Fischhaken zieht Kreditkarte über Tastatur
Praktisch erklärt
Pierre René Rümmelein, IHK zu Leipzig

Phishing und Spam. Seien Sie achtsam!

04. Juni 2025

Pro Jahr entstehen der deutschen Wirtschaft derzeit durch Phishing-Attacken Schäden in Höhe von mehr als 200 Milliarden Euro. Um hier das eigene Unternehmen sicherer aufzustellen, braucht es Achtsamkeit aber auch Wissen. Dieses vermittelt Pierre René Rümmelein von der IHK zu Leipzig.

Er erläutert die Unterschiede zwischen Phishing und Spam, woran man gerade Phishing-Mails erkennen kann, die ersten Schritte nach dem Angriff und wer in der Beratung wofür zuständig ist.

WIRTSCHAFT ONLINE: Guten Tag, Herr Rümmelein. Sie sind Jurist und bei der IHK zu Leipzig im Bildungs-, Wettbewerbs- und Planungsrecht Experte. Auch der immer wieder auftauchende Themenbereich Phishing und Spam liegt auf Ihrem Tisch. Da müssen wir erst einmal in die Begriffsbestimmung gehen. Was ist Phishing und was ist Spam?

Pierre René Rümmelein: Hallo Herr Hartmann-Tanner, das ist leider ein sehr leidiges Thema … Bei beiden Variationen handelt es sich um E-Mails, die wir alle unerwünschterweise (mehrmals) täglich erhalten. Spam-Mails sind hierbei die „harmlosere Variante“: Vereinfacht gesagt handelt es sich um massenhaft versendete E-Mail-Werbung, die zumeist ohne Einwilligung erfolgt und mitunter sehr belästigend sein kann. Wie jedoch die Übersetzung des ebenfalls für diese Kategorie verwendeten Begriffs „Junk“ zeigt, handelt es sich schlussendlich um (Daten)-Müll.

Phishing-Mails verfolgen hingegen immer eine schädigende Absicht (Kunstbegriff aus „password harvesting“ [Passwörter ernten] und „fishing“ [Angeln]). Die Adressaten werden zumeist aufgefordert, sensible Daten wie Passwörter, Bankzugangsdaten etc. preiszugeben. Das erfolgt in den meisten Fällen durch täuschend echte Webseiten der Betrüger, auf die die Links der Phishing-Mail weiterleiten. Aber auch andere Varianten, wie beispielsweise durch das Ausfüllen bereits beigefügter Formulardaten oder der einfachen Antwort auf die Phishing-Mail, können den Verlust Ihrer sensiblen Daten bedeuten. Die Betrügerinnen und Betrüger sind spitzfindig und suchen sich hierzu immer neue Wege. Diese sind nicht an den Kommunikationsweg der E-Mail gebunden, sondern können auch durch SMS, KI-Anrufe, Social Media oder QR-Codes initiiert werden. Deshalb auch ein dringender Appell an Sie: Seien Sie achtsam!

WIRTSCHAFT ONLINE: Gerade Wirtschaftstreibende müssen wirklich wachsam sein, kann doch bei ihnen durch Cyberkriminalität immenser wirtschaftlicher Schaden entstehen, der auch andere Unternehmen mit betrifft. Deshalb stellen sich viele Menschen, wenn eine Mail hereinkommt, immer wieder die Frage: „Ist diese E-Mail Phishing?“ Woran erkenne ich Phishing-Mails?

Pierre René Rümmelein: Eine pauschale Antwort hierauf zu finden, ist schwierig. Es gibt aber einige Anhaltspunkte, welche vermehrt auf eine Phishing-Mail hindeuten:

  • Die E-Mail-Adresse passt nicht mit dem vermeintlichen Absender zusammen, beziehungsweise besteht aus einer völlig wirren Buchstaben- und Zahlenaneinanderreihung.
  • Die Domain (alles nach dem @-Zeichen) passt nicht zur etwaigen Organisation/Institution oder endet mit einer außergewöhnlichen, ausländischen Domainendung.
  • Phishing-Mails werden oft außerhalb üblicher Geschäftszeiten versendet.
  • Es gibt keine persönliche Anrede.
  • Inhaltlich wird oftmals Druck auf die Adressaten durch eine völlig überzogene Fristsetzung oder (rechtlich) Konsequenzen ausgeübt.
  • Es gibt keinen persönlichen Ansprechpartner oder keine Organisationsangaben (fehlende Adresse, PLZ, Ort etc.).
  • Falls direkt eine Zahlungsaufforderung der Phishing-Mail beigefügt ist: Die IBAN ist auf ein ausländisches Bankkonto ausgestellt.
  • Sehr häufig stehen die Phishing-Mails in Verbindung mit dem Handelsregister. Zur Information: Das jeweilige Handelsregister wird vom örtlichen Amtsgericht geführt und nicht von anderen Organisationen/Institutionen (speziell keiner IHK).

WIRTSCHAFT ONLINE: Wo und wie können Betroffene Phishing-Mails melden und was geschieht dann mit der Meldung?

Pierre René Rümmelein: Am besten wäre es, wenn Betroffene sich mit demjenigen oder derjenigen Organisation/Institution in Verbindung setzen, welche als vermeintliche Absendende genannt worden sind. Diese können dann auch gleichzeitig bestätigen, dass es sich bei der empfangenen Nachricht um eine Phishing-Mail handelt. Zudem können Betroffene auch andere, ihren Zweck betreffende Personen und Unternehmen vor den derzeit kursierenden Phishing-Mails warnen.

Vielmehr bleibt leider nicht übrig. An die Betrüger selbst heranzutreten, ist faktisch nicht möglich. Als präventive Maßnahme bleibt nur, an die Wachsamkeit der möglichen Adressatinnen und Adressaten zu appellieren.

WIRTSCHAFT ONLINE: Was können Unternehmen tun, um mehr Sicherheit in den Kommunikationsfluss im Netz zu generieren?

Pierre René Rümmelein: Die fortschreitende Digitalisierung und die (ausschließliche) Nutzung elektronischer Kommunikationswege machte eine zeitgemäße sowie dauerhaft aktualisierende IT-Sicherheit für die Unternehmen unerlässlich. Durch Spamfilter und Antiviren-Programme (insbesondere zum Erkennen von gefährlichen E-Mail-Anhängen) können bereits große Mengen an Spam- und Phishing-Mails abgefangen werden. Oftmals ist es aber einfach ein Katz-und-Maus-Spiel. Deshalb sollte man sich bewusst sein: Die besten Filter, Programme, Apps verhindern im Einzelfall nicht den „Klick“ auf den schädlichen Link oder die Datei. Deshalb gehört es zu einer zeitgemäßen IT-Sicherheit auch dazu, die Mitarbeitenden eines Unternehmens kontinuierlich zum Thema IT-Sicherheit und (auch) Datenschutz zu schulen.

WIRTSCHAFT ONLINE: Können Sie uns ganz konkret sagen, welche Anfragen speziell bei Ihnen (respektive der IHK zu Leipzig) an der richtigen Stelle sind? Und für welche Anfragen, den Themenbereich betreffend, sind andere Stellen zuständig und welche sind das?

Pierre René Rümmelein: An uns können sich unsere Mitgliedsunternehmen gerne mit allen „Betrugsfällen“ durch Phishing-Mails wenden, welche die IHK-Organisation (auch die DIHK) betreffen. Bezüglich anders gelagerter Fälle bitten wir Sie, wie oben bereits erwähnt, sich an diejenige Organisation/Institution zu wenden, welche als vermeintlich Absendende auftritt. Wir bitten hierbei um Ihr Verständnis, dass wir vor Phishing-Fällen Dritter nicht oder nur in Einzelfällen warnen können – da wir bei der schieren Menge einfach nicht die Kapazitäten hierzu haben.

Darüber hinaus können Sie sich auch an die Bundesnetzagentur, das Service-Center des Bundesamtes für Sicherheit in der Informationstechnik, an die polizeiliche Kriminalprävention oder Ihre örtlich zuständige Polizeidienststelle wenden. Gegenüber der Polizeidienstelle gilt dies jedoch hauptsächlich, wenn es konkrete Anhaltspunkte zu den vermeintlichen Betrügern gibt.

WIRTSCHAFT ONLINE: Die Verbraucherzentrale hat einen „Phishing-Radar“ im Netz geschaltet. Das scheint mir eine hervorragende Institution zu sein, um sich zu informieren. Haben Sie diesen Radar auch auf dem Radar, Herr Rümmelein? Gibt es gar Kooperationen?

Pierre René Rümmelein: Keine Frage, der „Phishing-Rader“ der Verbraucherzentrale ist eine super Sache. Ab und zu sehe auch ich privat dort einmal vorbei in meiner Rolle als Verbraucher. Häufig sind die Sachverhalte der Phishing-Mails, welche an unsere Mitgliedsunternehmen versendet werden, aber ganz andere, da diese auf die Unternehmerschaft konkret zugeschnitten sind, wenngleich das Ziel das gleiche ist. Deshalb gibt es hier meines Wissens keine Kooperation zwischen den berufsständischen Kammern und der Verbraucherzentrale. Was nicht ist, kann aber noch werden (schmunzelt).

WIRTSCHAFT ONLINE: Auch das Bundesamt für Sicherheit in der Informationstechnik hat sich beispielsweise mit einer „Checkliste für den Ernstfall“ hervorgetan. Hier sind einige Fragen aufgeworfen, wie „Was sollte ich tun, wenn …?“

Deshalb die Frage auch an Sie, Herr Rümmelein: Was sollte ich tun, wenn der Ernstfall eingetreten ist?

Pierre René Rümmelein: Zunächst einmal muss es den Betroffenen bewusst sein, dass der Schadenseintritt immer noch von einem zweiten Akt, nämlich der Verwendung der (rechtswidrig) erlangten Daten, abhängig ist. Grundsätzlich ist zu raten, in Abhängigkeit der übermittelten Daten, Passwörter auszutauschen und Konten (Bankkonten, Nutzerkonten etc.) zu sperren oder der Zugangsdaten zu ändern.

Im Übrigen kann ich uneingeschränkt auf die „Checkliste“ des Bundesamtes für Sicherheit in der Informationstechnik verweisen.

WIRTSCHAFT ONLINE: Danke, Herr Rümmelein, dass Sie sich die Zeit genommen haben, auf unsere Fragen zu antworten. Und danke für die Aufklärung.

Pierre René Rümmelein: Sehr gerne geschehen.

Das Bundesamt für Sicherheit in der Informationstechnik hat eine Checkliste erstellt, die Sie immer verwenden können. Die Verbraucherzentrale berichtet über aktuelle Betrugsversuche mit ihrem Phishing-Radar.

Checkliste

Phishing-Radar

Ihre Kontaktperson

Bei Fragen hilft Ihnen Pierre René Rümmelein gerne weiter.

T: +49 341 1267-1332
F: +49 341 1267-1426
E: PierreRene.ruemmelein@leipzig.ihk.de

Aufnahme der IHK-Fahnen vor dem Haus

Ähnliche Artikel

Symbolbild: Digitale Barrierefreiheit. Kärtchen mit unterschiedlichen Symbole für Einschränkungen liegen auf der Tastatur von einem Laptop Antworten auf die zehn wichtigsten Fragen

Digitale Barrierefreiheit: Was Sie jetzt wissen müssen!

22. Mai 2025

Bis zum 28. Juni 2025 müssen die meisten Webseiten, Online-Shops und digitalen Angebote laut Barrierefreiheitsstärkungsgesetz (BFSG) barrierefrei sein. Doch keine Panik! Mit guter Vorbereitung und belastbaren Strategien können Unternehmen ihre Webpräsenz entsprechend anpassen. Wir informieren!

Jetzt lesen
IHK Peggy Hutschenreuter, IHK zu Leipzig Unternehmensförderung

Darlehen sollen helfen, vorübergehende Liquiditätsengpässe zu überbrücken.

30. April 2025

Die wirtschaftliche Situation in Deutschland, Europa und weltweit zwingt regionale Unternehmen dazu, neue Wege zu beschreiten. Dies ist oft mit wirtschaftlichen Schwierigkeiten verbunden, bis hin zu Umstrukturierungen. Peggy Hutschenreuter berät Unternehmen zu unterstützenden Darlehen.

Jetzt lesen
Yvonne Ruhnau und Elisabeth Weiß vom IHK-Fachkräfteprojekte "Talente gewinnen und sichern" auf einer Informationsveranstaltung Im Gespräch mit Yvonne Ruhnau und Elisabeth Weiß

„Hand in Hand for international Talents“ ebnet Fachkräften den Weg

30. Januar 2025

In „Hand in Hand for international Talents“ arbeiten Kammern und Behörden bereits vor der Einreise ausländischer Fachkräfte zusammen, damit sowohl dem Unternehmen als auch der neuen Fachkraft viel Bürokratie vor Ort erspart bleibt. Yvonne Ruhnau und Elisabeth Weiß berichten über das Projekt.

Jetzt lesen