Phishing erkennen und Mitarbeiter schützen

Die meisten Angriffe auf Unternehmen beginnen mit einer Mail. Phishing bringt Menschen dazu, auf einen Link zu klicken, Zugangsdaten einzugeben oder eine Zahlung auszulösen. Technik fängt vieles ab, am Ende entscheidet aber oft der Mensch vor dem Bildschirm.

Woran man Phishing erkennt

Druck und Dringlichkeit, man soll sofort handeln

Unerwartete Anhänge oder Links

Der Absender stimmt nur fast, eine Stelle ist verdreht

Aufforderung zur Anmeldung oder zu einer Zahlung

Eine ungewöhnliche Bitte, angeblich von der Geschäftsführung

Was wirklich schützt

Technische Filter und korrekt gesetzte SPF-, DKIM- und DMARC-Einträge

MFA, damit ein abgefangenes Passwort allein nichts nützt

Mitarbeiter, die den Ernstfall geübt haben

Ein klarer Meldeweg, wenn doch jemand geklickt hat

Moderne Angriffe wie AiTM (Adversary-in-the-Middle) schalten sich zwischen Nutzer und echte Anmeldeseite und stehlen dabei die ganze Sitzung, samt bestätigtem zweitem Faktor. Eine gewöhnliche MFA hilft dann nicht mehr. Nur phishing-resistente Verfahren wie FIDO2 binden die Anmeldung an die echte Adresse und laufen ins Leere. Wer das übersieht, wiegt sich in falscher Sicherheit. Wie der gezielte Angriff auf einzelne Personen funktioniert, steht unter CEO-Fraud und Spear-Phishing.

Wie wir gegen Phishing schützen

Wir verbinden technische Filter mit Phishing-Simulationen, bei denen Ihre Leute den Ernstfall gefahrlos üben. Kein Training zur Pflichterfüllung mit erhobenem Zeigefinger, sondern damit im echten Fall der Reflex sitzt.