Zunahme von Phishing-Attacken über Suchmaschinen

Phishing ist seit Jahren eine der effektivsten Methoden von Cyberkriminellen, um an sensible Daten zu gelangen. Unternehmen investieren viel in Schulungen, um ihre Mitarbeiter für diese Gefahr zu sensibilisieren. Dennoch zeigt eine aktuelle Studie des Sicherheitsunternehmens Netskope alarmierende Ergebnisse: Die Anzahl der Klicks auf Phishing-Links hat sich nahezu verdreifacht, wobei Suchmaschinen als zunehmend bevorzugte Plattformen dienen. Was steckt hinter diesem Trend, und wie können Unternehmen und Einzelpersonen sich schützen?

Warum Suchmaschinen ein neues Phishing-Ziel sind

Fast jeder fünfte Klick auf einen Phishing-Link erfolgt heute über eine Suchmaschine. Cyberkriminelle nutzen gezielt Werbeanzeigen und Suchmaschinenoptimierung, um gefälschte Websites prominent in den Suchergebnissen zu platzieren. Nutzer, die nach bestimmten Dienstleistungen oder Produkten suchen, landen häufig auf diesen Seiten, ohne Verdacht zu schöpfen. Insbesondere Shopping-Websites sind ein beliebtes Ziel, gefolgt von Technologie- und Geschäftsseiten.

Die wachsende Gefahr liegt darin, dass gefälschte Websites immer schwerer zu erkennen sind. Nachgeahmte Login-Seiten, vor allem von Cloud-Diensten, führen oft zu schwerwiegenden Sicherheitsvorfällen. Mehr als ein Viertel der Phishing-Klicks zielt auf diese Seiten ab, wobei Microsoft-Dienste mit 42 Prozent der am häufigsten betroffenen Ziele an der Spitze stehen. Die Herausforderung besteht darin, dass viele Nutzer nicht damit rechnen, über Suchmaschinen auf Phishing-Links zu stoßen. Das Bewusstsein für diese Gefahr ist geringer als bei Phishing-E-Mails.

Die Rolle der Schatten-IT und ihre Risiken

Neben gezielten Angriffen über Suchmaschinen stellt die sogenannte Schatten-IT ein weiteres großes Risiko dar. Viele Angestellte nutzen private Cloud-Anwendungen und Apps, die nicht offiziell von ihrem Unternehmen freigegeben sind. Diese Praxis führt oft dazu, dass sensible Daten unbeabsichtigt in unsicheren Umgebungen landen. Automatische Backups von Smartphones oder das Speichern von geschäftlichen Dateien in persönlichen Cloud-Konten sind Beispiele dafür.

Die Studie von Netskope zeigt, dass 88 Prozent der Mitarbeiter mindestens einmal pro Monat private Cloud-Apps nutzen. Ein Viertel von ihnen lädt sogar Daten aktiv hoch. Dadurch erhöht sich die Angriffsfläche erheblich. Auch geschäftliche Nachrichten in privaten Mail-Accounts oder Links in Kalenderanwendungen bieten Cyberkriminellen neue Ansatzpunkte für Angriffe. Ein prominentes Beispiel war der Phishing-Angriff auf Google Calendar, der gezielt auf Meeting-Notizen und Videokonferenz-Links abzielte.

Generative KI: Eine neue Herausforderung für die IT-Sicherheit

Die Nutzung generativer KI-Anwendungen nimmt in Unternehmen stark zu. Laut der Untersuchung setzen 94 Prozent der Unternehmen solche Tools ein. Gleichzeitig bergen sie ein erhebliches Risiko für die Sicherheit sensibler Daten. Um Datenabflüsse zu verhindern, sperren drei Viertel der Unternehmen mindestens eine dieser Anwendungen. Häufig betroffen sind Tools wie Quillbot oder AiChatting.

Ein Drittel der Unternehmen verwendet Coaching-Tools, um Mitarbeiter in Echtzeit über die Risiken bestimmter Anwendungen zu informieren. Dennoch bleibt die Gefahr bestehen, dass Mitarbeiter unwissentlich interne Daten an externe Anbieter übermitteln. Data Loss Protection (DLP) ist hier eine weitere Maßnahme, die von 45 Prozent der Unternehmen genutzt wird, um den Datenfluss zu kontrollieren und potenzielle Lecks zu verhindern.

Fazit: Mehr Wachsamkeit und gezielte Schutzmaßnahmen erforderlich

Die Nutzung von Suchmaschinen für Phishing-Angriffe ist ein besorgniserregender Trend, der nicht nur Unternehmen, sondern auch Einzelpersonen betrifft. Unternehmen sollten ihre Schulungen erweitern, um auch außerhalb des E-Mail-Verkehrs ein Bewusstsein für Phishing-Gefahren zu schaffen.

Zusätzlich sind technische Schutzmaßnahmen wie Data Loss Protection und die gezielte Sperrung unsicherer Anwendungen essenziell, um die Risiken zu minimieren. Auch Einzelpersonen können beitragen, indem sie kritisch auf Suchergebnisse achten und keine sensiblen Daten auf Websites eingeben, deren Seriosität nicht zweifelsfrei geklärt ist. Die Kombination aus technischer Absicherung und menschlicher Wachsamkeit bleibt der Schlüssel zur Abwehr von Phishing-Angriffen.