23. September 2013 - Ausspähung von Passwörtern

Weniger Phishing-Mails bedeutet größeres Phishing-Risiko

Aktuelle Statistiken besagen, dass die Zahl der Phishing-Fälle und der damit verbundene Schaden deutlich zurückgegangen sind. Doch statt dies als Entwarnung zu verstehen, sollten Unternehmen das Phishing-Risiko als erhöht einstufen. Denn Phishing ist nicht gleich Phishing.

weniger-phishing-mails-bedeutet-groseres-phishing-risiko.jpeg
Nicht nur E-Mails werden als Köder für Passwort-Diebstahl genutzt, sondern auch Apps und soziale Netzwerke. (Bild: Thinkstock)

Vorsicht vor Fehlinterpretationen

Weniger Phishing-Fälle, geringerer Schaden durch Phishing: Wenn eine Statistik solche Aussagen macht, ist dies scheinbar ein Grund zur Freude. So berichtet der Hightech-Verband BITKOM unter Berufung auf aktuelle Daten des Bundeskriminalamtes (BKA), dass sich im Jahr 2012 die Zahl der Phishing-Fälle auf 3.440 nahezu halbiert hat (minus 46 Prozent).

Die durch diese Betrugsmasche verursachten Schäden sind im Jahr 2012 ebenfalls um 46 Prozent auf 13,8 Millionen Euro gesunken, wird weiter berichtet. Doch es lohnt sich, die Meldung komplett und richtig zu lesen und die passenden Schlüsse für die eigene Risikoanalyse zu ziehen.

Was wird gemeldet, wie wird gefischt?

Zum einen enthält die BKA-Statistik nur die bekannt gewordenen, gemeldeten Phishing-Fälle. Wenn die Zahl der Meldungen abnimmt, kann dies zweierlei bedeuten: Entweder die Zahl der Fälle wird wirklich geringer, oder aber es werden nur weniger Fälle entdeckt. Dies führt gleich zum zweiten Punkt, der bedacht werden sollte.

Phishing als Diebstahl von Passwörtern muss nicht über E-Mails ablaufen. So sind sogar Phishing-Attacken über Fax bekannt, wo in der Fax-Nachricht Benutzerzugänge abgefragt werden, die zurückgeschickt werden sollen. Deutlich häufiger aber werden Phishing-Attacken über Smartphone-Apps und über Nachrichten in sozialen Netzwerken sein. Diese sind aber eher unbekannt und werden nicht so leicht entdeckt, zumal hier Speziallösungen wie Phishing-Mail-Filter fehlen oder selten sind.

Phishing: Verschiebung statt Verbesserung

Wie die BKA-Statistik zeigt, ist die Gesamtzahl der Cybercrime-Delikte im Jahr 2012 um 8 Prozent gestiegen, insbesondere die Delikte von Datenveränderung und Computersabotage haben zugelegt. Deren Zahl ist im Jahr 2012 um 134 Prozent gestiegen. Somit kann man sagen, dass das Risiko für Datenausspähung und Passwort-Diebstahl nicht geringer wird, sondern sich verlagert.

Tatsächlich muss man davon ausgehen, dass das Risiko für einen erfolgreichen Phishing-Angriff sogar als größer zu bewerten ist als bisher:

Die Nutzer sind mit der Gefahr durch Phishing-Mails eher vertraut als bei Nachrichten in sozialen Netzwerken wie Facebook & Co. Erst recht fehlt die Awareness für Passwort-Diebstahl über Apps, zum Beispiel durch die Verteilung von gefälschten Apps, die eine Benutzeranmeldung erfordern, Benutzername und Passwort aber an einen Datendieb senden statt an den gewünschten Online- Dienst.

Meldung als Aufhänger für Schulungsmaßnahme

Verschiedene Medien haben die Meldung zu den sinkenden Phishing-Fällen aufgegriffen. Wer dies liest, könnte sich in falscher Sicherheit wiegen. Doch selbst wenn die Teilnehmerinnen und Teilnehmer Ihrer Datenschutz-Unterweisung die Meldung noch gar nicht kennen, sollten Sie die Statistik nutzen, um erneut für den Datenschutz zu sensibilisieren.

Am besten verteilen Sie die aktuelle Arbeitshilfe als Mitarbeiterinformation zum Thema Phishing-Risiko. Tipp: Wenn Sie weitere Unterstützung für Ihre Datenschutz-Unterweisung suchen, testen Sie doch einmal eine Phishing-Simulation.


Download:


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln