Blog

E-Mail-Identitätsdiebstahl: Bedeutung, Beispiele und Prävention

Entprellung
Artikel
24 min gelesen
Themen

Teile diesen Artikel

URL kopieren

Wichtige Erkenntnisse

  • E-Mail-Imitation liegt vor, wenn ein Angreifer Nachrichten versendet, die scheinbar von einer vertrauenswürdigen Person oder Organisation stammen, ohne das echte Konto hacken zu müssen.
  • Die drei häufigsten Methoden der E-Mail-Identitätsfälschung sind das Fälschen von Anzeigenamen, die Verwendung von ähnlich aussehenden Domains und die Kompromittierung von Konten.
  • CEO-Betrug, Betrug mit Lieferantenrechnungen und gefälschte Kundendienst-E-Mails sind die Angriffsarten, die Unternehmen den größten finanziellen und reputationsbezogenen Schaden zufügen.
  • Bei der Verhinderung von E-Mail-Imitationsangriffen sind Mitarbeiterschulungen und interne Verifizierungsprozesse genauso wichtig wie technische Kontrollmaßnahmen.

Im Posteingang Ihres Finanzmanagers landet eine E-Mail: Sie stammt vom CEO und bittet um eine dringende Überweisung. Der Name des Absenders stimmt, und der Tonfall wirkt seriös. Das Problem: Der CEO hat die E-Mail nie gesendet.

Hierbei handelt es sich um E-Mail-Imitation, eine der häufigsten und kostspieligsten Formen der Cyberkriminalität, die heutzutage Unternehmen ins Visier nimmt. Anders als Schadsoftware oder komplexe Hacking-Angriffe basieren Imitationsangriffe nicht auf ausgefeilten technischen Tricks. Oft genügt ein glaubwürdiger Absendername und ein vielbeschäftigter Empfänger, der keine Zeit hat, die Angaben zu überprüfen. E-Mail-Spam-Statistiken zeigen, dass ein erheblicher Anteil des bösartigen E-Mail-Verkehrs irgendeine Form von Identitätsbetrug beinhaltet, was dies zu einem Risiko macht, das jedes Unternehmen verstehen und gegen das es sich aktiv verteidigen muss.

Dieser Leitfaden erklärt, wie E-Mail-Imitationsangriffe funktionieren, wie sie in realen Situationen typischerweise aussehen und welche praktischen Schritte Unternehmen unternehmen können, um sie zu verhindern.

Was ist E-Mail-Identitätsdiebstahl?

E-Mail-Imitation bezeichnet das Versenden von E-Mails, die fälschlicherweise den Anschein erwecken, von einem vertrauenswürdigen Absender wie einem Kollegen, einer Führungskraft, einem Lieferanten oder einer bekannten Marke zu stammen, mit der Absicht, den Empfänger zu einer schädlichen Handlung zu verleiten. Diese Handlung kann beispielsweise die Überweisung von Geld, die Weitergabe von Zugangsdaten, das Anklicken eines schädlichen Links oder die Preisgabe sensibler Informationen sein.

Was Identitätsdiebstahl von gewöhnlichem Spam unterscheidet, ist die gezielte Vorgehensweise. Identitätsdiebstahl-Angriffe zielen darauf ab, bestehende Beziehungen oder Vertrauensverhältnisse auszunutzen. Der Angreifer versucht nicht, etwas zu verkaufen, sondern sich als jemand anderes auszugeben.

Entscheidend ist, dass Angreifer für E-Mail-Imitation keinen Zugriff auf das Konto des echten Absenders benötigen. In den meisten Fällen erwecken sie lediglich den Anschein von Legitimität mithilfe technischer Tricks oder Social Engineering. Genau das macht diese Masche für Angreifer so einfach und für Organisationen jeder Größe so gefährlich.

Wie E-Mail-Imitation funktioniert

Angreifer nutzen drei Hauptmethoden, um den Anschein zu erwecken, ihre E-Mails kämen von jemand anderem.

Wie E-Mail-Identitätsdiebstahl funktioniert

Fälschung des Anzeigenamens

E-Mail-Clients wie Outlook und Gmail zeigen den Absendernamen prominent an, während die eigentliche E-Mail-Adresse oft verborgen bleibt und erst nach dem Anklicken durch den Empfänger sichtbar wird. Angreifer nutzen dies aus, indem sie ihren Absendernamen auf „John Smith, CEO“ setzen und von einer völlig anderen Adresse senden. [E-Mail geschützt] Viele Empfänger überprüfen nie die Adresse hinter dem Namen.

Verwendung von ähnlichen oder gefälschten Domains

Eine ausgefeiltere Taktik besteht darin, eine Domain zu registrieren, die der echten Domain eines Unternehmens zum Verwechseln ähnlich sieht. Nutzt Ihr Unternehmen beispielsweise acmecorp.com, könnte ein Angreifer eine Domain wie acme-corp.com, acmecorp.net oder acrnecorp.com registrieren, bei der lediglich ein einzelnes Zeichen leicht verändert wird.

Auf den ersten Blick wirken diese Adressen legitim. Da die Domain selbst existiert und E-Mails normal versenden kann, bestehen Nachrichten von ihr oft die grundlegenden Absenderprüfungen. Dadurch ist der Angriff schwerer zu erkennen als einfaches Spoofing des Anzeigenamens. Die Technik ist eng verwandt mit E-Mail-SpoofingDie beiden Begriffe werden oft zusammen verwendet.

Kompromittierung eines echten Kontos

Wenn ein Angreifer durch Phishing, Zugangsdatendiebstahl oder einen Datenverlust Zugriff auf ein echtes E-Mail-Konto erlangt, kann er Nachrichten direkt von der legitimen Adresse versenden. Diese Form der Identitätsfälschung ist am schwersten zu erkennen, da die E-Mails tatsächlich von der angegebenen Adresse zu stammen scheinen. Strenge Authentifizierungskontrollen und Überwachung sind daher die wichtigsten Schutzmaßnahmen.

Gängige Arten von E-Mail-Identitätsdiebstahlangriffen

Identitätsdiebstahl folgt vorhersehbaren Mustern. Das Verständnis der häufigsten Szenarien hilft Teams, diese schneller zu erkennen und darauf zu reagieren.

Arten von E-Mail-Imitationsangriffen

CEO- und Führungskräfte-Imitation

Diese Art von Angriff, auch bekannt als Business Email Compromise (BEC) oder CEO-Betrug, beinhaltet einen Betrüger, der sich als hochrangige Führungskraft ausgibt, typischerweise als CEO, CFO oder eine andere Führungskraft, um einen Mitarbeiter zu einer nicht autorisierten Handlung zu drängen.

Die Zielgruppen sind in der Regel Mitarbeiter mit Befugnissen zu Finanztransaktionen oder Zugriff auf sensible Daten, beispielsweise aus den Bereichen Finanzen, Personalwesen, Gehaltsabrechnung und Assistenz der Geschäftsleitung. Die Anfragen sollen dringend und vertraulich wirken: „Bitte niemanden sonst einbeziehen, bearbeiten Sie das bitte vor Börsenschluss.“

Zu den häufigsten Zielen gehören betrügerische Überweisungen, der Kauf von Geschenkkarten, Anfragen nach Lohnsteuerbescheinigungen (W-2) oder Gehaltsabrechnungsdaten sowie Änderungen von Bankverbindungsdaten. Das FBI ermittelt in diesem Zusammenhang. Beschwerdestelle für Internetkriminalität (IC3) hat BEC immer wieder als eine der weltweit verlustreichsten Kategorien von Cyberkriminalität identifiziert, mit jährlichen Verlusten in Milliardenhöhe.

Identitätsdiebstahl von Anbietern und Partnern

In diesem Szenario geben sich Angreifer als bekannter Lieferant, Auftragnehmer oder Geschäftspartner aus. Sie verschaffen sich in der Regel genügend Informationen über die Geschäftsbeziehung, oft aus öffentlich zugänglichen Quellen oder aufgrund eines früheren Sicherheitsvorfalls, um ihre E-Mails glaubwürdig erscheinen zu lassen.

Ein typischer Angriff besteht darin, eine gefälschte Rechnung zu versenden, die den echten Rechnungen des Lieferanten bis auf eine Änderung – der Bankkontonummer – täuschend ähnlich sieht. Der Empfänger führt die Zahlung scheinbar routinemäßig aus, und das Geld landet auf dem Konto des Angreifers. Die Rückforderung ist schwierig und oft unmöglich (bis der Betrug entdeckt wird).

Diese Art von Angriff ist besonders gefährlich, weil sie bestehendes Vertrauen ausnutzt. Der Empfänger wird nicht aufgefordert, etwas Ungewöhnliches zu tun, sondern lediglich einen Lieferanten zu bezahlen, mit dem er regelmäßig zusammenarbeitet.

Nachahmung des Kundensupports

Angreifer geben sich als Kundendienstmitarbeiter eines Unternehmens oder Dienstes aus. Anstatt Mitarbeiter innerhalb der Organisation zu täuschen, zielen sie auf normale Nutzer oder Kunden des jeweiligen Dienstes ab. Sie versenden E-Mails, die scheinbar von der Supportabteilung eines bekannten Unternehmens (z. B. einer Bank, eines Softwareanbieters oder einer E-Commerce-Plattform) stammen und den Empfänger vor einem Kontoproblem warnen, das sofortiges Handeln erfordert.

Das Ziel ist typischerweise der Diebstahl von Zugangsdaten. Die E-Mail verlinkt zu einer überzeugenden gefälschten Anmeldeseite, auf der das Opfer seinen Benutzernamen und sein Passwort eingibt und diese somit direkt an den Angreifer weitergibt. Diese Vorgehensweise steht auch im Zusammenhang mit Pharming Bei diesen Techniken werden Nutzer auf gefälschte Webseiten umgeleitet, die legitim aussehen sollen. Die gestohlenen Zugangsdaten können dann zur Kontoübernahme, zum Weiterverkauf oder für weitere Angriffe verwendet werden.

 Wie man E-Mail-Identitätsdiebstahl verhindert

Ein wirksamer Schutz vor E-Mail-Identitätsdiebstahl erfordert einen mehrstufigen Ansatz. Eine einzelne Kontrollmaßnahme ist nicht ausreichend: Technische Sicherheitsvorkehrungen, menschliches Bewusstsein und interne Verfahren müssen zusammenwirken.

Wie man E-Mail-Identitätsdiebstahl verhindert

E-Mail-Authentifizierungsprotokolle

Drei E-Mail-Authentifizierungsprotokolle Die DNS-basierte Vorgehensweise hilft, Domain-Impersonation zu verhindern. Diese Protokolle sollten für jede Domain eingerichtet werden, die Ihre Organisation zum Versenden von E-Mails verwendet – nicht nur für die Hauptdomain, sondern auch für alle sekundären oder inaktiven Domains, die noch zu Ihrer Organisation gehören.

  • SPF (Sender Policy Framework): Ein DNS-Eintrag listet die Mailserver auf, die berechtigt sind, E-Mails über Ihre Domain zu versenden. Wenn ein empfangender Server eine eingehende Nachricht prüft, verifiziert er, ob der sendende Server auf dieser Liste steht. Falls nicht, kann die Nachricht markiert oder abgelehnt werden.
  • DKIM (DomainKeys Identified Mail): Fügt ausgehenden Nachrichten eine kryptografische Signatur hinzu, die der empfangende Server überprüfen kann. Dadurch wird bestätigt, dass die E-Mail tatsächlich von Ihrer Domain stammt und während der Übertragung nicht verändert wurde.
  • DMARC (Domänenbasierte Nachrichtenauthentifizierung, Berichterstattung und Konformität): DMARC baut auf SPF und DKIM auf und ermöglicht Domaininhabern, festzulegen, was bei fehlgeschlagener Authentifizierung einer Nachricht geschehen soll: Überwachung, Quarantäne oder Ablehnung. DMARC sendet außerdem Berichte an den Domaininhaber, die aufzeigen, welche Server E-Mails über die Domain versenden. Dies erleichtert die Überwachung und Kontrolle autorisierter Absenderquellen.

Die stärkste Schutzmaßnahme ist die Einstellung des DMARC-Protokolls auf eine „Ablehnen“-Richtlinie. Organisationen beginnen jedoch typischerweise mit einer „Überwachungs“-Richtlinie, um ihren legitimen E-Mail-Verkehr zu verstehen, bevor sie strenge Regeln durchsetzen. E-Mail-Verschlüsselung fügt eine weitere Schutzebene hinzu, indem Nachrichteninhalte sowohl während der Übertragung als auch im Ruhezustand geschützt werden.

Mitarbeiterschulung und Sensibilisierung

Technische Kontrollmechanismen verhindern zwar einige Identitätsdiebstahlversuche, doch viele Angriffe sind darauf ausgelegt, automatische Filter zu umgehen und in echten Postfächern zu landen. Deshalb ist die Schulung der Mitarbeiter unerlässlich.

Mitarbeiter auf allen Ebenen sollten Folgendes verstehen:

  • So überprüfen Sie die tatsächliche E-Mail-Adresse eines Absenders, nicht nur den angezeigten Namen. Bei den meisten E-Mail-Programmen wird die Adresse angezeigt, wenn Sie mit der Maus über den Absendernamen fahren oder darauf klicken.
  • Zu den Warnzeichen für dringlichkeitsbasierte Manipulation gehören Nachrichten, die Druck ausüben, schnell zu handeln, normale Genehmigungsschritte zu überspringen oder die Anfrage vor dem Management geheim zu halten.
  • Was tun, wenn eine Anfrage ungewöhnlich erscheint, selbst wenn sie scheinbar von einem bekannten Kontakt stammt? Ein kurzer Anruf zur Überprüfung ist immer schneller als die Folgen eines Betrugs.
  • Wie ähnliche Domains funktionieren und worauf man achten sollte, wenn eine Adresse nicht ganz korrekt erscheint, z. B. vertauschte Buchstaben, hinzugefügte Bindestriche oder eine andere Top-Level-Domain.

Schulungen sollten praxisnah und wiederholt erfolgen, nicht nur einmalig. Simulierte Phishing-Kampagnen, bei denen IT- oder Sicherheitsteams gefälschte E-Mails an Mitarbeiter versenden, gehören zu den effektivsten Methoden, das Bewusstsein zu schärfen und diejenigen zu identifizieren, die zusätzliche Unterstützung benötigen.

Sicherheitstools und Filter

Speziell entwickelte Sicherheitstools bieten Erkennungs- und Blockierungsfunktionen, die herkömmliche E-Mail-Filter nicht abdecken.

  • Anti-Phishing- und Anti-Spoofing-Filter scannen eingehende Nachrichten auf Merkmale, die mit Identitätsdiebstahl in Verbindung stehen, wie z. B. nicht übereinstimmende Domains, verdächtige Header-Daten, ähnlich aussehende Absenderadressen und bekannte schädliche Links.
  • E-Mail-Gateway-Lösungen befinden sich zwischen dem Internet und Ihrem Mailserver und führen zusätzliche Prüfungen durch, bevor die Nachrichten die Postfächer der Mitarbeiter erreichen.
  • Domain-Überwachungsdienste benachrichtigen Sie, wenn neue Domains registriert werden, die Ihrer Domain sehr ähnlich sind, und geben Ihnen so eine frühzeitige Warnung vor einem potenziellen Lookalike-Domain-Angriff, bevor dieser zum Einsatz kommt.
  • DMARC-Reporting-Tools wandeln unformatierte DMARC-Berichte in übersichtliche Dashboards um und erleichtern so das Aufspüren unautorisierter Absender, die Ihre Domain nutzen.

Die Zusammenarbeit mit etablierten E-Mail-Sicherheitsunternehmen kann Ihnen dabei helfen, zu beurteilen, welche Tools für die Größe, Infrastruktur und das Risikoprofil Ihrer Organisation geeignet sind.

Überprüfungsverfahren

Die letzte Verteidigungsebene ist verfahrenstechnischer Natur: Interne Arbeitsabläufe erfordern eine außerbörsliche Überprüfung von Anfragen mit hohem Risiko, unabhängig davon, wie legitim die E-Mail auch aussehen mag.

Zu den wirksamen Verifizierungsverfahren gehören:

  • Es gilt eine strikte Richtlinie: Überweisungen, Zahlungsänderungen oder Anfragen zu sensiblen Daten werden nicht allein aufgrund einer E-Mail genehmigt. Jede derartige Anfrage, unabhängig vom Absender, muss telefonisch oder persönlich unter einer Telefonnummer aus Ihrem internen Verzeichnis bestätigt werden – nicht unter der in der E-Mail angegebenen.
  • Für Finanztransaktionen oberhalb eines bestimmten Schwellenwerts ist eine Vier-Augen-Genehmigung erforderlich. Die Prüfung und Genehmigung einer Zahlung durch zwei unabhängige Personen erschwert es erheblich, dass eine einzelne E-Mail mit gefälschter Identität erfolgreich ist.
  • Ein klarer Eskalationsweg für verdächtige E-Mails. Mitarbeiter sollten genau wissen, wen sie kontaktieren können und wie, wenn sie eine verdächtige Nachricht erhalten, und sie sollten sich sicher fühlen, diese ohne Angst vor Peinlichkeit zu melden.

Diese Verfahren sind kostenlos in der Umsetzung und oft wirksamer als technische Kontrollmaßnahmen zur Abwehr von Social-Engineering-Angriffen.

Was zu tun ist, wenn Sie Opfer von E-Mail-Identitätsdiebstahl geworden sind

Wenn Sie feststellen, dass sich jemand als Mitarbeiter Ihrer Organisation ausgibt oder ein Mitarbeiter Opfer eines Angriffs geworden ist, handeln Sie schnell. Die ersten Stunden sind entscheidend.

Was zu tun ist, wenn Sie Opfer von E-Mail-Identitätsdiebstahl geworden sind

Sofortmaßnahmen:

  1. Den Schaden begrenzen: Wurde eine Zahlung getätigt, kontaktieren Sie umgehend Ihre Bank, um eine Rückbuchung zu veranlassen. Finanzinstitute haben nur begrenzte Zeitfenster für ein Eingreifen, daher ist schnelles Handeln entscheidend.
  2. Beweise sichern: Löschen Sie die gefälschten E-Mails nicht. Speichern Sie die vollständigen Nachrichtenkopfzeilen, Screenshots und jegliche zugehörige Korrespondenz. Diese Dokumentation ist für die Berichterstattung und alle nachfolgenden Ermittlungen unerlässlich.
  3. Den Umfang festlegen: Ermitteln Sie, ob der Angriff auf eine einzelne Person oder mehrere Konten abzielte und ob sensible Daten wie Zugangsdaten, Finanzunterlagen oder persönliche Informationen abgerufen oder weitergegeben wurden.
  4. Kompromittierte Anmeldeinformationen zurücksetzen: Falls auf Konten zugegriffen wurde, erzwingen Sie umgehend das Zurücksetzen der Passwörter und widerrufen Sie alle aktiven Sitzungen. Aktivieren Sie die Multi-Faktor-Authentifizierung, falls diese noch nicht aktiv ist.

Meldung und Benachrichtigung:

  • Melden Sie den Vorfall der zuständigen Cyberkriminalitätsbehörde Ihres Landes. In den USA ist das das IC3 des FBI (ic3.gov).
  • Falls Kundendaten betroffen waren, konsultieren Sie Ihr Rechtsteam hinsichtlich der Meldepflichten bei Datenschutzverletzungen gemäß den geltenden Datenschutzbestimmungen (DSGVO, CCPA und andere, je nach Ihrer Gerichtsbarkeit).
  • Benachrichtigen Sie betroffene Partner oder Lieferanten, falls deren Identitäten bei dem Angriff missbraucht wurden, da auch sie ähnlichen Bedrohungen ausgesetzt sein könnten.
  • Informieren Sie Ihren E-Mail-Anbieter und bitten Sie gegebenenfalls darum, die missbräuchliche Domain zu melden.

Nach der unmittelbaren Reaktion sollte eine Nachbesprechung des Vorfalls durchgeführt werden: Wie konnte der Angriff durchkommen, welche Kontrollmechanismen versagten und welche Änderungen sind erforderlich, um das Risiko eines erneuten Auftretens zu verringern? E-Mail aufräumen Infrastruktur- und Sicherheitskonfigurationen als Teil dieser Überprüfung.

Schützen Sie Ihre Domain, bevor Angreifer sie gegen Sie verwenden.

Ein oft übersehener Aspekt des Schutzes vor Identitätsdiebstahl ist die Qualität und Sicherheit der eigenen ausgehenden E-Mail-Kommunikation. Organisationen mit schlecht gepflegten E-Mail-Listen, nicht verifizierten Kontaktdatenbanken oder einer fehlerhaft konfigurierten Versandinfrastruktur sind anfälliger für Domainmissbrauch und den unbeabsichtigten Versand von E-Mails, die von E-Mail-Anbietern mit Argwohn behandelt werden.

E-Mail-Bestätigung DeBounce ist Teil einer soliden E-Mail-Hygienepraxis, die Ihre allgemeine Sicherheitslage stärkt. DeBounce validiert E-Mail-Adressen, ohne Nachrichten zu versenden, und entfernt ungültige, Wegwerf- und risikoreiche Adressen aus Ihren Listen. So baut Ihre Domain einen konsistenten und vertrauenswürdigen Ruf auf. Eine Domain mit einem guten Ruf lässt sich schwerer überzeugend imitieren und ist leichter zu verteidigen, wenn Sie Missbrauch melden.

Leiten Sie Ihre E-Mail-Liste über DeBounce. um sicherzustellen, dass Ihre ausgehenden E-Mails sauber, verifiziert und zu Ihren Gunsten bearbeitet werden.

Errichte Verteidigungsanlagen, die der Bedrohung gerecht werden

E-Mail-Imitation ist erfolgreich, weil sie auf Vertrauen abzielt: das Vertrauen, das Mitarbeiter in einen vertrauten Namen setzen, das Vertrauen, das Kunden in eine bekannte Marke setzen, das Vertrauen, das E-Mails zu einem funktionalen Werkzeug für Unternehmen macht. Angreifer müssen keine Firewalls überwinden, wenn sie sich einfach als jemand ausgeben können, dem Sie bereits vertrauen.

Die in diesem Leitfaden beschriebenen Schutzmaßnahmen – SPF-, DKIM- und DMARC-Authentifizierung, Mitarbeiterschulungen, Sicherheitsfilter und interne Prüfverfahren – decken sowohl die technischen als auch die menschlichen Aspekte des Problems ab. Keine dieser Maßnahmen allein ist ausreichend, doch gemeinsam erschweren sie Identitätsdiebstahlangriffe erheblich und erleichtern deren Aufdeckung.

Beginnen Sie mit Ihren Authentifizierungsdatensätzen. Wenn Ihre Domain noch keine DMARC-Richtlinie veröffentlicht, ist dies der mit Abstand wirkungsvollste technische Schritt, den Sie jetzt unternehmen können. Kombinieren Sie dies mit einer Mitarbeiterschulung und einem transparenten Zahlungsverifizierungsverfahren, und Sie schließen die Sicherheitslücken, die die meisten erfolgreichen Identitätsdiebstahlangriffe ausnutzen.

Häufig gestellte Fragen

Antworten auf häufig gestellte Fragen zu diesem Thema.
01

Kann E-Mail-Identitätsdiebstahl ohne Hacking eines Kontos erfolgen?

Ja, und das ist in den meisten Fällen der Fall. Für Displayname-Spoofing und Lookalike-Domain-Angriffe ist kein Zugriff auf das echte Konto erforderlich; sie ahmen lediglich dessen Erscheinungsbild mit einer anderen Absenderadresse nach.

02

Wie häufig sind E-Mail-Identitätsdiebstahl-Angriffe?

E-Mail-Imitationsangriffe sind weit verbreitet und zählen zu den häufigsten Formen der Cyberkriminalität. Unternehmen aller Branchen sind regelmäßig Angriffen wie Phishing, Business Email Compromise (BEC) und Domain-Spoofing ausgesetzt, da E-Mail weit verbreitet und für Angreifer leicht auszunutzen ist.

Du magst vielleicht auch:

Hier finden Sie schnelle Antworten auf Ihre Fragen zu unseren Preisen und Tarifen.

Definition der E-Mail-Verifizierung und ihre Bedeutung

Sie haben eine Kontaktliste für Ihre E-Mail-Liste zusammengestellt. Vielleicht starten Sie einen Newsletter oder kontaktieren potenzielle Kunden per Kaltakquise, um neue Kunden zu gewinnen. Nun…

   
Entprellung

Leitfaden zur E-Mail-Marketing-Analyse

E-Mail-Analyse ist wichtig. Sie liefert Ihnen viele Informationen über Ihre Abonnenten und deren Verhalten gegenüber Ihren E-Mails. In diesem Beitrag…

   
Entprellung