Zum Inhalt springen
NeoGuard

Phishing

Ein Social-Engineering-Angriff, der Nutzer dazu verleitet, Zugangsdaten preiszugeben, schädliche Links anzuklicken oder Malware herunterzuladen, indem eine vertrauenswürdige Stelle imitiert wird.

Phishing ist der häufigste initiale Angriffsvektor in der Cybersicherheit. Angreifer geben sich als vertrauenswürdige Stelle aus (Bank, Kollege, Dienstleister), um Sie dazu zu bringen, sensible Informationen preiszugeben, einen schädlichen Link anzuklicken oder Malware herunterzuladen.

Arten von Phishing

  • E-Mail-Phishing: Massenhaft versendete E-Mails, die legitime Dienste imitieren («Ihr Konto wurde gesperrt, klicken Sie hier zur Verifizierung»).
  • Spear-Phishing: Gezielte Angriffe auf bestimmte Personen, oft mit persönlichen Details von LinkedIn oder Firmenwebsites.
  • CEO-Betrug / Business Email Compromise: Angreifer imitieren Führungskräfte, um Überweisungen oder sensible Daten von Mitarbeitern anzufordern.
  • SMS-Phishing (Smishing): Phishing per SMS, oft als Paketdienst oder Bank getarnt.
  • KI-gestütztes Phishing: Mit Large Language Models können Angreifer hochüberzeugende, personalisierte Phishing-Nachrichten in jeder Sprache massenhaft generieren.

Warum Phishing funktioniert

Phishing nutzt Vertrauen und Dringlichkeit aus, nicht technische Schwachstellen. Selbst sicherheitsbewusste Mitarbeiter machen unter Druck Fehler. Eine gut gemachte Spear-Phishing-E-Mail ist kaum von einer echten Nachricht zu unterscheiden.

Phishing-Risiko reduzieren

  • Passwort-Manager: Auto-Fill funktioniert nur auf der korrekten Domain. Eine Phishing-Seite löst kein Auto-Fill aus. Eine der effektivsten passiven Abwehrmassnahmen.
  • 2FA: Selbst bei gestohlenen Zugangsdaten verhindert 2FA die Kontoübernahme. Hardware-Schlüssel sind von Natur aus immun gegen Phishing.
  • E-Mail-Filterung: Moderne E-Mail-Security erkennt und isoliert Phishing-Versuche.
  • Schulungen: Regelmässige, realistische Phishing-Simulationen helfen Mitarbeitern, Angriffe zu erkennen.
  • Meldekultur: Es muss einfach und vorwurfsfrei sein, verdächtige Nachrichten zu melden.

Phishing und Schweizer Regulierung

Unter dem nDSG löst ein erfolgreicher Phishing-Angriff, der zu einer Datenpanne führt, eine Meldepflicht an den EDÖB aus. Für kritische Infrastrukturen gilt die 24-Stunden-Meldepflicht an das BACS.

Verwandte Begriffe

2FA (Zwei-Faktor-Authentifizierung)Passwort-ManagerRansomware