Betriebs­un­ter­bre­chung: Eine unter­schätz­te Fol­ge von Phis­hing-Mails

Was ver­steht man unter einer Betriebs­un­ter­bre­chung?

Eine Betriebs­un­ter­bre­chung ist eine Situa­ti­on, in der ein Unter­neh­men sei­ne nor­ma­le Geschäfts­tä­tig­keit ganz oder teil­wei­se ein­stel­len oder ein­schrän­ken muss. Die Grün­de dafür kön­nen viel­fäl­tig sein: Natur­ka­ta­stro­phen, tech­ni­sche Stö­run­gen, Rechts­strei­tig­kei­ten oder auch Cyber-Angrif­fe. Eine Betriebs­un­ter­bre­chung kann erheb­li­che finan­zi­el­le und orga­ni­sa­to­ri­sche Fol­gen haben, zum Bei­spiel:

• Umsatz- und Gewinn­ein­bu­ßen
• Zusätz­li­che Kos­ten für die Wie­der­her­stel­lung des Nor­mal­be­triebs
• Ver­lust von Kun­den, Lie­fe­ran­ten oder Mit­ar­bei­ten­den
• Repu­ta­ti­ons- oder Ver­trau­ens­ver­lust
• Haf­tungs­an­sprü­che oder Buß­gel­der

Eine Betriebs­un­ter­bre­chung kann je nach Schwe­re und Dau­er des Aus­falls unter­schied­lich lan­ge dau­ern. Man­che Betriebs­un­ter­bre­chun­gen sind nur von kur­zer Dau­er und kön­nen schnell beho­ben wer­den, ande­re sind lang­fris­tig oder sogar dau­er­haft und gefähr­den das Über­le­ben des Unter­neh­mens.

Wie kön­nen Phis­hing-Mails eine Betriebs­un­ter­bre­chung ver­ur­sa­chen?

Phis­hing-Mails sind eine der häu­figs­ten und gefähr­lichs­ten Metho­den, mit denen Cyber­kri­mi­nel­le Unter­neh­men angrei­fen. Phis­hing-Mails kön­nen auf ver­schie­de­ne Wei­se eine Betriebs­un­ter­bre­chung ver­ur­sa­chen:

• Durch das Aus­spio­nie­ren von Zugangs­da­ten oder sen­si­blen Infor­ma­tio­nen, die für den Betrieb des Unter­neh­mens not­wen­dig sind. Phis­hing-Mails geben bei­spiels­wei­se vor, von einer Bank, einem Finanz­amt oder einem Online-Dienst zu stam­men und for­dern den Emp­fän­ger auf, sei­ne Zugangs­da­ten oder ande­re Daten ein­zu­ge­ben. Wenn die Cyber­kri­mi­nel­len die­se Daten erhal­ten, kön­nen sie das Kon­to über­neh­men, Geld abhe­ben, Daten löschen oder mani­pu­lie­ren oder ande­ren Scha­den anrich­ten.
• Durch das Ein­schleu­sen von Mal­wa­re oder Viren, die das IT-Sys­tem des Unter­neh­mens infi­zie­ren oder lahm­le­gen. Phis­hing-Mails kön­nen bei­spiels­wei­se Links zu gefälsch­ten oder infi­zier­ten Web­sei­ten oder Anhän­ge mit Mal­wa­re ent­hal­ten. Klickt der Emp­fän­ger auf die Links oder öff­net die Anhän­ge, kann die Schad­soft­ware das IT-Sys­tem beschä­di­gen, Daten ver­schlüs­seln oder löschen, Spio­na­ge betrei­ben oder wei­te­re Angrif­fe aus­lö­sen.
• Indem Löse­geld erpresst oder betrü­ge­ri­sche Zah­lun­gen erzwun­gen wer­den. In Phis­hing-Mails wird bei­spiels­wei­se behaup­tet, das IT-Sys­tem des Unter­neh­mens sei gehackt oder blo­ckiert wor­den, und es wird die Zah­lung eines Löse­gelds zur Frei­ga­be des Sys­tems gefor­dert. Oder sie geben vor, von einem Geschäfts­part­ner oder Vor­ge­setz­ten zu stam­men und for­dern eine drin­gen­de Über­wei­sung oder eine Ände­rung der Bank­ver­bin­dung.

Die­se Bei­spie­le zei­gen, wie Phis­hing-Mails zu erheb­li­chen Schä­den und Betriebs­un­ter­bre­chun­gen füh­ren kön­nen, die das Unter­neh­men viel Zeit, Geld und Ner­ven kos­ten. Des­halb ist es wich­tig, dass Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter wis­sen, wie sie Phis­hing-Mails erken­nen und ver­mei­den kön­nen.

Wie kann ich mich und mei­ne Orga­ni­sa­ti­on vor Phis­hing schüt­zen?

Um sich und Ihre Orga­ni­sa­ti­on vor Phis­hing-Mails zu schüt­zen, soll­ten Sie fol­gen­de Maß­nah­men ergrei­fen:

• Sen­si­bi­li­sie­ren Sie sich und Ihre Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter für das The­ma Phis­hing. Infor­mie­ren Sie sich über die gän­gi­gen Angriffs­me­tho­den und ‑zie­le und schu­len Sie Ihre Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter im Erken­nen und Mel­den von Phis­hing-Mails. Erstel­len Sie kla­re Richt­li­ni­en und Ver­fah­ren für den Umgang mit ver­däch­ti­gen E‑Mails und hal­ten Sie die­se ein.
• Über­prü­fen Sie immer die Adres­se und den Namen des Absen­ders. Phis­hing-Mails kön­nen eine gefälsch­te oder ähn­li­che Adres­se ver­wen­den, um den ech­ten Absen­der zu imi­tie­ren. Eine Phis­hing-Mail könn­te bei­spiels­wei­se von linkedin_support@cs.linkedin.com statt von linkedin_support@linkedin.com stam­men. Wen­den Sie sich im Zwei­fels­fall über einen ande­ren Kanal an den Absen­der, um die Echt­heit der E‑Mail zu bestä­ti­gen.
• Vor­sicht bei Links und Anhän­gen. Phis­hing-Mails kön­nen Links zu gefälsch­ten oder infi­zier­ten Web­sei­ten oder Anhän­ge mit Mal­wa­re oder Viren ent­hal­ten. Kli­cken Sie nicht auf Links oder öff­nen Sie kei­ne Anhän­ge, die Sie nicht erwar­ten oder die ver­däch­tig aus­se­hen. Bewe­gen Sie den Maus­zei­ger über den Link, um die tat­säch­li­che URL zu sehen, oder ver­wen­den Sie einen Link-Scan­ner, um die Sicher­heit des Links zu über­prü­fen. Prü­fen Sie Anhän­ge immer mit einem Viren­scan­ner, bevor Sie sie öff­nen.
• Ach­ten Sie auf Recht­schreib- und Gram­ma­tik­feh­ler. Phis­hing-Mails sind oft schlecht geschrie­ben oder über­setzt und ent­hal­ten vie­le Recht­schreib- und Gram­ma­tik­feh­ler. Dies kann ein Hin­weis dar­auf sein, dass die E‑Mail nicht von einem pro­fes­sio­nel­len oder seriö­sen Absen­der stammt. Sei­en Sie auch miss­trau­isch, wenn die E‑Mail nicht an Sie per­sön­lich adres­siert ist oder eine gene­ri­sche Anre­de wie “Sehr geehr­ter Kun­de” oder “Lie­ber Freund” ver­wen­det.
• Sei­en Sie skep­tisch bei drin­gen­den oder bedroh­li­chen Nach­rich­ten. Phis­hing-Mails kön­nen ver­su­chen, Sie unter Druck zu set­zen, indem sie behaup­ten, Ihr Kon­to sei gesperrt, Ihr Pass­wort abge­lau­fen oder Ihre Zah­lung fäl­lig. Sie kön­nen auch ver­su­chen, Sie mit attrak­ti­ven Ange­bo­ten, Gewin­nen oder Beloh­nun­gen zu ködern. Las­sen Sie sich von die­sen Tricks nicht täu­schen und prü­fen Sie immer die Fak­ten, bevor Sie han­deln. Lin­ke­dIn wird Sie nie­mals auf­for­dern, Ihr Pass­wort preis­zu­ge­ben oder Pro­gram­me her­un­ter­zu­la­den.
• Ver­däch­ti­ge E‑Mails mel­den. Wenn Sie eine Phis­hing-E-Mail erhal­ten, löschen Sie sie nicht ein­fach, son­dern mel­den Sie sie der zustän­di­gen Stel­le. Dies kann Ihrem Unter­neh­men, Ihrem E‑Mail-Pro­vi­der oder dem betrof­fe­nen Unter­neh­men hel­fen, die Phis­hing-Kam­pa­gne zu stop­pen und ande­re Nut­zer zu schüt­zen. Um Phis­hing-Mails zu mel­den, die Sie erhal­ten haben, lei­ten Sie die ver­däch­ti­ge E‑Mail bit­te an phishing@linkedin.com wei­ter. Wenn Sie eine Nach­richt auf Lin­ke­dIn erhal­ten und glau­ben, dass es sich um einen Phis­hing-Ver­such han­delt, mel­den Sie den Vor­fall.
• Sichern Sie Ihre Daten und Sys­te­me. Erstel­len Sie regel­mä­ßig Siche­rungs­ko­pien Ihrer wich­ti­gen Daten und bewah­ren Sie die­se an einem siche­ren Ort auf. Aktua­li­sie­ren Sie Ihre Soft­ware und Sicher­heits­ein­stel­lun­gen und ver­wen­den Sie star­ke und ein­deu­ti­ge Pass­wör­ter für jedes Kon­to. Akti­vie­ren Sie, wenn mög­lich, die Zwei-Fak­tor-Authen­ti­fi­zie­rung. Geben Sie Ihre Pass­wör­ter nicht an ande­re wei­ter und spei­chern Sie sie nicht an einem unsi­che­ren Ort.

Phis­hing-Mails stel­len eine erns­te Gefahr für die Sicher­heit und den Daten­schutz von Mit­ar­bei­ten­den und Unter­neh­men dar. Sie kön­nen zu erheb­li­chen Betriebs­un­ter­bre­chun­gen füh­ren, die das Über­le­ben des Unter­neh­mens gefähr­den kön­nen. Wenn Sie die­se Tipps befol­gen, kön­nen Sie sich und Ihre Orga­ni­sa­ti­on vor Phis­hing-Mails schüt­zen und eine siche­re­re und ver­trau­ens­wür­di­ge­re Online-Umge­bung schaf­fen.

Haf­tungs­aus­schluss

Die­ser Bei­trag gibt die Mei­nung des Autors wie­der und stellt kei­ne Rechts­be­ra­tung dar. Der Autor über­nimmt kei­ne Gewähr für die Rich­tig­keit, Voll­stän­dig­keit und Aktua­li­tät der bereit­ge­stell­ten Infor­ma­tio­nen. Für eine ver­bind­li­che Rechts­aus­kunft wen­den Sie sich bit­te an einen Rechts­an­walt.

Copy­right © 2024 TRIESCHcon­sult, Inh. Michael Triesch, Meer­busch

Fotos: Ado­be Stock

Alle Rech­te vor­be­hal­ten.