Betrüger erkennen: Schützen Sie Ihre Kanzlei vor Phishing-Schäden
Gefälschte Mails als solche zu identifizieren wird immer schwieriger. Wir erklären, worauf Sie jetzt achten müssen
Inhaltsverzeichnis
Phishing ist besonders tückisch, denn solche Mails sehen aus wie die von vertrauenswürdigen Absendern – es sind aber Fälschungen von Betrügern, die Sie zum unbedachten Klick verführen sollen. Wenn Sie als Steuerberater:in einem solchen Link folgen, riskieren Sie die Daten Ihrer Mandantinnen und Mandanten, finanzielle Schäden und die Reputation Ihrer Kanzlei.
Angriff aus dem Posteingang: Phishing erkennen
Vorbei sind die Zeiten, in denen Phishing-Mails sofort an holprigen Formulierungen und schiefer Formatierung zu erkennen waren: Wenn heute eine Nachricht mit betrügerischen Absichten in Ihrem Posteingang landet, sieht diese täuschend echt aus. Das ist besonders tückisch, wenn diese Aufforderungen zu Bestätigungsklicks so wirken, als kämen sie von vertrauenswürdigen Absender:innen wie Banken, Ämtern und Unternehmenslösungen wie lexoffice.
Wenn Sie unvorsichtig auf die Links oder Datei-Anhänge in diesen Fälschungen klicken, dann geben Sie persönliche Daten preis oder installieren eine Schadsoftware, die auf Ihre Systeme zugreift und Angreifern erlaubt, Mandantendaten abzurufen.
Der Begriff Phishing setzt sich zusammen aus Fishing und Phreaks. Letzteres ist die Bezeichnung für kriminelle Hacker auf der Jagd nach persönlichen Daten und Passwörtern. Phishing per Mail als kriminelle Methode ist leider so erfolgreich, weil E-Mail die eine Plattform, die von allen genutzt wird und deren Anwendung sich nicht vermeiden lässt.
Doch Sie sind den Angriffen nicht hilflos ausgesetzt, sondern können wirksame Maßnahmen gegen Phishing-Attacken ergreifen. Wenn Sie verdächtige Veränderungen feststellen – und am besten schon vorher – sollten Sie wo immer möglich die Zwei-Faktor-Authentifizierung aktivieren und umgehend Ihr Login-Passwort ändern.
Alle verfügbaren Maßnahmen inklusive gründlicher Aufklärung fürs ganze Team sollten Sie dringend ergreifen, denn auch die Sicherheit der Daten Ihrer Mandantinnen und Mandanten liegt bei Ihnen.
So kann Phishing Ihrer Kanzlei schaden
Die volkswirtschaftlichen Schäden von Cyber-Delikten, die mit gezielten Phishing-Attacken beginnen, werden in Deutschland pro Jahr mindestens auf einen zweistelligen Millionenbetrag geschätzt. (Quelle: BSI.bund.de)
Phishing-Mails angeln nach Zahlungsinformationen wie Kreditkartendaten und Bankverbindungen. Gefälschte Websites zielen darauf ab, Zugangsdaten und persönliche Informationen zu ergattern. Mit Virensoftware versuchte Datei-Anhänge infizieren Rechner mit einem Schadprogramm. Die Schäden sind meist finanziell, aber für Steuerberater:innen steht naturgemäß noch viel mehr auf dem Spiel, wenn eine Kanzlei durch Vorsichtsmangel Zugriff auf Mandantendaten gewährt.
Phishing kann jede:n und alle treffen
Die Angreifer auf Ihre Systeme ziehen sich die Kontaktdaten aus öffentlich zugänglichen Verzeichnissen. Phishing ist nicht persönlich: die Attacken sind automatisiert und das „Erfolgsrezept“ besteht darin, möglichst viele Empfänger:innen zu mangelnder Vorsicht zu verleiten.
Prüfen Sie bei jeder Mail genauestens, wer wirklich der Absender ist. Klicken Sie nicht auf auffordernde Links und öffnen Sie keine Dateianhänge, die Sie nicht persönlich angefordert haben.
Smart gegen Phishing in 5 Schritten
1. Informieren Sie sich über Phishing an sich
Wenn Sie die häufigsten Phishing-Methoden und Ziele kennen, fallen Sie nicht so schnell auf gefälschte Mails, Fake-Websites und dringliche Aufforderungen herein. Je mehr Sie über die Taktiken der „Phisher“ wissen, desto besser schützen Sie sich und Ihre Mitarbeiter:innen davor, Ihrer Kanzlei durch unvorsichtige Handlungen zu schaden.
2. Betrachten Sie Mails mit Skepsis und Vorsicht
Verdächtige Mails sind einfach zu erkennen, wenn Sie einmal wissen, worauf Sie achten sollten: Unerwartete, nicht von Ihnen angeforderte Datei-Anhänge und Links im Text, die zu Handlungen auffordern – besonders, wenn persönliche Informationen abgefragt oder bestätigt werden sollen. Prüfen Sie Absenderadressen, klicken Sie nicht auf Links.
3. Starke Passwörter und Zwei-Faktor-Authentifizierung
Aktivieren Sie immer wo vorhanden die Zwei-Faktor-Authentifizierung, um eine zusätzliche Sicherheitsebene hinzuzufügen und den Zugriff auf die eigenen Daten und die der Mandant:innen zu schützen. Sorgen Sie dafür, dass Passwörter einzigartig und stark sind und regelmäßig aktualisiert werden.
4. Den eigenen Computer fit und sicher halten
Aktualisieren Sie regelmäßig Ihren Browser, Ihr Betriebssystem und Ihr Antivirenprogramm und andere Software, um über die neuesten Sicherheitsfunktionen zu verfügen. Das sorgt dafür, dass zum Beispiel Viren in Dateianhängen sofort entdeckt werden oder so sollte es sein.
5. Wach und aufmerksam bleiben
Achten Sie darauf, ob verdächtige Aktivitäten oder Veränderungen in den Systemen stattfinden, mit denen Sie arbeiten. Wurden zum Beispiel zusätzliche, unbekannte Benutzer angelegt? Gab es Änderungen in den Belegen, Kontakten, Bankkonten? Ändern Sie sofort Ihr Login und informieren Sie den Anbieter, wenn Sie den Eindruck haben, dass ein unbefugter Zugriff stattgefunden hat.
Ziele und Methoden von Phishing-Mails
Ein Link, der Sie zu einem Bestätigungsklick auffordert – eine dringende Ermahnung, Daten zu aktualisieren, um einen Zugriff nicht zu verlieren oder ein Datei-Anhang mit einem angeblich brisanten oder wichtigen Inhalt: Phishing-Mails sehen aus wie von einer vertrauenswürdigen Quelle. Ziel und Zweck besteht aber darin, sensible Informationen wie Passwörter, Kreditkartendaten und persönliche Informationen von ahnungslosen Nutzern zu stehlen.
Sie können eine Phishing-Mail als solche entlarven, wenn Sie sich den Absender genauer anschauen und einen Link erst analysieren vor dem Klicken: Oft sind die Adressen auf den ersten prüfenden Blick als Fälschung erkennbar – aber auch beim Angeben falscher Domains werden Phishing-Kriminelle heute immer schlauer. Schauen Sie sich im Zweifelsfall auch die Firmierung und Adresse genau an. Vielleicht bestehen auch auffällige Rechtschreibfehler oder ein Wechsel der Anrede. Sind Sie sich unsicher, klicken Sie nicht, sondern fragen Sie beim vermeidlichen Absender nach!
Ein Praxisbeispiel
Weitere Informationen zum Thema Phishing
Aktuell sind vermehrt Phishing E-Mails im Umlauf, die vorgeblich im Namen von lexoffice versendet werden. Ziel dieser Fälschungen ist es, eine Schadsoftware zu installieren oder persönliche Daten preiszugeben.
Wichtig: lexoffice wurde nicht gehackt. Die Cyberkriminellen nutzen frei zugängliche Adressverzeichnisse, um Steuerkanzleien zu kontaktieren und in die Falle zu locken.
Wir empfehlen deshalb alle Nutzern des Steuerberaterzugangs dringend, die Anmeldung in zwei Schritten zu aktivieren.
Weitere Informationen zum Thema Phishing finden Sie auch in unserem Hilfebereich.
FAQ:
Was ist Phishing?
Phishing ist der kriminelle Versuch, mit täuschend echt aussehenden gefälschten Mails dafür zu sorgen, dass Sie auf einen Link klicken und Cyberkriminellen Zugriff auf Daten gewähren.
Wie gefährlich ist Phishing für Steuerkanzleien?
Phishing ist extrem gefährlich für Kanzleien, die durch unbedachte Klicks die Daten von Mandantinnen und Mandanten preisgeben könnten und enorme finanzielle Schäden sowie ihre Reputation riskieren.
Wie kann ich verhindern, Phishing-Opfer zu werden?
Folgen Sie den Tipps in unserem Artikel – und klicken Sie niemals auf Links in Mails, ohne sich das Ziel schon vorher genau anzuschauen.
Sind Sie auf eine Phishing-Mail hereingefallen?
Die Methoden der Cyberkriminellen sind leider sehr überzeugend. Wenn Sie Unregelmäßigkeiten in Ihrem lexoffice Account feststellen, wenden Sie sich bitte an verdachtsfall@lexoffice.de.
