Um an geschützte Informationen von Unternehmen zu gelangen, nutzen Angreiferinnen und Angreifer oft den Faktor Mensch. Neben dem bekannten Phishing kommen dabei weitere Methoden zum Einsatz, darunter auch Smishing und Vishing.
Phishing ist den meisten Menschen aus dem beruflichen und privaten Umfeld bekannt: Angreiferinnen und Angreifer versuchen mit fingierten E-Mails an Zugangsdaten, Bankdaten oder andere Informationen der Empfängerinnen und Empfänger zu gelangen. Dabei geben sich die Angreiferinnen und Angreifer als bekannte Unternehmen oder Personen aus dem Umfeld der Empfängerinnen und Empfänger aus.
In der Vergangenheit waren diese Angriffsversuche oft schlecht umgesetzt und für viele Menschen schnell erkennbar, beispielsweise durch auffällig viele Rechtschreibfehler und falsche Personennamen. Mittlerweile sind viele Phishing-Angriffe jedoch äußerst ausgefeilt und nur bei genauer Prüfung auch als solche erkennbar. Angreifer*innen gelangen so beispielsweise über schadhafte Links in den Phishing-E-Mails an sensible Daten und richten damit allein für die deutsche Wirtschaft einen jährlichen Schaden im dreistelligen Milliardenbereich an.
So funktionieren Smishing und Vishing
Eine dem Phishing ähnliche Angriffsart ist das Smishing. Hierbei verwenden die Angreiferinnen anstelle von E-Mails SMS-Nachrichten, mit denen sie ihren Opfern eine falsche Identität vortäuschen und versuchen an Daten zu gelangen. Da SMS-Nachrichten in der Regel sehr kurz sind, fällt es Kriminellen oft vergleichsweise leicht, die Identität beispielsweise des unternehmenseigenen IT-Supports oder eines Paketdienstes glaubwürdig vorzutäuschen. Auch beim Smishing nutzen Angreiferinnen oft schadhafte Links. Diese können beispielsweise auf Websites führen, die die Nutzerinnen und Nutzer zur Eingabe sensibler Anmeldedaten verleiten.
Demselben Prinzip folgt auch das Vishing. Im Gegensatz zu Phishing und Smishing nutzen Angreiferinnen und Angreifer hierfür jedoch Sprachnachrichten oder Telefonanrufe, um ihren Opfern sensible Informationen zu entlocken oder sie zu Handlungen zu verleiten. Oft verwenden die Kriminellen hierfür KI-Unterstützung, mit der sie Stimmen glaubhaft imitieren können. Die von einem Vishing-Anruf betroffene Person wird dabei in der Regel unter Druck gesetzt, indem die Angreiferinnen und Angreifer beispielsweise eine Notlage vortäuschen, die eine dringende Handlung seitens des Opfers erfordert. Durch diesen Überrumpelungseffekt lassen sich viele Betroffene dazu verleiten, der Aufforderung der Angreiferinnen und Angreifer nachzukommen und geben sensible Daten heraus, gewähren Zugang zu Systemen oder tätigen Finanztransaktionen.
Schutz durch Aufklärung der Mitarbeitenden
Sowohl Phishing als auch Smishing und Vishing zählen zu den sogenannten Social Engineering Angriffen. Bei diesen machen sich Angreifer*innen soziale Beziehungen zu Nutze, um Daten zu erbeuten. Rein technische Schutzmaßnahmen genügen deshalb nicht, um diese Angriffsarten effektiv abzuwehren.
Für Unternehmen ist es entscheidend, dass sie ihre Mitarbeitenden dafür sensibilisieren, derartige Angriffe zu erkennen und sich im Fall des Falles sicherheitskonform zu verhalten. Hierzu sind regelmäßige Schulungen und Übungen empfehlenswert. Darüber hinaus ist eine unternehmensweite Sensibilisierung für die Bedeutung der Informationssicherheit sowie für die zuständigen Ansprechstellen erforderlich.
