Phishing-Angriffe: Was wir täglich dagegen tun

«Wurden wir gehackt?» Diese Frage hören wir von unserer Kundschaft im Support immer wieder, sagt Lindita, Customer Care Specialist bei cyon. Die Nachricht wirkt bedrohlich: Da steht die eigene Domain, eine bekannte E-Mail-Adresse, vielleicht sogar ein Ablaufdatum. Alles klingt echt. Entsprechend gross ist die Unsicherheit. In solchen Situationen weisst du vielleicht nicht, wie du die Situation einschätzen sollst – und auch im Internet lassen sich darauf oft keine klaren Antworten finden. Dabei ist in den meisten Fällen niemand in deine Systeme eingedrungen.

Was wirklich dahintersteckt und was wir täglich dagegen unternehmen, erklären wir hier. Für diesen Beitrag haben wir Lindita (Customer Care Specialist) und Gina (Incident Operator) befragt, die täglich mit dem Thema arbeiten.

Die Annahme ist verständlich, aber oft falsch

Phishing-Mails wirken glaubwürdig, weil sie echte Informationen nutzen. Angreifer lesen automatisiert aus, was öffentlich zugänglich ist: Domainnamen, typische E-Mail-Adressen wie info@ oder kontakt@, manchmal auch Ablaufdaten aus öffentlichen Quellen (zum Beispiel WHOIS, Websites oder aus dem offiziellen .ch-Zonefile von SWITCH). Das reicht, um eine überzeugende Nachricht zu bauen.

Nur weil eine Phishing-Mail deine Informationen missbraucht, bedeutet das nicht, dass jemand Zugriff auf deine Systeme hat oder ein Datenleck vorliegt. Das Internet ist von Natur aus offen und genau das nutzen Angreifer aus.

Wenn du eine solche Mail erhältst, lohnt es sich, kurz innezuhalten: Kein seriöser Anbieter schreibt seine Kundschaft passiv-aggressiv an oder fordert unter Druck zur sofortigen Eingabe von Zugangsdaten auf. Im Zweifel: Status und Produkte im my.cyon prüfen – dort siehst du, was tatsächlich los ist.

Und falls du unsicher bist: Schick uns die Header-Daten der verdächtigen Mail. So können wir mit ziemlicher Sicherheit prüfen, ob eine Nachricht tatsächlich von einem unserer Server stammt oder von aussen kommt.

Wie Phishing heute funktioniert

Phishing ist ein zweistufiger Angriff. Zuerst kommt die Mail – der Köder. Sie täuscht Vertrauen vor, etwa durch gefälschte Absenderadressen, bekannte Logos oder künstliche Dringlichkeit. Ihr Ziel: Dich auf eine Phishing-Website zu führen – die Falle. Diese imitiert vertrauenswürdige Seiten und sammelt dort, was du eingibst: Login-Daten, Kreditkartennummern, Passwörter.

Hosting-Anbieter werden gezielt imitiert. Der Grund ist naheliegend: Wer Zugangsdaten zu einem Hosting-Konto ergattert, kann diese direkt für weitere Angriffe nutzen und so die nächste Phishing-Welle von dort aus starten. Wie das in einem konkreten Fall abgelaufen ist, haben wir 2019 detailliert dokumentiert: «Nicht mit uns: Wie wir uns gegen eine Phishingattacke wehrten».

Technisch ist der Aufwand für Angreifer heute gering. Bots durchsuchen das Internet automatisch nach E-Mail-Adressen, Domains und Softwareversionen. Daneben gibt es fertige Phishing-as-a-Service-Werkzeuge, die selbst ohne technisches Vorwissen bedienbar sind. Das Resultat: Mehr Angriffe, in kürzerer Zeit, mit weniger Aufwand.

Das Internet ist offen gestaltet – das ist keine Schwäche, sondern Prinzip. Protokolle wie DNS ermöglichen globale Kommunikation. WHOIS macht Domaininformationen nachvollziehbar. Diese Offenheit ist Voraussetzung dafür, dass das Netz so funktioniert, wie wir es kennen. Für .ch-Domains werden personenbezogene Daten inzwischen durch das Datenschutzgesetz geschützt. Bestimmte Angaben – wie der Hoster – bleiben jedoch weiterhin öffentlich sichtbar.

Sicherheit entsteht deshalb nicht durch Abschottung, sondern durch zusätzliche Schutzschichten. Und diese werden angesichts einer neuen Entwicklung immer wichtiger.

Phishing kommt in Wellen

Angriffe folgen oft einem Muster: Zuerst wird ein kleines Batch versendet. Wenn diese Mails durchkommen, folgt die grössere Welle. Zum Beispiel steigt das Volumen um Weihnachten herum regelmässig an.

Die Herausforderung: Für jede neue Welle werden andere Absenderadressen verwendet. Dadurch ist ein zweiter Durchgang nicht automatisch erkennbar, auch wenn der erste bereits bekannt ist. Die zeitverzögerte Erkennung ist systembedingt.

Plattformen wie PhishTank, abuse.ch, Google Safe Browsing und Talos Intelligence helfen dabei. Auch wir gleichen unsere Systeme laufend mit diesen Listen ab. Der Haken: Neue Angriffe müssen erst gemeldet und erfasst werden, bevor sie greifen.

Was bei uns dauerhaft im Hintergrund läuft

Ein grosser Teil der Schutzmechanismen läuft automatisiert, ohne dass du etwas davon merkst. Gleichzeitig bleibt menschliche Aufmerksamkeit entscheidend. Phishing ist ein Zusammenspiel aus technischer Infrastruktur und informierten Entscheidungen im Einzelfall.

Jede eingehende E-Mail wird in Echtzeit geprüft. Header, Inhalte, Links und Anhänge werden auf verdächtige Muster analysiert. Absender-IPs und Routing-Informationen werden mit bekannten Mustern abgeglichen. Unser Anti-Spam-System bewertet E-Mails anhand von Wahrscheinlichkeitsmodellen – und bezieht dabei historische Daten ein: War eine Domain oder ein Muster schon früher in Angriffe verwickelt, wird das berücksichtigt.

Bekannte Spamlisten werden automatisch abgefragt – ein Absender mit schlechter Reputation landet im Zweifel im Spam-Ordner oder wird abgelehnt. Erkennt unser System Massenmails, verlangsamt es die Zustellung automatisch. Das gibt uns Zeit zu reagieren, bevor grosse Mengen zugestellt oder versendet wurden.

Intern setzen wir zusätzliche Massnahmen ein, um Phishing-Versuche frühzeitig zu erkennen, auch bei Mustern, die noch nicht in externen Listen erfasst sind.

Vom Hinweis zur Reaktion

Wenn du uns eine verdächtige Mail meldest, landet sie zuerst beim Support – unsere erste Anlaufstelle. Von dort geht sie direkt weiter an Operations, die sofort mit der Bewertung beginnen.

Die zentrale Frage: Ist cyon das Ziel oder ein anderer Hosting-Anbieter? Und findet der Missbrauch von einem Hosting bei uns statt – oder kommt er von aussen? «Diese Unterscheidung bestimmt, welche Massnahmen wir einleiten», erklärt Gina, Incident Operator bei cyon.

Je nach Einordnung folgen standardisierte Schritte aus unserem internen Prozess. Handelt es sich um Inhalte auf unseren Servern, wird der Zugang nach Sichtung sofort gesperrt. Externe Phishing-Seiten melden wir an die zuständigen Stellen und informieren direkt die betroffenen Hoster und Registrare.

Ausserhalb der Bürozeiten übernimmt unser Pikettdienst, damit auch nachts und am Wochenende reagiert werden kann.

Hast du selbst schon eine Phishing-Mail erhalten oder dich gefragt, ob etwas echt ist? Teile deine Erfahrungen in den Kommentaren.

Das ist der erste Teil unserer Beitragsserie zum Thema Phishing. Im nächsten Beitrag wirft ein externer Cyber-Security-Spezialist einen Blick auf die Rolle von AI bei modernen Phishing-Angriffen und was das für uns alle bedeutet.

Titelbild: Verlin Auliane / Unsplash