Spoofing und Phishing

Im Zeitalter der Digitalisierung, auch gekennzeichnet durch die zunehmende Verwendung wertvoller Identitätsdaten, gilt es mehr denn je, sich effektiv vor sich effektiv vor dem Diebstahl und dem Missbrauch von Identitätsdaten zu schützen. In dem Kontext fallen häufig Begriffe wie „Spoofing“ und „Phishing“ – aber kaum jemand weiß genau, worum es sich dabei handelt. Wir erklären Ihnen, was es damit auf sich hat und wie Sie der Gefahr aus dem Netz die Stirn bieten können.

Was ist passiert? Hacker haben eine Fake-E-Mail erstellt, die in Design und Wording sehr den Original-E-Mails des entsprechenden Dienstleisters oder Onlineshops ähnelt. Ebenso ist die Website zur Eingabe ihrer Daten täuschend echt gestaltet. Tatsächlich wurden sie lediglich angelegt, um zu verführen, Benutzername und Kennwort preiszugeben. Der panikstiftende Inhalt und Tonfall der E-Mail bringt viele Nutzer dazu, nicht lange nachzudenken und schnell zu reagieren – und schon haben die Hacker ihr Ziel erreicht.

Das ist ein Beispiel für Phishing und einem erfolgreichen Identitätsdiebstahl. Phisher haben es auf Zugangsdaten und weitere Informationen wie Kreditkartennummern, Benutzerinformationen und ähnliches abgesehen, um diese zu sammeln und zu veräußern, oder sie in betrügerischer Absicht zu nutzen.

Unternehmen verhindern Identity Phishing durch den Einsatz phishing-resistenter Authentifizierung wie FIDO2 oder Passkeys. Ergänzend reduzieren Conditional Access und risikobasierte Authentifizierung den Zugriff bei verdächtigen Anmeldeversuchen. Besonders wirksam ist die Kombination aus Device Trust, Zero-Trust-Architektur und kontinuierlicher Sitzungsüberwachung. Klassische Awareness-Trainings allein reichen nicht aus, da moderne Angriffe gezielt MFA umgehen. Entscheidend ist ein identitätszentrierter Sicherheitsansatz, der Benutzer, Geräte und Kontext gemeinsam bewertet.

Erfolgreiches Phishing führt wiederum zu einer anderen Problematik, nämlich der falschen Identifikation gegenüber Dritten, auch Spoofing genannt. Spoofing basiert auf der Annahme, dass der Kommunikationspartner vertrauenswürdig ist, weil Indizien darauf hindeuten, beispielweise passende Credentials (Benutzername und Kennwort). Eine bekannte Telefonnummer ruft an, die die Angaben zur Identifikation und des Anliegens klingen vertraut. Die Absenderadresse ist korrekt und vertrauenswürdig.

Spoofer haben es sich zur Aufgabe gemacht, diese Indizien zu fälschen, oder sogar zu kopieren und für eigene Zwecke zu missbrauchen. Ohne weitere Prüfung erhalten Spoofer unberechtigt Informationen und Zugriff auf sensible Daten.

Die bekannteste Masche ist der sogenannte CEO Fraud, das Vorgaukeln falscher Tatsachen. Mitarbeiter von Finanz- oder finanznahen Abteilungen erhalten plötzlich E-Mails im Namen von Angestellten des höheren Managements. Diese Nachrichten sollen zunächst eine Vertrauensbasis schaffen. Irgendwann erfolgt dann die Aufforderung, vermeintlich dringende Finanztransaktionen durchzuführen, die der falsche CEO zwar als ungewöhnlich deklariert – unter den Umständen seien sie aber notwendig. Unternehmen haben auf diese Weise im vergangenen Jahr bereits 5 Milliarden Euro verloren.

Identity Spoofing verursacht weltweit jährlich Schäden in Milliardenhöhe, insbesondere durch Business Email Compromise und CEO Fraud. Laut FBI beliefen sich die Verluste durch solche Angriffe in den letzten Jahren auf mehrere Milliarden US-Dollar pro Jahr. Die tatsächlichen Kosten liegen oft höher, da Reputationsschäden und Betriebsunterbrechungen selten vollständig erfasst werden. Besonders betroffen sind Unternehmen mit unzureichend abgesicherten E-Mail- und Identitätssystemen. Identity Spoofing zählt damit zu den wirtschaftlich folgenreichsten Angriffsmethoden im Bereich Cyberkriminalität.

Mit einfachen Methoden und durch Einsatz simpler Technologien lassen sich die Risiken, die von Phishing und Spoofing ausgehen, minimieren:

Der Verlust von Identitäts- und Zugangsinformationen kann für die Betroffenen weitreichende Folgen haben. Jedem ist es selbst überlassen, wie man mit den eigenen Identitäts- und Kontodaten umgeht. Aufgrund der großen Bedeutung solcher kritischen Informationen ist es allerdings ratsam, diese wie seinen sprichwörtlichen Augapfel zu hüten. Fragwürdige Anfragen sind abzulehnen oder zumindest zu hinterfragen. Credentials sollten nie ohne Anlass aufgrund einer überraschende Anfrage preisgegeben werden. Unternehmen sollten Anwender und Kunden zudem besser unterstützen – durch den Einsatz einfacher, aber effektiver Technologien, die Spoofing oder Identitätsmaskierung unterbinden.

Wir bei der IPG haben es uns zur Aufgabe gemacht, Anwender und Unternehmen zu unterstützen und so die maximale Sicherheitsstufe zu etablieren.