Phishing-Angriffe sind keine neue Bedrohung – und so langsam wissen die meisten Nutzer, dass sie es vermeiden sollten, auf Links in merkwürdigen E-Mails oder Facebook-Beiträgen zu klicken. Dennoch gehen nach wie vor noch einige unbedarfte User Phishing-Betrügern ins Netz. Das liegt unter anderem daran, dass deren Methoden immer professioneller werden.

So können sie beispielsweise mithilfe sozialer Netzwerke wie Facebook, Twitter und Co. Informationen über ausgewählte Opfer sammeln und analysieren, um daraufhin maßgeschneiderte Phishing-Angriffe zu erstellen. Das Schlagwort hierbei lautet Spear-Phishing – ein Begriff, der zielgerichtete Betrugsversuche beschreibt, die sich meist gegen Mitarbeiter bestimmter Organisationen richten und darauf abzielen, Zugangsdaten abzugreifen.

Wie erfolgreich solche Spear-Phishing-Angriffe sein können, hat Enrico Frumento, Sicherheitsexperte beim Center of Excellence for Research, Innovation, Education and Industrial Labs Partnership (CEFRIEL) auf der Wiener Sicherheits-Konferenz DeepSec vorgestellt. Im Auftrag von 15 internationalen Unternehmen hat die Organisation die Anfälligkeit der Mitarbeiter für solche Betrugsversuche getestet. Das Ergebnis: Jeder fünfte Angestellte ging den Testern ins Netz.

Rabattversprechen als Köder

In einem Fall haben die Experten den Angestellten eines Unternehmens per E-Mail Rabattangebote für Urlaubsreisen gesendet. Die Mitarbeiter wurden über einen Link zu einer externen Webseite geleitet, wo sie zur Registrierung lediglich die Zugangsdaten ihres Firmen-Accounts angeben mussten. Zwar beinhaltete die E-Mail das Firmen-Logo, allerdings hatten die Tester sie absichtlich mit Rechtschreibfehlern versehen und über einen russischen Server versendet.

Trotz dieser kleinen Hinweise hatten nach nur zwei Stunden mehr als ein Drittel der Empfänger auf den Link geklickt und die Webseite besucht. 58 Prozent hiervon gaben sogar ihre Daten ein – insgesamt 21 Prozent. Besonders anfällig waren offensichtlich Mitarbeiter unter 30 Jahren. Nur jeder hundertste Mailempfänger schlug Alarm.

Die Lösung – bessere IT-Bildung

Einige Unternehmen hatten ihre Mitarbeiter bereits zum Thema Phishing geschult. Erstaunlicherweise waren dennoch 19 Prozent dieser Leute auf den Betrug hereingefallen – nur fünf Prozent weniger, als bei Mitarbeitern ohne Schulung.

Dieses Ergebnis verdeutlicht, dass gelegentliche, oberflächliche Schulungen nicht ausreichen, um die Nutzer nachhaltig für Internet-Bedrohungen zu sensibilisieren. Das weiß auch Raphael Labaca Castro, Security Researcher bei ESET: „Digitale Sicherheit ist nicht mehr nur eine Frage der Technik. Kriminelle versuchen immer öfter, über das Verhalten der Nutzer an wertvolle Daten wie Onlinebanking-Informationen zu gelangen. Deshalb ist es wichtig, User nachhaltig für die Tricks der Angreifer zu sensibilisieren und schon frühzeitig den richtigen Umgang mit der Technik zu vermitteln.“

Ähnlich sieht das Stefan Schumacher vom Magdeburger Institut für Sicherheitsforschung, der ebenfalls zu den Referenten auf der DeepSec-Konferenz gehörte. Er kritisiert den derzeitigen Informatikunterricht an Schulen und fordert mehr Tiefgang: „Es müsste Grundlegendes gelehrt werden, etwa wie ein Computer und Netzwerke funktionieren und es müssten dringend auch netzpolitische Themen wie Datenschutz und Privacy vermittelt werden.“