Phishing-Quiz: Mein Wettlauf gegen die Zeit

Ich habe versagt! Die Spielrunde verloren. Dabei klang die Herausforderung doch einfach: Innerhalb von 30 Sekunden soll ich Mails prüfen und entscheiden, ob es eine echte Nachricht oder eine Phishing-Mail ist. Die Aufgabenstellung: „Bewege den Mauszeiger über den Namen des Absenders, um die vollständige E-Mail-Adresse zu sehen. Finde heraus, ob die E-Mail-Adresse SICHER oder UNSICHER ist.“ Aber am Ende war ich nicht schnell genug und habe falsche Entscheidungen getroffen.

Also versuche ich es ein zweites Mal. Und jetzt gelingt es mir, sichere von unsicheren Mails zu unterscheiden. Dabei steckt der Teufel im Detail. Aber genau das machen sich kriminelle Hacker zunutze. Sie ersetzen ein „m“ durch „rn“ und so wird aus dem sicheren @amazon.com @arnazon.com. Oder ein „o“ wird mit einer „0“ getauscht. Dann heißt es plötzlich faceb00k.com anstatt facebook.com. Wer jetzt einen Moment unkonzentriert ist oder nur flüchtig auf die E-Mail des Absenders schaut, befindet sich in Gefahr.

Jede und jeder kennt das: Unerwünschte Nachrichten fluten unseren digitalen Briefkasten und halten uns von der Arbeit ab. Gerade nach der Rückkehr aus dem Urlaub oder Dienstreisen finden wir immer unzählige digitalen Nachrichten. Zwar entdecken gute Firewalls und Filter schon zahlreiche Spam-Mails und löschen diese, aber immer noch schaffen es viele Nachrichten in die Mailbox. Rund ein Drittel dieser unerwünschten E-Mails sind alles andere als harmlos. Bei ihnen handelt es sich nach Untersuchungen des Bundesamtes für Sicherheit in der Informationstechnik um Phishing. 

Viele Menschen fühlen sich von einem vollen Briefkasten unter Druck gesetzt. Kurz vor dem verdienten Feierabend oder direkt nach dem Urlaub wühlen sie sich schnell durch die digitale Post. Ein flüchtiger Blick auf den Absender und ein schneller Klick auf einen Link öffnen Cyberkriminellen immer wieder das Tor zum Netzwerk. Genau aus diesem Grund ist es wichtig, sich selbst oder seine Angestellten im Umgang mit Phishing-Mails zu trainieren. Sei es durch eine Phishing-Simulation, ein Security Awareness Training oder ein Phishing-Quiz. Hier lernen Mitarbeitende, wie sie sich vor gefälschten Absenderangaben und falschen Links schützen können. Da die Uhr dabei tickt, ist schnelles Handeln gefragt.

Weiter geht es mit dem interaktiven Phishing Game und Level 2. Hier muss ich entscheiden, ob ein Link sicher oder unsicher ist – und der Zeitdruck ist wieder groß. Zeit zum Nachdenken habe ich kaum. Nach einer kurzen Einweisung mit Tipps, wie ich gefälschte E-Mails am Absender oder am Link erkenne, lege ich los. Der Schwierigkeitsgrad ist höher, denn die Links sind lang und kompliziert. Aber trotzdem schaffe ich die Aufgabe direkt im ersten Versuch. Mit Ablauf der 30 Sekunden lande ich meinen sechsten richtigen Treffer. Und neben den Glückwünschen zum bestandenen Level werden die Hinweise wiederholt, worauf ich bei Links achten soll. Um künftig sichere von unsicheren Links zu unterscheiden.

Seit 30 Jahren nutzen Cyberkriminelle Phishing – trotz aller Sicherheitsmaßnahmen. E-Mail-Adressen im Darknet sind deutlich günstiger als ein Zero-Day-Exploit. Hinzu kommt: In letzter Zeit hat sich die Qualität der Phishing-Mails verbessert – mithilfe von Künstlicher Intelligenz produzieren die Täter Nachrichten ohne Rechtschreibfehler. Auf den ersten Blick ist eine Fake-Nachricht nicht mehr zu erkennen. Außerdem werden sie längst nicht mehr im Namen von angeblichen Prinzen, Diplomaten oder Geschäftsleuten verschickt, sondern sehen aus wie ganz normale Geschäftspost. Natürlich landen immer noch viele Massenmails mit vermeintlichen Spenden oder Geldgeschenken in den Postfächern, aber die Gefahr durch gezielte Angriffe hat zugenommen. Solche sogenannten Spear-Phishing-Mails sind von echten Nachrichten kaum zu unterscheiden.

Das Öffnen einer E-Mail passiert heute schon fast automatisch. Schließlich wollen wir die Nachricht lesen und entscheiden erst dann, ob der Inhalt für uns relevant ist oder nicht. Dabei setzen Betrüger gezielt menschliche Trigger ein wie etwa Gier, Neugier, Angst, Druck, Pflichtgefühl, Hilfsbereitschaft und Gewohnheit. Sie zielen mit ihren Attacken auf Gefühle und lösen verschiedene Denk- und Handlungsmuster aus, die wir Menschen im Laufe der Evolution erlernt haben. Ein typisches Beispiel: Gier. 

Wer hatte nicht schon eine E-Mail in seinem Postfach, die einen Geldgewinn oder eine Erbschaft in Millionenhöhe versprach? Druck erzeugen sie, indem sie ihre Opfer auffordern, innerhalb eines knappen Zeitfensters einen Link anzuklicken, um die Zugangsdaten für den Online-Banking-Account zu bestätigen.

Jetzt will ich es wissen und starte Level 3. Der Schwierigkeitsgrad ist wieder höher, denn ich muss Link oder Absender prüfen. Zum Bestehen benötige ich sieben richtige Treffer. Also habe ich nur drei Sekunden pro Mail. Und darf mir keinen Fehler erlauben. Aber bei der dritten Mail passiert es dann. Was auf den ersten flüchtigen Blick wie eine falsche Nachricht wirkt, ist echt. So sehr ich mich auch bemühe, falle ich dieses Mal durch.

Aber ans Aufgeben denke ich nicht und starte den zweiten Versuch. Die Zeit sitzt mir im Nacken, aber ich merke, dass ich das Gelernte anwenden kann. So schaffe ich es zwei Sekunden vor dem Ende, mein Ziel zu erreichen. Ich habe Level drei bestanden. Ein gutes Gefühl macht sich breit.

Übrigens: Wer glaubt, dass er das Phishing Quiz ausschließlich mit Trial and Error, also zufälligen Ausprobieren, bestehen kann, liegt falsch. Mal folgen vier echte Mails aufeinander und mal enthält der Test nur Phishing-Mails. Da hilft nur hinschauen und schnell entscheiden.

In Zeiten, in den Phishing-Nachrichten immer besser werden und schwerer zu erkennen sind, braucht es einen genauen Blick. Sonst fallen auch Fachleute auf die Angriffsversuch rein und klicken einen gefährlichen Link an. Das Phishing-Quiz ist eine einfache Möglichkeit, seine Awareness in dem Bereich zu verbessen oder aufzufrischen. Hier wird man spielerisch mit dem Thema konfrontiert und so sensibilisiert. Mein Fazit: Es macht Spaß.

• Überprüfe den Absendernamen & die E-Mail-Adresse.
• Achte auf Schreibfehler & verdächtige Domains.
• Sei vorsichtig bei Links & Anhängen.
• Prüfe die E-Mail-Sprache: Ist sie untypisch oder drängend?
• Nutze eine Phishing-Simulation, um dein Wissen zu testen.