Phishing über Suchmaschinen
Phishing über Suchmaschinen als größtes IT-Sicherheitsrisiko für den Mittelstand
Stellen Sie sich vor: Ihr Mitarbeiter sucht nach einem Cloud-Speicherdienst für ein wichtiges Projekt. Er klickt auf eines der ersten Suchergebnisse, gibt seine Zugangsdaten ein – und hat soeben unbewusst Cyberkriminellen Zugang zu Ihren Unternehmensdaten verschafft. Kein hypothetisches Szenario, sondern eine zunehmend reale Bedrohung für mittelständische Unternehmen.
Alarmierende Zahlen
Aktuelle Daten des Sicherheitsunternehmens Netskope zeigen eine beunruhigende Entwicklung: Mitarbeiter in Unternehmen klickten 2024 fast dreimal so häufig auf Phishing-Links wie noch im Vorjahr. Der Anteil stieg von 0,3 % auf 0,8 % – ein signifikanter Anstieg trotz verstärkter Schulungsmaßnahmen. Besonders bemerkenswert: Fast 20 % dieser Klicks erfolgten nicht mehr über die klassische E-Mail, sondern über Suchmaschinen. Genau hier liegt das Problem: Während Ihre Mitarbeiter bei E-Mails inzwischen vorsichtiger sind, sinkt ihre Wachsamkeit bei der vermeintlich sicheren Websuche.
Die neue Gefahr: Manipulierte Suchanzeigen
Cyberkriminelle nutzen heute raffinierte Techniken: Sie schalten bezahlte Werbeanzeigen in Suchmaschinen oder optimieren gefälschte Websites so, dass sie in den organischen Suchergebnissen weit oben erscheinen. Diese Fake-Seiten sind oft täuschend echte Kopien bekannter Dienste – teilweise sogar mit gültigen SSL-Zertifikaten versehen.
Der perfide Trick hierbei: Die aktive Suche nach einer Ressource oder einem Dienst lässt uns vergessen, dass auch Suchergebnisse manipuliert sein können. Selbst IT-affine Personen fallen diesen Angriffen zum Opfer, da die gefälschten Seiten oft erst auf den zweiten Blick erkennbar sind.
Warum klassische Sicherheitsmaßnahmen versagen
Traditionelle Sicherheitsmaßnahmen bieten gegen diese neue Bedrohung kaum Schutz:
- Spamfilter greifen ins Leere: Keine E-Mail im Spiel.
- Anti-Phishing-Tools: Meist auf E-Mail-Bedrohungen trainiert.
- Browser-Warnungen: Kommen oft zu spät, da viele Fake-Websites SSL-Zertifikate haben.
- Mitarbeiterschulungen: Fokussieren sich oft nur auf E-Mail-Phishing.
Für mittelständische Unternehmen mit begrenzten Ressourcen stellt dies eine besondere Herausforderung dar: Die Bedrohung kommt aus einer unerwarteten Richtung, während die Abwehrmechanismen auf alte Angriffsszenarien ausgerichtet sind.
Die wertvollsten Ziele: Cloud-Dienste im Visier
Die Netskope-Analyse zeigt ein klares Muster bei den Angriffszielen: Über ein Viertel aller angeklickten Phishing-Links führten auf gefälschte Login-Seiten von Cloud-Diensten. In der Rangliste der Angriffsziele stehen:
- Microsoft-Dienste (42%)
- Adobe Cloud (18%)
- DocuSign (15%)
Diese Fokussierung ist kein Zufall: Ein einzelner Cloud-Zugang kann den Schlüssel zu sensiblen Unternehmensdaten, Kundendaten und internen Kommunikationskanälen darstellen – ein echter Jackpot für Cyberkriminelle.
Das unterschätzte Risiko: Schatten-IT und KI-Tools
Parallel zum Phishing über Suchmaschinen lauern weitere Risiken im Arbeitsalltag:
- Schatten-IT: 88 % der Mitarbeiter nutzen private Cloud-Anwendungen, wobei mehr als ein Viertel dort Unternehmensdaten hochlädt – oft unbewusst durch automatische Backups oder bei der Nutzung privater E-Mail-Konten für berufliche Zwecke.
- KI-Tools: In 94 % der Unternehmen verwenden Mitarbeiter generative KI-Anwendungen – ein potenzielles Datenleck, wenn sensible Informationen an externe KI-Anbieter übermittelt werden.
Praxisnahe Lösungen für mittelständische Unternehmen
Die gute Nachricht: Mit einem mehrdimensionalen Ansatz können auch mittelständische Unternehmen mit begrenzten Ressourcen wirksame Gegenmaßnahmen implementieren:
Mitarbeiterschulungen erweitern
- Sensibilisieren Sie Ihre Mitarbeiter für die Gefahren bei der Websuche.
- Trainieren Sie die URL-Überprüfung vor jedem Klick.
- Zeigen Sie anhand realer Beispiele, wie täuschend echt gefälschte Websites sein können.
Sichere Such- und Browser-Gewohnheiten etablieren
- Fördern Sie die Nutzung von Lesezeichen für wichtige Dienste statt der Suche.
- Implementieren Sie sichere Browser-Einstellungen und Ad-Blocker.
- Warnen Sie vor dem Klicken auf Werbeeinblendungen mit „Anzeige“-Label.
Technische Maßnahmen implementieren
- Setzen Sie das Zero-Trust-Prinzip um: Jede Anmeldung sollte hinterfragt werden.
- Implementieren Sie Multi-Faktor-Authentifizierung für alle Cloud-Dienste.
- Nutzen Sie Web-Filter, die schädliche Websites frühzeitig blockieren.
Klare Richtlinien für Cloud-Nutzung und KI-Tools
- Definieren Sie, welche Dienste für geschäftliche Zwecke genutzt werden dürfen.
- Stellen Sie sichere Alternativen zu privaten Cloud-Speichern bereit.
- Legen Sie fest, welche Daten mit KI-Tools verarbeitet werden dürfen.
Data Loss Protection als Sicherheitsnetz
- Investieren Sie in Lösungen, die den Datenfluss kontrollieren.
- Implementieren Sie Coaching-Tools, die Mitarbeiter bei unsicheren Aktionen warnen.
- Nutzen Sie automatisierte Prüfungen beim Hochladen sensibler Daten.
Fazit: Anpassungen sind notwendig – Stillstand ist der größte Feind
Die Verlagerung von Phishing auf Suchmaschinen ist keine vorübergehende Erscheinung, sondern ein grundlegender Wandel in der Bedrohungslandschaft. Für mittelständische Unternehmen bedeutet das: Anpassungen sind notwendig.
Die Implementierung der genannten Maßnahmen erfordert keine enormen Investitionen, sondern vor allem ein Umdenken und eine Anpassung bestehender Sicherheitskonzepte. Der Aufwand steht in keinem Verhältnis zu den potenziellen Schäden eines erfolgreichen Angriffs.
Um in der Cybersicherheit effektiv zu bleiben, ist es entscheidend, proaktiv zu handeln und bestehende Strategien regelmäßig zu überprüfen und anzupassen. Wenn Sie mehr darüber erfahren möchten, wie Sie Ihr Unternehmen vor modernen Phishing-Angriffen schützen können, stehen Ihnen unsere Fachleute zur Verfügung, die Sie gerne bei Ihren spezifischen Sicherheitsbedürfnissen unterstützen.
Quelle: Netskope, Analyse zu erkannten Bedrohungen (November 2023 – 2024). Die Untersuchung basierte auf anonymisierten Nutzungsdaten, wobei die Auswirkungen der Bedrohungen nicht berücksichtigt wurden.