Neu ist die Masche nicht, sie flammt aber immer wieder neu auf: Cyberkriminelle versenden im Namen der Industrie- und Handelskammer Phishing-E-Mails an Unternehmen und wollen darüber Daten abgreifen.
Wir erklären, was es mit dem IHK-Phishing auf sich hat und worauf Unternehmen achten müssen, wenn sie eine Phishing-Mail erhalten.
IHK-Phishing: kein neues Problem
Phishing ist schon seit geraumer Zeit eine sehr beliebte Methode, mit der Cyberkriminelle versuchen, an sensible Unternehmensdaten zu gelangen. Indem sich die Betrüger beispielsweise in E-Mails als vertrauenswürdige Organisationen ausgeben, versuchen sie, an wertvolle Informationen wie Kontodaten, persönliche Daten der Mitarbeiter oder Zugangsdaten zu Unternehmensnetzwerken zu kommen.
Auch die Industrie- und Handelskammer (IHK) kann von derartigen Phishing-Kampagnen ein Liedchen singen – und zwar eines mit inzwischen zahlreichen Strophen. Denn: In der Vergangenheit haben Cyberkriminelle immer wieder Phishing-Kampagnen im Namen der IHK ans Laufen gebracht und gezielt Unternehmen mit scheinbar offiziellen Anfragen kontaktiert. Für den Erfolg derartiger Kampagne verlassen sich die Angreifer auf die Reputation der IHK: Sie versuchen, unter dem Deckmantel der IHK Vertrauen zu erwecken und Empfänger dazu zu animieren, auf schädliche Links zu klicken oder Online-Formulare auszufüllen.
Trotz der Bemühungen der „echten“ IHK, über diese Phishing-Versuche aufzuklären, tauchen immer wieder neue Varianten auf – vermutlich angestachelt durch den Erfolg früherer Aktionen. So kommt es, dass immer wieder neue IHK-Phishing-Wellen die Sicherheit von Unternehmen bedrohen.
Cyberkriminelle attackieren aktuell Unternehmen in ganz Deutschland mit einer IHK-Phishing-Kampagne. Bild: Pexels/Mikhail Nilov
Phishing-Welle im Namen der IHK im März 2024
Dass Unternehmen Phishing-E-Mails im Namen der IHK erhalten, ist also kein neues Phänomen. Beim Aufhänger zeigen sich die Angreifer dagegen jedes Mal aufs Neue kreativ. Im März 2024 standen die Phishing-Mails unter dem Betreff „Industrie- und Handelskammer | Aktualisierung der Unternehmensdaten“ (oder: „Deutsche Industrie und Handelskammer Daten Aktualisierung“) und lieferten eine durchaus plausibel klingende Begründung für das Anschreiben: Angeblich habe die IHK auf Grundlage der Datenschutz-Grundverordnung (DSGVO) Änderungen an der eigenen Datenschutzrichtlinie vorgenommen; die Mitgliedsunternehmen sollen bis zum Tag X ihre Kontaktdaten überprüfen und gegebenenfalls aktualisieren. Wie? Über einen Link, der zu einer Webseite mit Online-Formular führt.
Die Absender der E-Mails, die von der Adresse d-ihk@firmenaktualisierung.com versendet werden, griffen bei dieser Phishing-Kampagne auf die üblichen Instrumente zurück: Sie arbeiteten mit einer qualitativ hochwertigen Aufmachung der E-Mail und des Webseiten-Formulars, inklusive dem offiziellen IHK-Logo; sie imitierten den Schreibstil der IHK sehr überzeugend und täuschten mit einer optisch ziemlich perfekten Kopie der IHK-Webseite; und sie setzten die Empfänger durch die angebliche Dringlichkeit zu handeln unter Druck.
Vor diesem Hintergrund war die Gefahr groß, dass Unternehmen auf den Betrug hereinfielen und tatsächlich sensible Angaben machten. Vielleicht eine gute Nachricht: Dafür, dass auch Malware im Spiel gewesen sein könnte, gibt es bislang keine Hinweise. Tatsache ist: Die Kampagne im Frühjahr 2024 war weder die erste noch die letzte ihrer Art…
November 2024: wieder IHK-Phishing
Ein neuerlicher Fall von IHK-Phishing macht im November 2024 die Runde – dieses Mal warnt die IHK Südthüringen vor der Betrugsmasche. Gefälschte E-Mails fordern Unternehmen dazu auf, ihre Daten im Handelsregister der IHK zu überprüfen und innerhalb von drei Werktagen zu aktualisieren. Die Drohkulisse ist alarmierend: Wer nicht reagiert, müsse mit ernsthaften Konsequenzen rechnen – darunter die Meldung beim Finanzamt, die Deaktivierung der Unternehmensnummer und sogar die Löschung aus dem Handelsregister.
Die IHK Südthüringen stellt klar: Diese E-Mails stammen nicht von ihr, und Unternehmen sollten keinesfalls darauf antworten und dabei Firmendaten preisgeben. Stattdessen rät die Kammer dazu, die Nachrichten sofort zu löschen, da die Links mutmaßlich Schadsoftware verbreiten oder für Datendiebstahl genutzt werden könnten. Wer sich dennoch unsicher ist, kann sich direkt an die IHK Südthüringen wenden (Ansprechpartner: Holger Fischer, fischer@suhl.ihk.de).
Darum ist das IHK-Phishing gefährlich
Eine Gefahr liegt bei den IHK-Betrugsversuchen daran, dass die Kampagnen oft extrem großflächig angelegt sind und Unternehmen in ganz Deutschland adressieren, teilweise sind sie aber auch regional begrenzt. Die Rechnung der Angreifer ist denkbar einfach: Je mehr Unternehmen Phishing-Mails erhalten, desto mehr Opfer könnten darauf hereinfallen. Bei der Kampagne im März 2024 beispielsweise haben neben der Dachorganisation Deutsche Industrie- und Handelskammer (DIHK) auch zahlreiche Kammern aus dem gesamten Bundesgebiet Warnungen herausgegeben. Die November-Kampagne dagegen war – so scheint es – auf Südthüringen.
Eine weitere Gefahr liegt bei vielen IHK-Phishing-Maschen einerseits in den immer wieder Aufhängern und neuen Drohszenarien, andererseits in der Art der abgefragten Daten, darunter häufig die Anschrift, die Rufnummer des Unternehmens sowie Kontoinformationen (IBAN). Mit derlei Daten könnten Cyberkriminelle beispielsweise gefälschte Rechnungen erstellen und unberechtigte Geldtransfers veranlassen. Auch für Social-Engineering-Attacken könnten die Daten weiterverwendet werden.
Darüber, ob die Attacken aus Sicht der Cyberkriminellen bereits Erfolg gezeigt haben, ist aktuell nichts bekannt. Allerdings dürfte es auch schwierig sein nachzuweisen, ob beispielsweise Social-Engineering-Attacken auf Daten aus dem IHK-Phishing zurückzuführen sind.
So kann das Webseiten-Formular beim IHK-Phishing aussehen. Bild: IHK Wiesbaden
So schützen Sie sich vor dem IHK-Phishing
Ein gezieltes Blockieren dieser Art von Phishing-E-Mails seitens der IHKs ist technisch nicht möglich. Daher ruft die IHK Unternehmen zu besonderer Wachsamkeit auf. Mit den folgenden Vorsichtsmaßnahmen können sich Unternehmen vor IHK-Phishing-Kampagnen schützen:
- Sensibilisieren Sie Mitarbeiter für Phishing!
Die Schulung der Security Awareness ist elementar. Mitarbeiter sollten etwa gezielt daraufhin hingewiesen werden, keine Links oder Anhänge in verdächtigen E-Mails anzuklicken und keine sensiblen Informationen über ungesicherte Webseiten einzugeben. Sinnvoll ist auch ein Hinweis darauf, Absenderadressen immer sorgfältig zu prüfen und bei Unsicherheiten direkten Kontakt zu den angeblichen Absendern von verdächtigen E-Mails aufzunehmen – und zwar nicht per E-Mail, sondern am besten per Telefon. - Erstellen Sie klare Richtlinien!
Unternehmen sollten mit Hilfe von Richtlinien unter anderem den Umgang mit personenbezogenen und unternehmenskritischen Daten festlegen, um die Mitarbeiter für den sorgfältigen Umgang mit solchen Informationen zu sensibilisieren. - Behalten Sie Warnmeldungen im Blick und informieren Sie Ihre Mitarbeiter!
Sie sollten unbedingt Meldungen aus den Medien und der IT-Welt im Blick behalten, um über derartige Phishing-Kampagnen informiert und dafür sensibilisiert zu sein. Der aktuelle Wissensstand sollte im zweiten Schritt auch an die Belegschaft weitergegeben werden. Denn: Dass Mitarbeiter allgemein für die Gefahr von Phishing sensibilisiert sind, ist grundsätzlich wichtig. Aber auch aktuelle Maschen sollten die Mitarbeiter kennen. Sie könnten beispielsweise den Link zu diesem Beitrag unternehmensweit teilen, sodass alle Mitarbeiter gewarnt sind. - Kontaktieren Sie die IHK direkt!
Sie haben ebenfalls eine verdächtige E-Mail im Namen der IHK erhalten? Dann sollten Sie über offizielle Kontakte bei der IHK nachfragen, ob die Anfrage legitim ist, anstatt über die in der E-Mail bereitgestellten Links zu kommunizieren. - Sichern Sie Ihr Unternehmen technisch ab!
Auch technische Schutzmaßnahmen wie Spamfilter und regelmäßige Sicherheitsupdates für E-Mail-Systeme und Webbrowser können dabei helfen, das Risiko eines erfolgreichen Phishing-Angriffs zu verringern.
Sofern Sie diese Tipps umsetzen, ist schon viel gewonnen. Das oberste Gebot ist und bleibt: Sie und Ihre Mitarbeiter sollten gegenüber Cybergefahren stets wachsam sein!
Wie IT-Experten unterstützen können
Sie haben das Gefühl, dass in Ihrem Unternehmen in Sachen Cybersecurity und Security Awareness noch Luft nach oben ist? Dann greifen Sie am besten auf die Unterstützung von spezialisierten IT-Experten zurück, um Ihr Unternehmen vor Phishing-Angriffen und weiteren Gefahren zu schützen!
Die Experten aus dem IT-SERVICE.NETWORK beispielsweise bieten maßgeschneiderte Lösungen, um die IT-Sicherheit von Unternehmen zu stärken und gegen die neuesten Phishing-Taktiken zu wappnen. Sie unterstützen nicht nur bei der Implementierung effektiver Spamfilter und Sicherheitssoftware, sondern schulen Mitarbeiter auch in der Erkennung von Phishing-Mails und dem sicheren Umgang mit Unternehmensdaten. Durch regelmäßige Sicherheitsaudits und die Überwachung der IT-Infrastruktur helfen sie, potenzielle Schwachstellen frühzeitig zu finden und zu beheben.
Das hört sich alles vielversprechend an? Dann nutzen Sie die Zusammenarbeit mit unseren IT-Experten, um Ihre Resilienz gegenüber Cyberangriffen zu erhöhen und Ihr Unternehmen so sicher wie möglich aufzustellen!
Weiterführende Informationen:
DIHK, IHK Aachen, IHK Wiesbaden, Golem, IHK Südthüringen
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.
Geschrieben von
Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung