Phishing zählt zu den ältesten und verbreitetsten Methoden des Internetbetrugs.

 Bildnachweis: iStock/Just_Super

Cybersecurity: Wie sicher sind Österreichs Unternehmen?

Die Sicherheit von IT-Systemen ist in den letzten Jahren auch der nicht IT-affinen Bevölkerung immer weiter ins Bewusstsein gerückt. Besonders während der Pandemie konnte durch die Schulung von Mitarbeitenden ein größeres Verständnis für Informationssicherheit geschaffen werden. Trotzdem liest man so gut wie jeden Monat einen Artikel über einen neuen großen Hackerangriff, durch welchen tausende Nutzerdaten oder die Daten eines Unternehmens gestohlen wurden. Immer häufiger haben auch Privatpersonen mit diversen Internetbetrugsmaschen zu tun. Eine der ältesten und verbreitetsten Methode ist die Phishing-Attacke.

Was sind Phishing-Attacken?
Unter Phishing versteht man den Versuch eines Betrügenden, sich als vertrauenswürdiger Kommunikationspartner auszugeben und dadurch an sensible Daten zu kommen oder anderweitig Schaden anzurichten. Dies reicht von der Installation von Schadsoftware bis hin zum Identitätsdiebstahl.

Meistens werden Webseiten, E-Mails oder andere Nachrichtenformate detailgetreu gefälscht, um sie echt aussehen zu lassen. Unachtsame User:innen merken den Unterschied nicht und können dadurch zur Ausführung einer schädlichen Aktion bewegt werden. Deshalb zählt Phishing zu den Social-Engineering-Attacken, da die Kriminellen mit dieser Masche die Gutgläubigkeit ihrer Ofer ausnutzen. 

Wer ist von Phishing betroffen?
Phishing-Attacken sind bei Weitem nicht nur ein Problem für Privatpersonen. Besonders Unternehmen mit sensiblen Daten oder großen Datenbanken an Nutzerdaten sind interessante Ziele für Phishing-Kampagnen. Die Anzahl der Cybercrime-Delikte nimmt jedes Jahr zu.

Laut Cybercrime Report 2021 des Bundeskriminalamts stiegen die Online-Verbrechen innerhalb eines Jahres um 28,6 % auf über 46.000 Anzeigen. Die Aufklärungsrate hinkt mit 36,9 % stark hinterher. Durch die Pandemie wurde diese Entwicklung weiter begünstigt. Viele Arbeitgeber:innen mussten sehr schnell auf Remote-Work umstellen, was ihre Systeme verwundbar machte. Durch einen starken Anstieg an arbeitswichtigen Applikationen, verbundenen Endgeräten und alternativen Systemzugängen vervielfachten sich die Angriffspunkte der IT-Systeme vieler Unternehmen.

Bei einer Umfrage von IT-Professionals für den Bericht Phishing Insights 2021 von Sophos gaben 88 % der Befragten in Österreich an, dass Phishing-Attacken während der Pandemie zunahmen. In den Jahren 2019 und 2020 verzeichneten 22 % der Firmen in Österreich IT-Datenverluste, 32 % hatten IT-Sicherheitsvorfälle und 39 % erlitten Systemausfälle. Eines ist auf jeden Fall klar: Niemand ist sicher!

Selbst die „Großen“ sind nicht sicher
Je größer ein Unternehmen ist, desto sicherer sollten eigentlich die Daten sein – sollte man zumindest meinen. Mit der Unternehmensgröße steigt jedoch auch die Attraktivität für Cyber-Kriminelle. In Österreich gibt es hierzu genügend Beispiele. Ende 2022 traf es gleich zwei der größten Unternehmen in ihrer Branche.

Bei einem namhaften Tourismuskonzern gelang es Hackern durch einen Phishing-Angriff in die IT-Systeme einzudringen und diese tagelang lahmzulegen. Bis die Systeme wieder fehlerfrei funktionierten, vergingen Wochen. Die dadurch entstandene Schadenssumme beim Reiseanbieter und den damit verbundenen Hotels wurde nicht bekannt gegeben. Offiziell hieß es lediglich, dass der Angriff sehr teuer für das Unternehmen gewesen sei.

Außerdem erwischte es zur gleichen Zeit das Bonusprogramm einer österreichischen Einzelhandelskette: Durch Phishing konnten die Täter:innen mehrere tausend Nutzerdaten stehlen. Diese Daten konnten wiederum online benutzt werden, um Bonusangebote in Anspruch zu nehmen. Deshalb mussten Online-Transaktionen mit Bonuspunkten temporär eingestellt werden. Unmittelbar nach dem Verbrechen konnte bereits in 15 Fällen ein Missbrauch der Daten nachgewiesen werden.

Anfang 2023 erwischte es auch einen der größten Telekommunikationsanbieter in Österreich. In diesem Fall konnte durch eine Phishing-Attacke eine 5-stellige Anzahl an Nutzerdaten gestohlen werden. Die Daten landeten anschließend im Darknet und waren die Grundlage für zahlreiche Betrugsversuche. 

Vorsicht ist besser als Nachsicht
Die effektivste Methode, um sich vor Phishing zu schützen, ist vorsichtig zu sein und genau zu arbeiten. Man sollte immer die Echtheit des Absenders überprüfen, sobald man Dateien geschickt bekommt oder aufgefordert wird, Zugangsdaten jeglicher Art anzugeben. Genauso sollte man keine wichtigen Daten telefonisch weitergeben. Wenn sich die Bank mit einer Nachricht meldet, dann nicht den Link in der E-Mail oder SMS benutzen, sondern selbst die Login-Seite der Institution heraussuchen. Man sollte ebenfalls beachten, dass die Website SSL-verschlüsselt ist.

Kommt einem eine Nachricht oder Geschäftstransaktion suspekt oder ungewöhnlich vor, dann sollte man sich nicht in Zeitdruck bringen lassen und erstmal in Ruhe probieren, die Situation nachzuvollziehen. Außerdem gibt es Sicherheitssoftware, welche einen Phishing-Schutz bietet. Diese blockiert jedoch oft zu viel oder zu wenig und ist daher nicht als einzige Vorsichtsmaßnahme zu empfehlen. Wenn möglich, sollte man auch immer die Zwei-Faktor-Authentifizierung nutzen. 

Sollte es doch zum Ausnahmezustand kommen und es eine Cyber-Attacke oder einen Sicherheitszwischenfall geben, können sich Unternehmen in Österreich 24 Stunden am Tag und zwar 7 Tage die Woche bei der Cyber-Security-Hotline der WKO melden. Unter der Nummer 0800 888 133 bekommen WKO-Mitglieder im Krisenfall ein kostenloses Erstgespräch. Neben Notfallhilfe und einfachen Erstmaßnahmen koordiniert das Call-Center außerdem noch ein kostenloses Gespräch mit einem IT-Security-Unternehmen.  

Phishing wird uns vermutlich noch lange begleiten. Durch Aufklärung und vorsichtiges Arbeiten im Internet lassen sich die damit verbundenen Gefahren jedoch minimieren. Zudem wird es mit einem steigenden Verständnis innerhalb der Bevölkerung zum Thema Informationssicherheit für Kriminelle, die Phishing betreiben, immer schwieriger. 

Links

>> WKO: Cyber-Security-Hotline
>> WKO: Phishing-Angriffe auf Ihr Unternehmen abwehren
>> PIT.at: Cybersecurity fürs Homeoffice
>> Bundeskriminalamt: Cybercrime Report 2021
>> Sophos: Phishing Insights 2021

Zurück

Kontakt

MMag. Fritz Fahringer

Digitalisierung und resiliente Produktion, digital.tirol
Standortagentur Tirol fritz.fahringer@standort-tirol.at
m +43 676 843 101 223
t +43 512 576262 223