Phishing
Phishing ist ein Social-Engineering-Angriff, bei dem Angreifer per gefälschter E-Mail, Website oder Nachricht Zugangsdaten erbeuten oder das Opfer zur Ausführung von Schadcode verleiten.
Phishing bezeichnet eine Form des Social Engineering, bei der Angreifer ihre Opfer durch eine vorgetäuschte Vertrauensbeziehung dazu bringen, sensible Informationen preiszugeben oder schädliche Aktionen auszuführen. Typischerweise erfolgt der Angriff über gefälschte E-Mails, täuschend echt nachgebaute Anmeldeseiten oder Nachrichten in Messengern, die einen scheinbar legitimen Absender wie eine Bank, einen Cloud-Dienst oder die eigene IT-Abteilung imitieren. Ziel ist es, Zugangsdaten wie Benutzernamen, Passwörter oder Einmalcodes abzugreifen oder das Opfer zum Öffnen eines Anhangs beziehungsweise zum Klick auf einen Link zu bewegen, der Schadcode nachlädt.
Phishing ist regelmäßig der initiale Zugangsvektor schwerwiegender Sicherheitsvorfälle: Erbeutete Zugangsdaten ermöglichen die Anmeldung an Unternehmenssystemen, das Umgehen von Schutzmechanismen und in der Folge oft die Ausbreitung von Ransomware. Neben dem breit gestreuten Massen-Phishing existieren gezielte Varianten wie Spear-Phishing gegen einzelne Mitarbeitende und Whaling gegen die Geschäftsleitung; bei der Variante des CEO-Frauds wird zudem eine Autoritätsperson imitiert, um Zahlungsanweisungen zu erschleichen. Multi-Faktor-Authentifizierung, technische Schutzmaßnahmen wie SPF, DKIM und DMARC sowie phishing-resistente Verfahren wie FIDO2 reduzieren das Risiko erheblich.
Im Rahmen der Informationssicherheit verlangen Normen und Aufsichtsregime einen wirksamen Umgang mit der Bedrohung durch Phishing. Die ISO/IEC 27001 fordert in Verbindung mit Anhang A unter anderem Maßnahmen zur Sensibilisierung und Schulung des Personals sowie zur Zugriffsverwaltung. Die NIS-2-Richtlinie und ihre nationale Umsetzung verpflichten besonders wichtige und wichtige Einrichtungen zu Cyberhygiene-Maßnahmen, Awareness-Schulungen und einem Meldewesen für Sicherheitsvorfälle, das auch erfolgreiche Phishing-Angriffe erfassen kann. Ein wirksames Information Security Management System verbindet daher technische Kontrollen, organisatorische Prozesse und kontinuierliche Schulung zu einem mehrschichtigen Abwehrkonzept.
Rechtliche Grundlage
ISO/IEC 27001 (Anhang A, u. a. A.6 Security Awareness, A.8 Zugriffsverwaltung); Art. 21 NIS-2-Richtlinie (EU) 2022/2555; BSI IT-Grundschutz (u. a. ORP.3, CON.3)
Praxisbeispiel
Eine Informationssicherheitsbeauftragte stellt fest, dass mehrere Mitarbeitende eine E-Mail erhalten haben, die angeblich vom internen IT-Support stammt und unter einem Vorwand zur sofortigen Bestätigung der Anmeldedaten über einen Link auffordert. Sie sperrt das betroffene Konto eines Mitarbeitenden, der seine Zugangsdaten bereits eingegeben hat, setzt das Passwort zurück und prüft die Anmeldeprotokolle auf verdächtige Zugriffe. Anschließend dokumentiert sie den Vorfall im Incident-Response-Prozess, informiert die Geschäftsleitung und prüft, ob eine Meldepflicht greift. Begleitend startet sie eine kurzfristige Awareness-Kampagne mit simulierten Phishing-Mails, um die Wachsamkeit der Belegschaft messbar zu erhöhen.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren