Phishing im Unternehmen

• Phishing-Angriffe tarnen sich oft als normale Geschäftskommunikation und nutzen Vertrauen sowie Routine oder Hektik im Arbeitsalltag aus.
• Täter:innen imitieren Lieferanten, Führungskräfte oder IT-Dienste und fordern Zahlungen, Log-in-Daten und Handlungen unter Zeitdruck.
• Zu den häufigsten Maschen zählen gefälschte Rechnungen (CEO-Fraud), manipulierte Log-in-Seiten, fingierte Bewerbungen und kompromittierte Partnerkonten.
• Schutz entsteht durch moderne Tools, definierte Prozesse, verlässliche Kommunikationswege, geschulte Mitarbeitende und klare Regeln für Freigaben und Datenzugriffe.

Typische Merkmale:

• Die E-Mail wirkt professionell und enthält ein plausibles Anliegen („Kontowechsel nach Fusion“ oder „Audit-Anpassung“).
• Die PDF-Rechnung entspricht dem gewohnten Format.
• Die Absenderadresse unterscheidet sich nur minimal (z.B. .net statt .de).

So schützen Sie sich:

• Legen Sie einen klaren Prozess für Kontodatenänderungen fest und bestätigen Sie jede Änderung zusätzlich telefonisch.
• Definieren Sie eindeutige Zuständigkeiten in der Buchhaltung, damit niemand allein über ungewöhnliche Zahlungen entscheidet.
• Schulen Sie Ihre Mitarbeitenden regelmäßig, damit sie auch alltägliche Betrugsversuche frühzeitig erkennen.

So funktioniert die Masche:

• Die E-Mail betont Diskretion („Bitte behandeln Sie das vertraulich“).
• Sie fordert eine Überweisung an eine bislang unbekannte Kontoverbindung.
• Ein zweiter Kontakt – per Anruf oder weiterer E-Mail – erhöht den Druck.

Empfohlene Gegenmaßnahmen:

• Führen Sie alle Zahlungen ab einem festgelegten Betrag immer nach dem Vieraugenprinzip durch, also mit Prüfung und Freigabe durch zwei Personen.
• Ermutigen Sie Rückfragen an Führungskräfte ausdrücklich, auch bei scheinbar klaren Anweisungen.
• Leiten Sie verdächtige E-Mails an Ihre IT-Abteilung oder Ihren IT-Dienstleister weiter und dokumentieren Sie sie, statt sie einfach zu löschen.

Auffällige Betreffzeilen sind etwa:

• „Verdächtige Anmeldung erkannt – bitte bestätigen“
• „Ihr Passwort läuft in 24 Stunden ab“
• „Ihr Konto wird wegen Inaktivität gesperrt“

Sichere Verhaltensregeln:

• Melden Sie sich nur über bekannte, selbst eingegebene Internet-Adressen oder offizielle Apps an und nie über Links in E-Mails. Beobachten Sie die tatsächlich aufgerufene URL genau und überprüfen Sie, ob diese mit der offiziellen Webadresse Ihres Partnerunternehmens übereinstimmt.
• Lassen Sie Ihre IT-Abteilung regelmäßig über aktuelle Phishing- und Spear-Phishing-Beispiele informieren.
• Nutzen Sie die Mehrfaktor-Authentifizierung, soweit vom Partner angeboten, und prüfen Sie ungewöhnliche oder neue Anmeldeorte besonders sorgfältig.

Beispiele aus der Praxis:

• Eine vermeintliche Bewerbungsmappe kommt als ZIP-Archiv.
• Eine Angebotsanfrage enthält ein Excel-Dokument mit aktivierten Makros.
• Ein Link zu „Projektunterlagen“ führt auf eine externe Plattform mit Log-in-Funktion.

Was Sie tun können:

• Nutzen Sie für Bewerbungen und externe Unterlagen ausschließlich klar definierte Postfächer oder eines der einschlägigen Bewerberportale.
• Prüfen Sie Anhänge aus unbekannter Quelle immer getrennt von der normalen Arbeitsumgebung, idealerweise in einer geschützten Testumgebung.
• Bieten Sie feste, sichere Kommunikationswege an und kommunizieren Sie diese eindeutig.

Typische Anzeichen:

• Die E-Mail wirkt überraschend („Ihr Paket steht bereit“), weil niemand eine Bestellung getätigt hat.
• Der Link führt auf eine leicht veränderte Domain (z.B. .shop statt .de).
• Die Zahlungssumme ist im Einzelfall nicht allzu hoch, um das Misstrauen zu senken.

Sichere Praxis im Unternehmen:

• Prüfen Sie jede Zahlungsaufforderung zuerst im eigenen System und reagieren Sie nicht direkt aus der E-Mail heraus.
• Geben Sie Kartendaten oder Kontoinformationen nur auf eindeutig vertrauenswürdigen Seiten ein, nicht über externe Links.
• Schulen Sie Ihre Mitarbeitenden so, dass sie Zahlungslinks grundsätzlich hinterfragen, auch wenn es nur um kleine Beträge geht.

Die Angreifer:innen …

• senden korrigierte Rechnungen aus echten E-Mail-Ketten.
• ändern nur einen Anhang oder ein Kontodetail.
• bestätigen Zahlungseingänge, um Zweifel zu zerstreuen.

Empfohlene Sicherheitsvorkehrungen:

• Prüfen Sie Kontodaten bei jeder Transaktion mit hohem Betrag zusätzlich telefonisch über bekannte Kontaktwege.
• Schützen Sie alle geschäftlichen E-Mail-Konten mit starken Passwörtern und Mehrfaktor-Authentifizierung.
• Informieren Sie bei Auffälligkeiten sofort alle Beteiligten, inklusive wichtiger Kund:innen und Partner:innen.

Typische Szenarien:

• Eine vermeintliche Kollegin teilt ein Cloud-Dokument, das angeblich zur Log-in-Seite für den Cloud-Dienst führt.
• Ein gefälschter Recruiter bietet einen Job an und verlangt eine Registrierung auf einer Fake-Seite.
• Ein Kontakt bittet um „Verifizierung des Profils“ über einen externen Link, der auf einer betrügerischen Webseite liegt.

Was hilft:

• Prüfen Sie vermeintlich bekannte Kontakte in sozialen Netzwerken immer zusätzlich über bewährte Kanäle.
• Öffnen Sie keine Dokumente oder Links direkt aus dem Chat heraus, sondern nur nach Prüfung der Quelle.
• Melden Sie verdächtige Profile der Plattform und informieren Sie Ihr Unternehmen, damit andere gewarnt sind.

Typische Merkmale:

• Ein angeblicher Support-Mitarbeiter meldet sich und bittet um ein Einmalpasswort oder Remote-Zugriff.
• Die Nummer wirkt intern, ist aber durch Spoofing manipuliert.
• Die Stimme klingt durch künstliche Nachbildung vertraut.

Empfohlene Reaktion:

• Geben Sie keine Passwörter, Codes oder vertraulichen Daten am Telefon oder per SMS heraus.
• Beenden Sie Gespräche, wenn jemand unerwartet nach Zugängen oder Freigaben fragt.
• Prüfen Sie den Sachverhalt über bekannte Kanäle und melden Sie verdächtige Anrufe oder Nachrichten Ihrer IT-Abteilung.

Besonders glaubwürdig wirken Nachrichten mit:

• Dateinamen wie „Vertrag Q1“, „Zahlungsliste“, „Budget 2024“ oder „Projektübersicht“
• Bezug auf aktuelle Meetings oder Projekte
• Einem Hinweis, dass nur bestimmte Personen Zugriff haben

Was Unternehmen schützt:

• Mitarbeitende öffnen Cloud-Dokumente nur über die Web-Oberfläche oder Apps, nicht über Links aus E-Mails.
• Cloud-Dienste mit kritischen Daten erhalten zwingend eine Zwei-Faktor-Authentifizierung.
• Die IT sollte regelmäßig Beispiele für Fake-Freigaben im Intranet oder Newsletter zeigen, mit klaren Erkennungsmerkmalen.

Industrie & Maschinenbau:

• „Ihr Ersatzteil steht zur Abholung bereit – bitte bestätigen Sie den Lieferzeitpunkt.“
• „Zahlungserinnerung für Sonderanfertigung #452-B / Fertigungslauf KW 48“

Gesundheitswesen:

• „Neue Laborbefunde abrufbar – klicken Sie hier zur Anmeldung im Fachportal.“
• „Abrechnungsbescheid zur Kassenprüfung – Rückmeldung erforderlich“

Bildung & Forschung:

• „Zugriff auf neues Kursmaterial – Anmeldung über Moodle erforderlich“
• „Neues E-Learning-Modul zur Freigabe vorbereitet“

Finanzbranche:

• „MiFID-II-Dokumentation aktualisiert – bitte Zugriff bestätigen.“
• „Transaktionsfreigabe erforderlich – neue Compliance-Richtlinie aktiv“

Transport & Logistik:

• „Zollpapiere für Sendung #7789 bereit – bestätigen Sie bitte jetzt.“
• „Versandablauf unterbrochen – offene Gebühr begleichen“

Was hilft:

• Jede Fachabteilung sollte typische Betrugsformen in ihrer eigenen Fachsprache kennen.
• Unternehmen gestalten Trainings gezielt für einzelne Bereiche statt nach dem Prinzip „eine Lösung für alle“.
• Sicherheitstrainings entfalten ihren vollen Effekt, wenn sie konkrete Beispiele aus dem jeweiligen Arbeitsalltag aufgreifen.

Fall 1: Ubiquiti Networks (CEO-Fraud und BEC)

Fall 2: Orion Engineered Carbons S.A. (BEC)

Fall 3: Betrug mit Ausschreibungsdaten in der EU