Symbolbild: Fotolia/Weerapat1003

Phishing-E-Mails stellen nach Meinung des IT-Branchenverbandes Swico ein grosses Einfallstor für die zunehmenden Cyber-Attacken dar, denen Unternehmen und Privatpersonen in der Schweiz ausgesetzt sind. Entsprechende Meldungen an das Nationale Zentrum für Cybersicherheit (NCSC) stellten 2021 nach Betrugsversuchen demnach die zweithäufigste Kategorie dar. E-Mail-Dienst-Anbieterinnen sind die erste Anlaufstelle für die Kunden im Zusammenhang mit Phishing-E-Mails. Phishing-Attacken verursachten daher einen wachsenden Aufwand bei den Dienste-Anbieterinnen, so Swico. Ausserdem könnten sie bei ihren Kunden enorme Schäden anrichten. Dennoch sei es in der Praxis kaum möglich, Angreifer zu identifizieren und sie rechtlich zu belangen.

Damit die Anbieterinnen ihre Kunden besser vor Phishing-E-Mails schützen und die zuständigen Behörden bei der Identifizierung und Verfolgung von Angreifern Hand bieten könnten, habe Swico nun konkrete und standardisierte Massnahmen definiert, die auch vom NCSC, von Asut, von der Sisa und von Switch unterstützt werden. Diese orientieren sich nach den geltenden Regelungen des Schweizer Rechts zur Filterung und Unterdrückung von unerlaubten Spam-E-Mails und zur Herausgabe von Informationen an Behörden und Gerichte.

Die Branchenempfehlung soll Anbieterinnen als Orientierungshilfe dienen zur Beurteilung der möglichen und angemessenen Massnahmen gegen Cyber-Attacken über Phishing-E-Mails, so Swico. Ausserdem nutzten die Massnahmen rechtliche Spielräume für konkrete Verhaltensempfehlungen zur Erkennung und Prävention von Phishing-Versuchen sowie zur Information von Kunden über die ergriffenen oder möglichen Massnahmen, heisst es.

Kunden sollten möglichst wenig in Kontakt kommen mit Phishing-E-Mails, um Schäden bei sich selbst und hohen Support-Aufwand bei der Anbieterin zu vermeiden, betont Swico. Sie sollen transparent über die Schutzmassnahmen der Anbieter gegen Phishing-E-Mails informiert werden, insbesondere auch in den Verträgen bzw. AGB. Die Anbieterinnen fördern durch die Informationen ihrer Kundinnen und Kunden deren Sensibilisierung für den Umgang mit (verdächtigen) E-Mails.

Der Informationsaustausch zwischen Anbieterinnen und involvierten Behörden (insbesondere den Strafverfolgungsbehörden und dem NCSC) soll verbessert werden. Damit wollen die Anbieterinnen die Behörden bei der Identifizierung und Verfolgung von Cyber-Angreifern unterstützen und zur Verbesserung der Datengrundlage für Filter beitragen.

Giancarlo Palmisani, Leiter Verbandsdienstleistungen bei Swico, lobt das eigenverantwortliche Handeln der Branche: "Wir alle wissen, wie lästig die riesige Menge an Phishing-E-Mails ist – und wie schnell selbst gut informierte User in der Hektik des Alltags mögliche Gefahren übersehen. Mit der vorliegenden Branchenempfehlung haben wir in enger Zusammenarbeit mit der IG Hosting und Mitgliedern des Legal Circles ein Instrument geschaffen, welches Risiken minimiert und der Branche als Ganzes dient."

Zahlen und Fakten zu Phishing
- Phishing-Attacken stehen beim NCSC an zweiter Stelle der Schadensmeldungen: In KW2/2022 gab es beispielsweise 558 Meldungen wegen Betrug und 167 wegen Phishing.
- 96 % der Phishing-Attacken erfolgten 2020 via Mail, 3 % via Websites und 1 % via Telefon
- Eine Analyse von über 88 Millionen E-Mails zeigte auf, dass 1 von 99 E-Mails ein Phishing-Versuch ist.
- 95 % aller Netzwerk-Attacken sind die Folge eines gezielten Phishings
- Ein Test unter 410’000 Teilnehmenden zeigte auf, dass über 50 % eine Phishing-E-Mail öffneten und über 32 % auf den verseuchten Link bzw. Anhang klickten.

Quellen: Swiss Cyber Institute, Tessian, NCSC