Spoofing und Phishing

– So schützen Sie sich vor Daten- und Identitätsdiebstahl!

Im Zeitalter der Digitalisierung, auch gekennzeichnet durch die zunehmende Verwendung wertvoller Identitätsdaten, gilt es mehr denn je, sich effektiv vor sich effektiv vor dem Diebstahl und dem Missbrauch von Identitätsdaten zu schützen. In dem Kontext fallen häufig Begriffe wie „Spoofing“ und „Phishing“ – aber kaum jemand weiß genau, worum es sich dabei handelt. Wir erklären Ihnen, was es damit auf sich hat und wie Sie der Gefahr aus dem Netz die Stirn bieten können.

Phishing – Der Diebstahl vertraulicher Informationen

Phishing sagt vielen erstmal nichts, dabei hatte fast jeder schon damit zu tun. Mit großer Wahrscheinlichkeit haben Sie einmal E-Mails mit einem solchen oder ähnlichen Betreff in Ihrem Postfach gefunden:

„Dringend“ von Ihrer Bank
„Konto gesperrt“ von PayPal
„Zugriff nicht möglich“ von Amazon

In der E-Mail selbst werden die teils alarmierenden Probleme mit Ihrem Account weiter ausgeführt und direkt ein Lösungsweg mitgeliefert: Einfach dem Link in der E-Mail folgen, online die Zugangsdaten eingeben, kurz verifizieren und damit sei das Problem dann vermeintlich vom Tisch.

Aber: Hier sollten Sie dringend zwei Mal hinschauen, denn sind die Zugangsdaten einmal eingegeben, sind sie futsch – und damit auch der Zugriff zu auf wertvolle und wichtige Daten.

Was ist passiert? Hacker haben eine Fake-E-Mail erstellt, die in Design und Wording sehr den Original-E-Mails des entsprechenden Dienstleisters oder Onlineshops ähnelt. Ebenso ist die Website zur Eingabe ihrer Daten täuschend echt gestaltet. Tatsächlich wurden sie lediglich angelegt, um zu verführen, Benutzername und Kennwort preiszugeben. Der panikstiftende Inhalt und Tonfall der E-Mail bringt viele Nutzer dazu, nicht lange nachzudenken und schnell zu reagieren – und schon haben die Hacker ihr Ziel erreicht.

Das ist ein Beispiel für Phishing und einem erfolgreichen Identitätsdiebstahl. Phisher haben es auf Zugangsdaten und weitere Informationen wie Kreditkartennummern, Benutzerinformationen und ähnliches abgesehen, um diese zu sammeln und zu veräußern, oder sie in betrügerischer Absicht zu nutzen.

Digitale vs. reale Welt

Es verwundert manches Mal, wie unterschiedlich Situationen in der digitalen und in der realen Welt gehandhabt werden. Nehmen wir mal an, es käme jemand auf Sie zu, vermeintlich ein Mitarbeiter Ihrer Bank, beschriebe ein Schreckensszenario und bäte Sie um die Bankkarte inkl. Pin-Nummer, um das vorgegebene Problem zu lösen.

Würden Sie die Karte und den Pin aushändigen?

Sehr wahrscheinlich nicht – aus gutem Grund. Durch den persönlichen Kontakt und die ungewöhnliche Bitte wird die Vertrauensfrage gestellt, das Bauchgefühl rebelliert.

Spoofing – Die Vorgabe falscher Identitäten

Erfolgreiches Phishing führt wiederum zu einer anderen Problematik, nämlich der falschen Identifikation gegenüber Dritten, auch Spoofing genannt. Spoofing basiert auf der Annahme, dass der Kommunikationspartner vertrauenswürdig ist, weil Indizien darauf hindeuten, beispielweise passende Credentials (Benutzername und Kennwort). Eine bekannte Telefonnummer ruft an, die die Angaben zur Identifikation und des Anliegens klingen vertraut. Die Absenderadresse ist korrekt und vertrauenswürdig.

Spoofer haben es sich zur Aufgabe gemacht, diese Indizien zu fälschen, oder sogar zu kopieren und für eigene Zwecke zu missbrauchen. Ohne weitere Prüfung erhalten Spoofer unberechtigt Informationen und Zugriff auf sensible Daten.

Die bekannteste Masche ist der sogenannte CEO Fraud, das Vorgaukeln falscher Tatsachen. Mitarbeiter von Finanz- oder finanznahen Abteilungen erhalten plötzlich E-Mails im Namen von Angestellten des höheren Managements. Diese Nachrichten sollen zunächst eine Vertrauensbasis schaffen. Irgendwann erfolgt dann die Aufforderung, vermeintlich dringende Finanztransaktionen durchzuführen, die der falsche CEO zwar als ungewöhnlich deklariert – unter den Umständen seien sie aber notwendig. Unternehmen haben auf diese Weise im vergangenen Jahr bereits 5 Milliarden Euro verloren.

Maßnahmen für mehr Datensicherheit

Mit einfachen Methoden und durch Einsatz simpler Technologien lassen sich die Risiken, die von Phishing und Spoofing ausgehen, minimieren:

Als Nutzer von digitalen Diensten sollte man immer auf Authentifizierungsmöglichkeiten achten, die über Benutzername und Kennwort hinausgehen, denn solche Credentials können, wie wir gesehen haben, verloren gehen. Der Einsatz weiterer Sicherheitsmerkmale hilft ungemein – Stichwort Multifaktorauthentifizierung oder ZeroTrust.
Unternehmen können Anwender in deren Bestreben um maximale Sicherheit durch entsprechende Prüfmechanismen unterstützen. Ist die Absenderadresse korrekt und vertrauenswürdig? Müssen sich Anwender mit mehr als Benutzername/Kennwort anmelden? Auch eine Integration in Authentifizierungs- und Autorisierungsprozeduren von Drittanbietern, die bereits ein hohes Maß an Sicherheit etabliert haben, ist denkbar.

Fazit

Der Verlust von Identitäts- und Zugangsinformationen kann für die Betroffenen weitreichende Folgen haben. Jedem ist es selbst überlassen, wie man mit den eigenen Identitäts- und Kontodaten umgeht. Aufgrund der großen Bedeutung solcher kritischen Informationen ist es allerdings ratsam, diese wie seinen sprichwörtlichen Augapfel zu hüten. Fragwürdige Anfragen sind abzulehnen oder zumindest zu hinterfragen. Credentials sollten nie ohne Anlass aufgrund einer überraschende Anfrage preisgegeben werden. Unternehmen sollten Anwender und Kunden zudem besser unterstützen – durch den Einsatz einfacher, aber effektiver Technologien, die Spoofing oder Identitätsmaskierung unterbinden.

Wir bei der TIMETOACT haben es uns zur Aufgabe gemacht, Anwender und Unternehmen zu unterstützen und so die maximale Sicherheitsstufe zu etablieren. Mehr Informationen finden sie hier.

Header zum Expertenbericht Self-Sovereign Identity 1

Blog 23.04.25

Effektives Privileged Identity Management (PIM)

PIM, PAM, PUM – was steckt dahinter? Erfahren Sie, wie sich die drei Systeme unterscheiden, wie sie zusammenhängen und welche strategischen Rollen sie im Identitäts- und Zugriffsmanagement spielen.

Referenz

Sanacorp sichert zukunftsfähige IT-Strukturen mit PKS

Um die Transformation effizient und sicher zu realisieren, entschied sich Sanacorp für eine enge Zusammenarbeit mit PKS.

Event

Next-Gen API Management

Erleben Sie, wie nahtlose Integration wirklich funktioniert- mit praxisnahen Lösungen, echten Hands-on-Demos und Networking mit Expert*innen in der IBM Zürich.

Service

Entra Assessment

Erfahren Sie in unserem Whitepaper, wie Sie Transparenz und Kontrolle über Ihre Entra-Umgebung gewinnen – und warum dies der erste Schritt zu einer robusten, sicheren IAM-Strategie ist.

Event

Google Cloud Summit Munich 2025

Die Zukunft gehört Euch. Es ist Zeit, sie zu gestalten. Meldet Euch kostenlos an und sichert Euch einen Platz in der Zukunft!

News 17.04.25

Mission & Magic – catworkx auf der Atlassian Team '25

Begegnungen, Emotionen und neue Impulse: Die Team '25 in Anaheim war für catworkx ein echtes Highlight – und ein weiterer Meilenstein in unserer Partnerschaft mit Atlassian.

Unternehmen 05.05.25

Nachhaltigkeit in der TIMETOACT GROUP

Environmental ✓ Social ✓ Governance ✓ Wir stellen uns unserer Verantwortung ► Mehr zur Nachhaltigkeit bei TIMETOACT GROUP erfahren.

Blog 24.04.25

Datenschutz, Tracking & KI – das musst du jetzt wissen!

KI kann mehr über dich herausfinden, als dir lieb ist – sogar aus scheinbar anonymen Daten. Und genau da wird’s kritisch: Denn wo hören kluge Services auf – und wo fängt unbemerkte Manipulation an?

Lösung

Die Mainframe-Allianz

Die Mainframe-Allianz besteht aus drei Beratungshäusern, die ihre Kompetenzen bündeln.

Unternehmen 12.05.25

Nachhaltigkeitsstrategie und -Management

Nachhaltiger Unternehmenserfolg bedeutet für die TIMETOACT GROUP, neben der ökonomischen auch ökologische und soziale Verantwortung zu übernehmen.

Blog 14.05.25

IAM für Künstliche Intelligenz

Welche Identität steckt hinter einer maschinellen Handlung? Wer trägt die Verantwortung? Und wie lassen sich diese Zugriffe nachvollziehbar und regelkonform gestalten? Jetzt mehr erfahren.

Event 13.05.25

TIMETOACT GROUP auf dem BARC Summit 2025

Mehr Wissen. Mehr Insights. Mehr Erfolg. - Wir sind Teil des BARC Finance & Controlling Summit 2025. Besuchen Sie unsere Experten vor Ort.

News 24.03.25

SAP Partner des Jahres 2025

Walldorf Consulting erhält die Auszeichnung im Rahmen der Diamanten-Initiative in der Kategorie SAP S/4HANA Cloud Public Edition.

Insights 17.03.25

ChatGPT & Co: Februar-Benchmarks für Sprachmodelle

Entdecken Sie die neuesten Erkenntnisse aus unseren unabhängigen LLM Benchmarks für Februar 2025. Erfahren Sie, welche großen Sprachmodelle am besten abgeschnitten haben.

News 22.04.25

Warum ein Atlassian Solution Partner mit ISO 27001

Als Atlassian Solution Partner mit ISO 27001:2022 sichern wir Ihre Daten mit einem strukturierten ISMS. Erfahren Sie, wie wir Risiken minimieren und Ihre Informationssicherheit gewährleisten.

E-Book

E-Book: Transition von SAP ByDesign zu S/4HANA Cloud

Sorgen Sie für einen reibungslosen Übergang von SAP Business ByDesign zu S/4HANA Public Cloud. Lernen Sie die wichtigsten Unterschiede, Best Practices und einen Schritt-für-Schritt-Plan kennen.

Blog 20.03.25

Agil & kundenzentriert – So gestaltet BYK die Zukunft

In der Folge zeigt Maik Dudda von BYK wie sie durch digitale Lösungen wie Kundenportale, Echtzeit-Produktinfos die Branche transformieren.

Webinar

CASV2020: Vom Qualitätsmanagement zum Wissensmanagement