Hacker nutzen immer häufiger die Kombination aus E-Mail und SMS, um Sicherheitslösungen zu umgehen. Smishing, die phishing-ähnliche Attacke per Kurznachricht, erzielt deutlich höhere Erfolgsquoten als klassische E-Mail-Phishing-Kampagnen. Thomas Mierschke, Area Vice President DACH bei Proofpoint, zeigt die Hintergründe und effektive Schutzstrategien.
Verbrecher gehen mit der Zeit. Das bedeutet zum Beispiel, dass Cyberkriminelle für ihre Angriffe gezielt eine Kombination moderner Kommunikationskanäle nutzen. Besonders auffällig ist dabei die Entwicklung im Bereich Phishing: in jüngster Zeit wird diese Social-Engineering-Technik von Angreifern zunehmend kanalübergreifend genutzt. Mit Vorliebe setzen sie auf die Kombination von E-Mail und SMS (sogenanntes Smishing).
Kanalübergreifende Phishing-Strategien und ihre Hintergründe
Phishing-Angriffe sind zwar kein neues Phänomen, doch die Methoden der Angreifer werden immer raffinierter. Während sie früher schädliche Anhänge oder verdächtige Links meistens direkt verschickten, setzen heutige Täter verstärkt auf ausgeklügelte Social-Engineering-Taktiken, bei denen die Schadsoftware erst im weiteren Verlauf der Kommunikation zum Einsatz kommt. Ein typisches Beispiel hierfür ist das initiale Kontaktieren eines Opfers via E-Mail, gefolgt vom Versuch, die Konversation auf einen weniger überwachten Kanal wie SMS zu verlagern. Ziel dieser Vorgehensweise ist es, die etablierten Sicherheitsmechanismen von Unternehmen zu umgehen.
Die Gründe für diese Strategie liegen auf der Hand: E-Mails werden in Unternehmen meist durch leistungsfähige Sicherheitssysteme überwacht. Demgegenüber sind textbasierte Kanäle wie SMS oder Messenger bzw. Collaboration-Tools häufig nur unzureichend geschützt. Hinzu kommt, dass Menschen auf SMS-Nachrichten deutlich häufiger reagieren als auf E-Mails. Untersuchungen zeigen, dass die Klickrate bei SMS zwischen 8,9 und 14,5 Prozent liegt, während sie bei E-Mails nur etwa 2 Prozent beträgt. Diese hohe Erfolgsquote macht Smishing zu einem attraktiven Werkzeug für Cyberkriminelle.
Technische Schutzmaßnahmen gegen moderne Phishing-Angriffe
Aus technischer Perspektive stehen Unternehmen heute zahlreiche Lösungen zur Verfügung, um sich gegen solche Bedrohungen zu wappnen. Moderne Systeme zur Erkennung von Phishing-Angriffen nutzen mehrschichtige Analyseverfahren, die weit über das bloße Scannen von Anhängen und URLs hinausgehen. Insbesondere KI-basierte Technologien spielen eine entscheidende Rolle: Sie analysieren nicht nur die technischen Merkmale einer Nachricht, sondern auch deren semantischen Gehalt und Kontext. So können sie beispielsweise erkennen, wenn ein Absender versucht, eine Konversation aus dem geschützten E-Mail-Kanal heraus auf eine weniger sichere Plattform zu verlagern – auch wenn die ursprüngliche Nachricht keinerlei Schadfunktionen enthält.
Ein weiteres zentrales Element moderner Schutzsysteme ist die Echtzeit-Analyse von URLs. Da Angreifer oft versuchen, Opfer über scheinbar harmlose Links auf gefälschte Webseiten zu locken, ist es unerlässlich, die Reputation und den Inhalt solcher Links zum Zeitpunkt des Klicks zu überprüfen. Mithilfe der Kombination aus Reputationsdatenbanken, maschinellem Lernen und verhaltensbasierten Analysen lassen sich viele Angriffe bereits im Vorfeld abwehren.
Der Mensch als Schlüsselfaktor: Sensibilisierung und Schulung vonnöten
So wichtig technische Schutzmaßnahmen auch sind, reichen sie nicht aus, um das Risiko nachhaltig zu minimieren. Der Mensch bleibt das schwächste Glied in der Sicherheitskette, weshalb gezielte Sensibilisierung und Schulung der Mitarbeitenden unabdingbar sind. Regelmäßige Awareness-Trainings sollten das Bewusstsein für die Gefahren von Phishing in all seinen Ausprägungen schärfen. Dabei gilt es insbesondere, die Fähigkeit zu fördern, subtile Warnsignale zu erkennen. Beispielsweise sollte jede unerwartete Aufforderung, persönliche Daten wie Telefonnummern preiszugeben oder auf einen anderen Kommunikationskanal zu wechseln, kritisch hinterfragt werden.
Security-Verantwortliche sollten darüber hinaus klare Richtlinien für den Umgang mit sensiblen Informationen und digitalen Kommunikationswegen etablieren. Mitarbeitende müssen wissen, dass interne und externe Anfragen, die eine Verlagerung der Kommunikation fordern, stets überprüft werden sollten – idealerweise durch Rücksprache mit dem IT-Sicherheitsteam oder über einen zweiten, unabhängigen Kommunikationsweg. Ebenso sollten sie darin geschult werden, Details wie Absenderadressen, Schreibstil und Kontext einer Nachricht aufmerksam zu prüfen, um Unregelmäßigkeiten frühzeitig zu erkennen.
Ganzheitlicher Schutz für alle Kommunikationskanäle
Nicht zuletzt ist es ratsam, den technischen Schutz konsequent auf alle relevanten Kommunikationskanäle auszudehnen. Während E-Mail-Gateways und Firewalls in vielen Unternehmen seit langem zum Standard gehören, werden Messaging-Plattformen, Collaboration-Tools und mobile Endgeräte häufig vernachlässigt. Hier gilt es, bestehende Sicherheitskonzepte ganzheitlich weiterzuentwickeln und sie beispielsweise durch Mobile-Threat-Defense-Lösungen, Endpoint-Protection und die Integration von Phishing-Erkennung in Messenger-Dienste zu ergänzen.
Die Dynamik der aktuellen Bedrohungslandschaft zeigt eindrucksvoll, wie schnell Angreifer sich an neue Gegebenheiten anpassen und Schwachstellen in der Unternehmenskommunikation ausnutzen. Gerade weil hybride Arbeitsmodelle und die Nutzung unterschiedlichster digitaler Kanäle weiter zunehmen, ist ein proaktiver, technologiegestützter Ansatz unverzichtbar, der zugleich auf den Menschen ausgerichtet ist. Nur wer technische Innovationen mit kontinuierlicher Schulung und klaren Prozessen verbindet, kann den steigenden Cyberrisiken durch E-Mail- und SMS-Phishing wirkungsvoll begegnen und seine Organisation langfristig schützen.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de