Phishing-Angriffe: Was wir täglich dagegen tun
Inhaltsverzeichnis
«Wurden wir gehackt?» Diese Frage hören wir von unserer Kundschaft im Support immer wieder, sagt Lindita, Customer Care Specialist bei cyon. Die Nachricht wirkt bedrohlich: Da steht die eigene Domain, eine bekannte E-Mail-Adresse, vielleicht sogar ein Ablaufdatum. Alles klingt echt. Entsprechend gross ist die Unsicherheit. In solchen Situationen weisst du vielleicht nicht, wie du die Situation einschätzen sollst – und auch im Internet lassen sich darauf oft keine klaren Antworten finden. Dabei ist in den meisten Fällen niemand in deine Systeme eingedrungen.
Was wirklich dahintersteckt und was wir täglich dagegen unternehmen, erklären wir hier. Für diesen Beitrag haben wir Lindita (Customer Care Specialist) und Gina (Incident Operator) befragt, die täglich mit dem Thema arbeiten.
Die Annahme ist verständlich, aber oft falsch
Phishing-Mails wirken glaubwürdig, weil sie echte Informationen nutzen. Angreifer lesen automatisiert aus, was öffentlich zugänglich ist: Domainnamen, typische E-Mail-Adressen wie info@ oder kontakt@, manchmal auch Ablaufdaten aus öffentlichen Quellen (zum Beispiel WHOIS, Websites oder aus dem offiziellen .ch-Zonefile von SWITCH). Das reicht, um eine überzeugende Nachricht zu bauen.
Nur weil eine Phishing-Mail deine Informationen missbraucht, bedeutet das nicht, dass jemand Zugriff auf deine Systeme hat oder ein Datenleck vorliegt. Das Internet ist von Natur aus offen und genau das nutzen Angreifer aus.
Wenn du eine solche Mail erhältst, lohnt es sich, kurz innezuhalten: Kein seriöser Anbieter schreibt seine Kundschaft passiv-aggressiv an oder fordert unter Druck zur sofortigen Eingabe von Zugangsdaten auf. Im Zweifel: Status und Produkte im my.cyon prüfen – dort siehst du, was tatsächlich los ist.
Und falls du unsicher bist: Schick uns die Header-Daten der verdächtigen Mail. So können wir mit ziemlicher Sicherheit prüfen, ob eine Nachricht tatsächlich von einem unserer Server stammt oder von aussen kommt.
Wie Phishing heute funktioniert
Phishing ist ein zweistufiger Angriff. Zuerst kommt die Mail – der Köder. Sie täuscht Vertrauen vor, etwa durch gefälschte Absenderadressen, bekannte Logos oder künstliche Dringlichkeit. Ihr Ziel: Dich auf eine Phishing-Website zu führen – die Falle. Diese imitiert vertrauenswürdige Seiten und sammelt dort, was du eingibst: Login-Daten, Kreditkartennummern, Passwörter.
Hosting-Anbieter werden gezielt imitiert. Der Grund ist naheliegend: Wer Zugangsdaten zu einem Hosting-Konto ergattert, kann diese direkt für weitere Angriffe nutzen und so die nächste Phishing-Welle von dort aus starten. Wie das in einem konkreten Fall abgelaufen ist, haben wir 2019 detailliert dokumentiert: «Nicht mit uns: Wie wir uns gegen eine Phishingattacke wehrten».
Technisch ist der Aufwand für Angreifer heute gering. Bots durchsuchen das Internet automatisch nach E-Mail-Adressen, Domains und Softwareversionen. Daneben gibt es fertige Phishing-as-a-Service-Werkzeuge, die selbst ohne technisches Vorwissen bedienbar sind. Das Resultat: Mehr Angriffe, in kürzerer Zeit, mit weniger Aufwand.
Das Internet ist offen gestaltet – das ist keine Schwäche, sondern Prinzip. Protokolle wie DNS ermöglichen globale Kommunikation. WHOIS macht Domaininformationen nachvollziehbar. Diese Offenheit ist Voraussetzung dafür, dass das Netz so funktioniert, wie wir es kennen. Für .ch-Domains werden personenbezogene Daten inzwischen durch das Datenschutzgesetz geschützt. Bestimmte Angaben – wie der Hoster – bleiben jedoch weiterhin öffentlich sichtbar.
Sicherheit entsteht deshalb nicht durch Abschottung, sondern durch zusätzliche Schutzschichten. Und diese werden angesichts einer neuen Entwicklung immer wichtiger.
Früher verrieten sich Phishing-Mails durch holprige Sprache, schlechte Übersetzungen, offensichtliche Tippfehler. Das hat sich geändert. Sprachmodelle schreiben heute weitgehend fehlerfrei – in Deutsch, Französisch, Englisch und anderen Sprachen. Auch Dialekte lassen sich inzwischen imitieren. Das macht es schwerer, eine gefährliche Mail auf den ersten Blick zu erkennen. Unsere Erkennungssysteme müssen deshalb mitlernen. Wie das funktioniert, erklären wir gleich.
Phishing kommt in Wellen
Angriffe folgen oft einem Muster: Zuerst wird ein kleines Batch versendet. Wenn diese Mails durchkommen, folgt die grössere Welle. Zum Beispiel steigt das Volumen um Weihnachten herum regelmässig an.
Die Herausforderung: Für jede neue Welle werden andere Absenderadressen verwendet. Dadurch ist ein zweiter Durchgang nicht automatisch erkennbar, auch wenn der erste bereits bekannt ist. Die zeitverzögerte Erkennung ist systembedingt.
Plattformen wie PhishTank, abuse.ch, Google Safe Browsing und Talos Intelligence helfen dabei. Auch wir gleichen unsere Systeme laufend mit diesen Listen ab. Der Haken: Neue Angriffe müssen erst gemeldet und erfasst werden, bevor sie greifen.
Mehr dazu: SISA & cyon: Gemeinsam zum sichersten Internet-Land der Welt.
Was bei uns dauerhaft im Hintergrund läuft
Ein grosser Teil der Schutzmechanismen läuft automatisiert, ohne dass du etwas davon merkst. Gleichzeitig bleibt menschliche Aufmerksamkeit entscheidend. Phishing ist ein Zusammenspiel aus technischer Infrastruktur und informierten Entscheidungen im Einzelfall.
Jede eingehende E-Mail wird in Echtzeit geprüft. Header, Inhalte, Links und Anhänge werden auf verdächtige Muster analysiert. Absender-IPs und Routing-Informationen werden mit bekannten Mustern abgeglichen. Unser Anti-Spam-System bewertet E-Mails anhand von Wahrscheinlichkeitsmodellen – und bezieht dabei historische Daten ein: War eine Domain oder ein Muster schon früher in Angriffe verwickelt, wird das berücksichtigt.
Bekannte Spamlisten werden automatisch abgefragt – ein Absender mit schlechter Reputation landet im Zweifel im Spam-Ordner oder wird abgelehnt. Erkennt unser System Massenmails, verlangsamt es die Zustellung automatisch. Das gibt uns Zeit zu reagieren, bevor grosse Mengen zugestellt oder versendet wurden.
Intern setzen wir zusätzliche Massnahmen ein, um Phishing-Versuche frühzeitig zu erkennen, auch bei Mustern, die noch nicht in externen Listen erfasst sind.
Vom Hinweis zur Reaktion
Wenn du uns eine verdächtige Mail meldest, landet sie zuerst beim Support – unsere erste Anlaufstelle. Von dort geht sie direkt weiter an Operations, die sofort mit der Bewertung beginnen.
Die zentrale Frage: Ist cyon das Ziel oder ein anderer Hosting-Anbieter? Und findet der Missbrauch von einem Hosting bei uns statt – oder kommt er von aussen? «Diese Unterscheidung bestimmt, welche Massnahmen wir einleiten», erklärt Gina, Incident Operator bei cyon.
Je nach Einordnung folgen standardisierte Schritte aus unserem internen Prozess. Handelt es sich um Inhalte auf unseren Servern, wird der Zugang nach Sichtung sofort gesperrt. Externe Phishing-Seiten melden wir an die zuständigen Stellen und informieren direkt die betroffenen Hoster und Registrare.
Ausserhalb der Bürozeiten übernimmt unser Pikettdienst, damit auch nachts und am Wochenende reagiert werden kann.
Was du tun kannst
Phishing funktioniert, weil es auf menschliche Reaktionen zielt: Dringlichkeit, Vertrauen, Unachtsamkeit. Technik kann viel abfangen, aber nicht alles. Ein paar Dinge machen den Unterschied:
2FA aktivieren. Die Zwei-Faktor-Authentifizierung für dein my.cyon-Konto ist der wirksamste Schutz, den du selbst einrichten kannst. Selbst wenn Zugangsdaten abgegriffen werden, bleibt der Zugang versperrt. Hier erfährst du, wie du 2FA aktivierst.
Verdächtige Mails melden. Deine Meldung hilft uns, Angriffe einzuordnen und schneller zu reagieren. Am hilfreichsten: die Header-Daten der Mail mitschicken. Was Header-Zeilen überhaupt aussagen, erklärt dieser Artikel: Erklärung der einzelnen Header-Zeilen.
Im Zweifel: my.cyon prüfen. Was auch immer eine Mail behauptet – dein Konto zeigt dir den tatsächlichen Status deiner Produkte.
Mehr dazu findest du in unserem Supportartikel: «Wie erkenne ich Phishing?»
Hast du selbst schon eine Phishing-Mail erhalten oder dich gefragt, ob etwas echt ist? Teile deine Erfahrungen in den Kommentaren.
Das ist der erste Teil unserer Beitragsserie zum Thema Phishing. Im nächsten Beitrag wirft ein externer Cyber-Security-Spezialist einen Blick auf die Rolle von AI bei modernen Phishing-Angriffen und was das für uns alle bedeutet.
Titelbild: Verlin Auliane / Unsplash
Bereit für den Wechsel?
Wechsle jetzt zu cyon für ein souveräneres und nachhaltigeres Internet.
Beteilige dich an der Diskussion
3 Kommentare
Es wäre natürlich super, wenn man den 2FA-Login nicht nur für my.cyon.ch aktivieren könnte, sondern auch für webmail.cyon.ch. Das wäre dringend notwendig, wenn man dies auch fürs Webmail aktivieren könnte!
Hallo Lukas
Danke für deinen wichtigen Input.
Wir haben 2FA fürs Webmail auf dem Schirm. Sobald wir hierzu ein Update haben, werden wir unsere Kundschaft gerne informieren. Bis dahin empfehlen wir, sichere, lange und einzigartige Passwörter und bestenfalls einen Passwort-Manager zu verwenden. Weitere Infos findest du hier: https://www.cyon.ch/support/a/sicheres-passwort.
Bei Fragen kontaktiere uns gerne via mail@cyon.ch.
Liebe Gina
Danke für deine Rückmeldung. Cool, dass ihr dies auf dem Schirm habt. Es wäre wirklich dringend zu empfehlen, dass ihr dies zeitnah implementiert. Bei vielen von euren Mitbewerbern ist dies bereits Standard und führt zu bedeutend mehr Sicherheit. Danke dir und Gruss, Lukas.