Am helllichten Tag

Eine harmlos aussehende Mail von einer internen Firmenadresse, vielleicht verbunden mit der Bitte, sich doch für einen neuen Verteiler zu registrieren. Tatsächlich jedoch sind Cyberkriminelle die Absender. Sie wollen auf diese Weise ins Firmennetzwerk einbrechen.

Solche Angriffe nennt man Phishing. Die Wortschöpfung setzt sich aus „password“ und „fishing“ (angeln) zusammen, meint also Passwort-Angeln. „Es geht beispielsweise um Versuche, Nutzer mit gefälschten Nachrichten, Mails oder SMS auf Betrugsseiten zu locken“, erklärt Andy Voß von „Computer Bild“. Phishing-Attacken sind selbst für erfahrene Anwender oder sogar Profis nicht immer sofort erkennbar und richteten sich immer öfter auch gegen Firmenmitarbeiter im Homeoffice.

„Mitarbeitende im Homeoffice sind beliebte, weil leichte Opfer. Während der Firmen-Admin eine gewisse Kontrolle über die Arbeitsrechner hat, gibt es das im Homeoffice oft nicht“, sagt Ronald Eikenberg vom „c’t“-Fachmagazin. Besonders verwundbar ist eine Firma, wenn Mitarbeitende für die Büroarbeit im Homeoffice ihren eigenen Rechner nutzen, der eben auch privat im Einsatz ist. „Fängt sich der Mitarbeitende zu Hause einen Trojaner ein, kann dieser durch die VPN-Verbindung dann im Firmennetz wüten. Schlimmstenfalls legt man also durch einen falschen Klick die ganze Firma lahm“, warnt Eikenberg.

Der IT-Branchenverband Bitkom rät daher, private Rechner im Homeoffice nicht zu nutzen. „Besser ist es, nur Unternehmensgeräte zu nutzen, auf denen dann zum Beispiel die Zugriffsrechte beschränkt werden und die Installation von Software nur Administratoren gestattet ist“, sagt Simran Mann, IT-Sicherheitsexpertin bei Bitkom.

Ist der Heimarbeitsplatz infiziert, ist das nicht unbedingt sofort erkennbar. Ein Ziel der Angreifer ist es, möglichst lange unentdeckt zu bleiben, erklärt Eikenberg. „Hinweise darauf sind aber beispielsweise Umleitungen von Website-Aufrufen, das Auftauchen von Programmen, die man nicht installiert hat oder ein plötzlicher Anstieg der Auslastung des Systems.“ Skeptisch sollten Nutzer zudem werden, wenn der Virenscanner anschlägt.

Bei allen technischen Möglichkeiten: Am Ende ist es immer der User, der im Mittelpunkt einer Cyberattacke steht. „Phishing ist eine Form des Social Engineering, also ein Angriff auf die Schwachstelle Mensch. Technische Schutzmaßnahmen sind sinnvoll, können solche Angriffe aber nicht verhindern“, sagt Eikenberg.

Nur mit aktueller Software

Gleichwohl gelte immer: Nur mit aktueller Software und nur mit aktivem Virenschutzprogramm arbeiten. Der in Windows 10 und 11 integrierte Defender reiche in vielen Fällen schon aus, sagt Eikenberg. Haupteinfallstor für Cyberkriminelle sei nach wie vor die E-Mail.

„Aber es gab und gibt durchaus Angriffe, bei denen Beschäftigten präparierte USB-Speicher untergejubelt werden, die automatisch Schadsoftware installieren, wenn sie in das Firmen-Notebook gesteckt werden“, sagt Bitkom-Expertin Mann. Hier sei der Aufwand aber natürlich ungleich höher.

Während Mail-Angriffe früher noch relativ einfach zu erkennen waren, etwa durch schlechtes Deutsch im Textblock der Mail, sei das mittlerweile deutlich schwieriger. „Diese Mails sind teilweise sehr professionell und ausführlich recherchiert, bis hin zu E-Mail-Signaturen der vermeintlichen Absender“, warnt Simran Mann.

Aber auch per Telefon versuchen Kriminelle nach wie vor, sich Zugang zu Rechnern zu verschaffen. Ein Klassiker: Betrüger geben sich am Telefon als Mitarbeitende des Microsoft-Supports aus und schaffen es so immer wieder, Menschen dazu zu bringen, Software zur Fernwartung zu installieren. Dann haben sie die volle Kontrolle über den Rechner und Zugang zu allen Daten.

Andy Voß rät, bei solchen Anrufen direkt aufzulegen. Weder Microsoft noch andere seriöse Unternehmen rufen jemals ungefragt an oder schicken Mails, in denen persönliche Daten abgefragt werden. Mit der beste Schutz: der gesunde Menschenverstand und Skepsis.

Sicherheit kostet Geld

Es kommt aber nicht nur auf die Mitarbeitenden an. Auch die Unternehmen könnten nach Auffassung des IT-Branchenverbandes Bitkom noch deutlich mehr tun, um Firmennetzwerke sicherer zu gestalten. „Cybersicherheit muss Chefsache sein“, meint Simran Mann, IT-Sicherheitsexpertin beim Bitkom. „Unternehmen müssen erkennen, dass der Schutz der IT als zentraler Infrastruktur auch Geld kostet.“

Als Richtwert empfiehlt das Bundesamt für Sicherheit in der Informationstechnologie (BSI) empfiehlt Unternehmen in seinem Lagebild zur IT-Sicherheit, 20 Prozent der IT-Ausgaben für Cyber- und Informationssicherheit zu verwenden. Aber nur 16 Prozent der Unternehmen hätten mit einer Erhöhung des Budgets für Informationssicherheit auf die Corona-Krise reagiert. dpa