichtig (wenn nicht sogar wichtiger) ist aber der Aufbau eines Sicherheitsbewusstseins bei den Mitarbeitenden. Diese sind das Einfallstor Nummer eins. Die besten technischen Schutzvorrichtungen nützen nur begrenzt, wenn ein Mitarbeiter (un)bewusst die Türen öffnet. Unsere Phishing-Simulation macht transparent, ob und wie sehr Ihre Mitarbeitenden auf mögliche kriminelle E-Mails sensibilisiert sind.
Wie verhalte ich mich korrekt, wenn ich trotz aller Vorsichtsmassnahmen auf einen Phishing-Link geklickt habe?
Zuallererst: Nicht sofort in Panik geraten! Viele Phishing-Mails sind auch «harmlos». Nicht alle führen zu einem nachgelagerten Ransomware-Angriff (Verschlüsselung Ihrer Daten) oder ähnlich schlimmen Angriffen.
Als erstes sollten Sie also umgehend prüfen lassen, ob die Phishing-E-Mail und der darin enthaltene Link oder Anhang, wirklich gefährlich ist und direkte Massnahmen notwendig sind. Sollte sich herausstellen, dass es sich um einen wirklich bösartigen Angriff handelt, dann befolgen Sie die folgenden Schritte:
Trennen Sie alle Verbindungen zu Ihrem Gerät (Wlan, Netzwerkkabel, Bluetooth / Hotspots, und so weiter).
Erstellen Sie eine manuelle Notfall-Sicherung Ihrer Daten auf einen USB- Stick oder eine externe Festplatte und trennen Sie das Backupmedium umgehend nach der Sicherung des Computers.
Melden Sie uns den Vorfall und machen Sie auch eine Meldung beim Nationalen Zentrum für Cybersicherheit NCSC (https://www.report.ncsc.admin.ch/de/).
Ändern Sie umgehend Ihre Kennwörter von Mailkonten, Internetzugänge, soziale Medien, e-Banking, und so weiter.
Richten Sie, wo noch nicht vorhanden, umgehend eine 2-Faktor Authentisierung ein.
Scannen Sie Ihr System auf Malware.
Unsere Spezialisten stehen Ihnen im Notfall zur Seite und begleiten Sie bei den beschriebenen Schritten. Am besten also gleich zu Beginn eine Notfallmeldung auf +41 31 529 29 90 oder auf fire@bortoli.ch machen. Merkblätter zur Erkennung einer Phishing-Mail oder der Notfallschritte finden Sie auf www.bortoli.ch/phishing.