Phishing: Tipps und Tricks vom Servicedesk

Portrait von Olivia Zekir
Von Olivia Zekir

Kein Tag vergeht, ohne dass ich nicht in den Medien von einem Phishing-Vorfall lese. Aus diesem Grund folgt in diesem Blog eine Übersicht, was Phishing ist und wie Sie sich davor schützen können.

Was bedeutet Phishing?

Phishing bedeutet, dass Daten von Internetnutzern abgefangen werden, beispielsweise über gefälschte Internet-Adressen, E-Mails oder SMS. Die Absicht ist es, persönliche Daten zu missbrauchen und beispielsweise Inhaber von Bankkonten zu schädigen.


Der Begriff Phishing ist angelehnt an fishing (engl. für Angeln, Fischen) in Verbindung mit dem P aus Passwort. Bildlich gesprochen ist es das Angeln nach Passwörtern mit Ködern. Typisch ist dabei die Nachahmung des Designs einer vertrauenswürdigen und bekannten Website (Schweizerische Post, Facebook, Bankinstitut oder Ähnliches).

Wie kann ich mich schützen?

Grundlegender Schutz bietet in der Regel ein gesundes Misstrauen und Risikobewusstsein gegenüber jeglicher Art von Datenabfragen. Kein seriöses Kreditinstitut verlangt von seinen Kunden, «ein Formular auszufüllen» oder «ein Passwort einzugeben». Fehlerhafte Rechtschreibung ist ein weiteres Indiz. Andere Merkmale, die oft in Phishing-Mails anzutreffen sind, sind unpersönliche Anreden oder eine bestimmte, aber in Bankangelegenheiten unübliche Dringlichkeit der erbetenen Antwort (z.B.: «Falls Sie nicht innerhalb von zwei Tagen bestätigen, wird ihre Kreditkarte gesperrt!»).

Was kann mich technisch schützen?

Eines der effektivsten Mittel ist die Multi-Faktor-Authentifizierung - kurz MFA. Wenn Sie E-Banking-Portale nutzen, werden Sie mit dieser Methode bereits vertraut sein. Es geht darum, dass nicht ein einziges Passwort für ein Login reicht, sondern ein zweiter Faktor hinzugezogen wird, beispielsweise ein Bestätigungscode via SMS. So wird quasi eine weitere Verteidigungslinie gegen Phishing-Attacken eingebaut. Gelingt es einem Angreifer beispielsweise, sich ein Passwort zu erschleichen, so wird er dennoch blockiert, da ihm mit ziemlicher Sicherheit der zweite Faktor für ein Login fehlt. Und auch hier gilt: Bestätigen Sie keine Anfrage, die Sie nicht selber ausgelöst haben. 

In den Medien liest man von Fällen, in denen Hacker ihre Opfer mit MFA-Anfragen geradezu überhäuft haben. Technische Details zu MFA und was es bringt, lesen Sie hier. Sollten Sie unsicher sein, wie Sie MFA korrekt einstellen für die Abfrage unterstützen wir vom Servicedesk Sie gerne.

Wie kann ich mich sensibilisieren oder mein Wissen testen?

Die Hochschule Luzern hat einen kurzen Selbsttest entwickelt, um den eigenen Grad der Sensibilisierung zu erhöhen. Den Link zum Test finden Sie hier.

Haben Sie ohne zu hinterfragen auf den Link geklickt? Keine Sorge - wir locken Sie nicht in eine Falle. Vergewissern Sie sich aber lieber einmal mehr, wenn Sie nicht ganz sicher sind ob Sie einem Link oder einem Absender wirklich vertrauen können. Wenn sie mit der Maus über den Link fahren, wird die Zieladresse angezeigt. Sollte Ihnen diese suspekt vorkommen, vermeiden Sie diesen anzuklicken.

Zusammengefasst: Bei welchen E-Mails muss ich vorsichtig sein?

  • Unbekannter Absender
  • Merkwürdige Betreffzeile
  • ZIP-Archive oder Office-Dokumente als Anhang
  • Sonderbarer textlicher Inhalt
  • Aufforderung, den Benutzernahmen und das Passwort zu senden
  • Aufforderung, auf Links zu klicken
  • Rechtschreib- und Grammatikfehler

Das waren die wichtigsten Tipps in der Übersicht. Möchten Sie und Ihre Mitarbeitenden ein Training, um bei Phishing-Angriffen besser gerüstet zu sein? Oder bei Ihnen ist die Multi-Faktor-Authentifizierung noch nicht eingeführt? Profitieren Sie von unseren Cyber-Security-Angeboten.