16 min Zuletzt auktualisiert: 04.12.2023

Smishing Alarm: Wie Unternehmen sich gegen SMS-Phishing wappnen können

Was ist der treueste Begleiter des Menschen? In der heutigen Zeit ist es nicht mehr der Hund oder das geliebte Haustier, sondern das Smartphone, das man zu jeder Zeit mit sich in der Tasche herumträgt. Egal, ob es eine Textnachricht von der Familie, aus dem Verein oder ein Anruf von der Firma ist: Man ist immer erreichbar und kann über jede Form der Kommunikation mit anderen Menschen interagieren. Häufig sind die Nachrichten auf dem Handy erfreulich und es steckt nicht viel dahinter. Aber hier ist Vorsicht geboten: Die Zeiten, in denen Straftaten ausschließlich analog verübt wurden, sind vorbei. Auch BetrügerInnen und Kriminelle werden schlauer und gehen mit der Zeit. Je fortschrittlicher die Technik wird, desto leichter wird es auch für sie, Personen auf digitalem Wege zu betrügen. Eine besonders perfide Methode des Online-Betrugs stellt Smishing dar. Diese Masche kann ihre Opfer jederzeit erreichen, da sie über das Smartphone stattfindet. Häufig fühlen sich die Beteiligten im Zugzwang, da sie künstlich unter Druck gesetzt werden. Smishing ist brisant und besonders gefährlich, da es dabei oft um die Abgabe sensibler Informationen wie Bankdaten und Geld geht. Der folgende Artikel klärt über die Gefahren durch Smishing auf und wie sich Unternehmen und Privatpersonen am besten davor schützen.

Was ist Smishing?

Smishing bezeichnet Online-Betrug über SMS am Handy. Das Wort ist eine Zusammensetzung aus den Begriffen “SMS” und “Phishing”. Phishing ist eine bekannte Betrugsform, bei der betrügerische E-Mails, häufig mit Malware beladen oder infizierten Links, an NutzerInnen gesendet werden, die diese dann öffnen sollen. Smishing ist eine Unterart des Phishings und findet nach ähnlichem Konzept lediglich am Handy statt. Dabei werden Textnachrichten anstelle von E-Mails versandt. Allerdings ist Smishing noch risikoreicher als Phishing, denn je weniger Menschen die Betrugsmasche am Handy kennen, desto mehr Personen können ihr zum Opfer fallen. Durch die Vorspiegelung falscher Tatsachen, oftmals falschen AbsenderInnen, neigen Smishing-Betroffene auch eher dazu, die Textnachrichten bzw. die darin enthaltenen Links zu öffnen. Ein beliebtes Fake-Szenario ist beispielsweise das Vortäuschen einer SMS der eigenen Bank. Dabei werden sensible persönliche Informationen abgefragt oder sogar Kontodaten. Natürlich sollten sensible Daten niemals sorglos und einfach so herausgegeben werden.

Welche Motivation und welches Konzept stecken hinter Smishing?

SmisherInnen haben in erster Linie ein Ziel: Sie wollen sich durch den Betrug ihrer Opfer bereichern. Häufig über ergaunerte Daten, wie Kreditkartennummern oder aber gleich Geldbeträge, die ihnen von den Betrogenen oft bereitwillig überwiesen werden. Dabei wiegen sie sich in einer modernen Form von Sicherheit: der Distanz. Smishing ist für die Kriminellen eine sehr komfortable Betrugsform, denn meistens haben sie nie persönlichen Kontakt zu den Betrogenen, sie machen sich nicht selbst die Hände schmutzig, wie es sonst bei z. B. Diebstahl der Fall wäre und sie können meist auch unerkannt bleiben. Nachdem sie unter einer falschen Identität Kontakt aufnehmen, bleibt ihr Klarname größtenteils unbekannt und bevor sie erwischt werden, können sie in die Anonymität abtauchen.

Die Opfer sind allerdings nicht nur Privatpersonen, sondern immer häufiger auch Unternehmen. 

Um an die sensiblen Informationen zu kommen, gibt es zwei Methoden, die sich SmisherInnen zu Nutze machen: Bei der ersten Variante wird ersichtlich, wieso Smishing das Geschwisterchen von Phishing ist, denn das Vorgehen kommt so bei beiden Betrugsmaschen vor. Die Opfer werden dazu überredet, Malware herunterzuladen, die sich dann selbstständig auf dem Handy installiert. Manchmal ist diese Malware als seriöse App getarnt, die dadurch natürlich glaubwürdig erscheint. Danach geben die NutzerInnen bereitwillig die jeweiligen Daten ein und sind sich nicht im Klaren, dass diese damit direkt in die Hände der AngreiferInnen gelangen. Die zweite Smishing-Form gestaltet sich etwas zurückhaltender, ist aber ähnlich wirksam: In der gesendeten SMS befindet sich ein Link, der beim Öffnen auf eine unseriöse Webseite weiterleitet, auf der die Betroffenen dazu aufgefordert werden, Informationen einzugeben. Diese können dann von den Cyberkriminellen dazu genutzt werden, die Identität der Smishing-Opfer zu stehlen.

Wie erkennt man eine Smishing-SMS?

Im Ernstfall ist Wissen die beste Hilfe: Woran erkennen Sie eine Smishing-SMS, wenn Sie sie bekommen und was sind Anzeichen für einen Betrug?

  • Überraschung: Die Nachricht enthält Links oder Anhänge, die sie nicht erwarten.
  • Unseriöser Anschein: Anzeichen für Ungereimtheiten beachten! Sollten Telefonnummern aufgeführt sein, die nicht normal wirken wie 5000. Dahinter steckt manchmal ein E-Mail-zu-SMS-Service, der die Preisgabe der echten Telefonnummern der AngreiferInnen verhindert.
  • Dringlichkeit: Es wird von der SprecherIn künstlich Druck aufgebaut und eine Notsituation beschrieben. Meist wird um Geld gebeten.
  • Vorspiegelung falscher Tatsachen: Es wird zum Gewinn eines Preisausschreibens gratuliert, an dem man nie teilgenommen hat.
  • Identitätsdiebstahl: Die SMS kommt vermeintlich von der eigenen Bank oder einer vertrauten Marke.
  • Datenangabe: Es wird darum gebeten, sensible Daten über einen Link oder eine Telefonnummer anzugeben, manchmal nur zum „Abgleich“. Hier ist Vorsicht geboten, es sollte immer hinterfragt werden, ob es wirklich nötig ist, die Daten herauszugeben!

Natürlich kann es sich dabei auch um normale Nachrichten und nicht zwingend um eine Smishing-SMS handeln, dennoch sollten Sie erst einmal die Seriosität der AbsenderInnen prüfen, bevor Sie antworten, Dinge herunterladen, auf Links klicken oder sogar etwaige Daten übermitteln.

Welche Risiken bestehen für Unternehmen?

Nachdem in der heutigen Zeit viele Menschen eigene technische Endgeräte besitzen, die häufig nicht nur für Privates, sondern auch für berufliche Belange genutzt werden, geht genau damit auch ein Risiko für Unternehmen einher. Gerade das Phänomen des BYOD (Bring Your Own Device) ist in den letzten Jahren zunehmend zu beobachten, sodass Personen ihre Privatgeräte vermehrt für die Arbeit nutzen. Dadurch wird das Verbraucherrisiko auch immer mehr zum Betriebsrisiko. Gerade wenn Privatleben und Job verschmelzen, ist die Gefahr für Datenklau hoch: Nicht selten kommt es vor, dass Apps downgeloadet werden, die nicht aus seriöser Quelle stammen, Spionagecharakter haben oder aber noch schlimmer, zu Malware zählen. Das kann unbeabsichtigt passieren, erst recht, wenn Privatgeräte für berufliche Angelegenheiten verwendet werden, die sonst diverse Schutzmaßnahmen integriert hätten. Eine Drittanbietersperre zum Beispiel.

Allerdings kann auch Unwissenheit der Angestellten eine Gefahr sein: Indem sie das Risiko von Smishing nicht kennen oder aber auch für Vishing anfällig sind. Diese Betrugsmasche – Smishing am Telefon quasi – ist als extra Gefahr für Unternehmen zu werten, denn durch direkte Kommunikation zwischen Betrieb und BetrügerInnen wird das Risiko von Manipulation erhöht. Durch künstlich aufgebauten Druck oder aber Vortäuschung falscher Tatsachen, zum Beispiel dem Ausgeben als KollegIn, werden häufig wichtige Daten erbeutet, die keinesfalls in die Hände von Kriminellen gelangen sollten.

Wie können Unternehmen sich vor Smishing schützen?

Nachdem die Risiken nun bekannt sind, ist der nächste logische Schritt natürlich die Prävention: Wie schützen sich Unternehmen effektiv vor Attacken durch Smishing? Auch hier gibt es (digitale) Mittel und Wege, die UnternehmerInnen nutzen sollten, um ihren Betrieb für Spam zu sensibilisieren und vor Betrugsversuchen zu schützen:

BYOD-Richtlinien und Einschränkungen klar definieren

Eben noch in der Theorie, im nächsten Moment auf dem Smartphone: Der Smishing-Vorfall ist schneller da, als man denkt. Dabei ist die erste und beste Schutzmaßnahme für Unternehmen vorbereitet zu sein und einen bereits definierten Leitfaden für Smishing im Ernstfall zu haben. Natürlich muss dieser – sollte er noch nicht vorhanden sein – erstmal definiert und zu Papier gebracht werden. Es sollte auch ein Notfallplan für den Fall sein, dass die Betrugsmasche auf einem Firmengerät erfolgreich war. Genau dann ist die Gefahr von Datenklau akut. Zudem sollte er Erwartungen und Regeln festlegen, die alle Angestellten im Umgang mit BYOD-Geräten zu befolgen haben. Darin kann individuell alles aufgeführt werden, das für das jeweilige Unternehmen wichtig ist, allerdings sollten auch alle im täglichen Arbeitsgebrauch wichtigen Punkte behandelt werden, wie App-Nutzung oder aber die Erkennung und der Umgang der Belegschaft mit Cyberbedrohungen.

Mitarbeitende schulen und sensibilisieren

Die Schulung und Sensibilisierung der Belegschaft in Sachen Smishing spielt eine entscheidende Rolle, um Ihr Unternehmen vor unerwünschten Sicherheitsverletzungen zu bewahren. Mitarbeitende, die über die Tricks und Tücken von Smishing bestens informiert sind, werden zu wachsamen WächterInnen, die geschickt Bedrohungen abwehren und dadurch verhindern, dass wertvolle Daten oder finanzielle Mittel in Gefahr geraten. Doch Smishing Schulungen tragen nicht nur zum Schutz bei, sondern kultivieren auch ein Sicherheitsbewusstsein innerhalb Ihres Unternehmens. In einer Ära, in der die Grenzen zwischen beruflichem und privatem Gebrauch von Mobilgeräten zunehmend verschwimmen, ist dies unerlässlich. Mit der rasanten Evolution von Betrugstechniken wird es immer wichtiger, dass die Belegschaft kontinuierlich über die neuesten Bedrohungen und entsprechende Gegenmaßnahmen auf dem Laufenden gehalten wird. 

An dieser Stelle ist es auch wichtig, den Spezialfall des Vishings zu erwähnen. Hierbei handelt es sich um Smishing, allerdings nur am Telefon. Diese Masche setzt da an, wo Smishing und Phishing an ihre Grenzen kommen, denn durch direkte Kommunikation sind die Betroffenen noch einmal anders zu beeinflussen. Die Opfer werden so mündlich zur Angabe ihrer sensiblen Informationen aufgefordert, zum Beispiel wird hier häufig der vermeintliche Grund angeführt, dass ein Datenabgleich durchgeführt werden müsse. Die Cyberkriminellen verstecken sich in der Regel hinter einer falschen Identität und üben auch gerne Druck auf die Angerufenen aus in der Hoffnung, das diese unvorsichtig werden und rasch die geforderten Informationen nennen, indem sie beispielsweise mit einem fiktiven Zeitfenster drohen.

Zugriffskontrolle nutzen

Gerade Unternehmen sollten sich durch Zugriffskontrollen auf ihren Systemen schützen. Das kann auf verschiedene Arten passieren. Zum einen sind Drittanbietersperren ein probates Mittel, um das Risiko von Smishing zu minimieren. Dabei werden Zahlungen an Dritte über die Mobilfunkrechnung verhindert. Diese Funktion lässt sich über den jeweiligen Mobilfunkanbieter aktivieren. Zudem stellt MDM (Mobile-Device-Management) eine gute Lösung dar: Hier werden Verletzungen gegen das System vordefiniert und dann Prozesse bei Feststellung einer solchen Verletzung automatisch in Gang gesetzt. Die Schutzmechanismen können bei Rooting-Erkennung, unerwünschten App-Installationen oder -Deinstallationen oder aber der Deaktivierung von Geräteadministratoren ausgelöst werden. Folgende Automatisierungen können eingerichtet werden:

  • komplette Gerätesperrung
  • Benachrichtigung via E-Mail
  • Ausführung einer vom Unternehmen definierten Richtlinie

Über ein MDM lässt sich Kontrolle auf die Installation von Apps ausüben, das heißt, der App-Katalog könnte beispielsweise auf Geschäftsgeräten nur auf Apps beschränkt werden, die auch von den ArbeitgeberInnen akzeptiert werden. Das MDM funktioniert auch auf Distanz, wenn z. B. ein Gerät bereits infiziert ist, kann auch auf die Entfernung ein vollständiger Werksreset durchgeführt werden.

Ebenso gibt es bei einigen Smartphones Besonderheiten: Speziell bei Geräten von Samsung lassen sich Regeln für die Firewall implementieren, sodass einzelne IPs, deren Bereiche oder Domänennamen gesondert gesperrt oder zugelassen werden können. Handys mit iOS-Betriebssystem sind in der Lage, bestimmte Inhalte oder Webseiten mit einem individuellen Inhaltsfilter zu blockieren. Bei Android-Geräten kann derselbe Effekt durch eine benutzerdefinierte Browserkonfiguration erreicht werden.

Betroffene über Smishing-Attacken informieren

Obwohl ein Smishing-Vorfall zunächst als peinlich empfunden werden kann, ist es ein Fehler, Stillschweigen darüber zu bewahren. Transparenz ist im Ernstfall das A und O, denn wenn niemand Bescheid weiß, kann nur schwer geholfen werden. Das gilt für alle Kräfte, die in einem Unternehmen zusammenarbeiten: ArbeitgeberInnen, Belegschaft und KlientInnen. Vollumfängliche Transparenz sollte die Regel sein. 

Sollte das Unternehmen also von einer Smishing-Attacke betroffen sein, sollten Angestellte und KlientInnen rasch informiert werden, um Datenschutzverletzungen und dadurch entstehende Schäden für den Betrieb zu verhindern. Gerade diese Situation bietet die Gelegenheit, noch einmal auf die Unternehmensrichtlinien hinzuweisen, die die Abfrage von Kontoinformationen und die erlaubten Kommunikationsmethoden behandeln. Sollte akuter Gesprächsbedarf bestehen, sollte dafür Raum geschaffen werden. Das hat positive Einflüsse auf die Glaubwürdigkeit in einer solchen Situation.

Smishing-SMS geöffnet: Hilfe im Ernstfall

Ist die Smishing-Nachricht erst einmal geöffnet, gilt es, Ruhe zu bewahren. Egal, ob im Unternehmen oder privat, sollten Sie auf Smishing BetrügerInnen hereingefallen sein, dann wird geraten systematisch folgende Schritte zu beherzigen

  • Gerät vom Internet trennen: Nehmen Sie das betroffene Endgerät vom Netz. Damit soll unterbunden werden, dass sich die Schadsoftware, sobald sie heruntergeladen wurde, noch weiter im System verbreitet.
  • Information: Der Netzbetreiber und ggf. ArbeitgeberIn müssen vom Vorfall in Kenntnis gesetzt werden. Infolgedessen wird wahrscheinlich eine Drittanbietersperre eingerichtet werden, sollte sie nicht schon vorhanden sein.
  • Kontoaktivität überprüfen: Überprüfen Sie die betroffenen Konten auf unseriöse Transaktionen oder Aktivitäten. Sollten z. B. ungewöhnliche Abbuchungen auffallen, verständigen Sie sofort die Bank. Es lohnt sich, über längere Zeit ein Auge darauf zu haben.
  • Polizei einschalten: Bei jedem Betrugsversuch sollte die Polizei informiert werden. Nehmen Sie in diesem Fall das betroffene Handy mit, dann kann es als Beweismittel dienen. Angeraten ist es immer, den Fall zur Anzeige zu bringen.

Sollte Malware auf das Endgerät gelangen, dann besteht die einzige Möglichkeit, die Schadsoftware zu entfernen, darin, es wieder auf die Werkseinstellungen zurückzusetzen. Das hat allerdings das Löschen aller bisher gespeicherten Daten, wie Bilder etc., zur Folge.

Fazit

Smishing ist als Form des Phishings auf dem Smartphone leider noch recht unbekannt, zumindest sind sich die meisten Menschen der Gefahr nicht bewusst, obwohl die Betrugsversuche per Handy seit Jahren zunehmen. Das ist ein großes Problem.

Sowohl für Unternehmen, als auch Privatpersonen ist Smishing ein großes Risiko, denn es geht um die Bereicherung durch Datenklau und Geldgewinnung. Dabei gehen die BetrügerInnen abgebrüht vor und machen selbst vor Identitätsklau keinen Halt, um an ihre Beute zu kommen. Sobald die Opfer schadhafte Software auf ihr Smartphone downgeloadet oder aber sensible Informationen an die Cyberkriminellen weitergeleitet haben, geben sie im wahrsten Sinne des Wortes den Schlüssel für Bank- oder aber Onlinekonten ab. In diesem Fall können zwar durch Vorsorge gewisse Schutzmaßnahmen ergriffen werden, schlussendlich enden die meisten Fälle allerdings bei der Polizei. Sobald eine Nachricht smishing-verdächtig ist, also überraschend kommt oder aber Anhänge oder Links enthält, die untypisch erscheinen, sollte unbedingt die Identität der Person auf Authentizität überprüft werden, die die SMS gesendet hat. Hier ist oberste Vorsicht geboten. Sonst sollte Sicherheit allerdings auch maßgebend sein: Die besten Schutzmaßnahmen für Unternehmen sind die Erstellung eines Notfallplans und die Definition klarer BYOD-Richtlinien, die Aufklärung und Schulung der Belegschaft, sodass es am besten gar nicht erst zu Smishing-Vorfallen kommt, die Nutzung von Zugriffskontrollen auf Firmengeräte und generelle Transparenz im Falle einer Attacke gegenüber Belegschaft, KlientInnen, dem Netzbetreiber, etc. Sollte tatsächlich ein Gerät von Smishing betroffen sein, hilft in manchen Fällen nur ein Zurücksetzen auf die Werkseinstellungen, was allerdings den Verlust aller bisher gespeicherten Daten, wie Fotos, Bilder und Dokumente hat. In jedem Fall aber sollte ein solcher Angriff zur Anzeige gebracht werden.

E-Learning für mehr IT-Sicherheit im Unternehmen

Stellen Sie sich vor, es ist Cybersecurity Schulung und alle wollen hin. Unser E-Learning macht’s möglich. Die innovative Methodik mit spannendem und praxisnahem Storytelling, einer vielfältigen Designwelt, adaptivem Lernen und Barrierefreiheit schafft bei Ihren Mitarbeitenden ein nachhaltiges Bewusstsein für die IT-Sicherheit Ihres Unternehmens.

Unsere Auszeichnungen

Unsere Partner


lawpilots GmbH
Am Hamburger Bahnhof 3
10557 Berlin
Deutschland

+49 (0)30 22 18 22 80 kontakt@lawpilots.com
lawpilots GmbH hat 4.6359700520833 von 5 Sternen 2560 Bewertungen auf ProvenExpert.com