Die Anti-Phishing Working Group (kurz: APWG) hat 2022 rund 4,7 Millionen Phishing-Attacken weltweit registriert. Ein neuer Rekord. Seit 2019 stieg die Anzahl von Phishing-Attacken im Schnitt um 150 Prozent. Besonders Banken sind hochsensibel gegenüber Cyber-Attacken jeglicher Art, da sie das Vertrauen der Kund:innen in die Bank und die Markenreputation des Geldinstitutes im schlimmsten Fall nachhaltig beschädigen. Insbesondere das Internetbanking ist immer häufiger das Ziel von Phishing-Attacken. Laut der “Cyber Security zu Cyber Resilience”-Studie der KPMG und Lünendonk & Hossenfelder nehmen 84 Prozent aller Befragten Finanzunternehmen einen Anstieg der Bedrohung durch Online-Attacken wahr. Fast zwei Drittel aller Banken führen Phishing-Attacken als Einflussfaktor für eine erhöhte Bedrohungslage der Cybersecurity auf. Wie Banken sich gegen solche Phishing-Attacken auf der Domain-Ebene am besten schützen, lesen Sie im Folgenden.

Typische Muster

Es gibt typische Muster von Phishing-Attacken, die per Mail oder SMS verschickt werden. Die vermeintlichen Kund:innen werden in diesen dazu aufgefordert, direkt ihre Bankverbindung einzugeben oder sich in ihren Banking Account über einen Link einzuloggen (dadurch sollen die Zugangsdaten offengelegt werden). Bei diesen Links handelt es sich dann nicht um den der Bank, sondern um eine gut getarnte, ähnlich klingende Domain, wie z.B. spaarkasse.de. Viele dieser Phishing-Attacken werden aufgrund offensichtlicher Grammatikfehler oder der Tatsache, gar nicht Kunde oder Kundin bei der Bank zu sein, schnell erkannt. Oftmals nutzen Betrüger aber auch zum Verwechseln ähnliche Log-In-Masken oder E-Mail-Adressen, die nur schwer von den offiziellen Kommunikationskanälen der Bank zu unterscheiden sind. Die Aufklärung der eigenen Kund:innen seitens der Bank und die damit einhergehende Sensibilisierung mit dem Thema sowie Aufrufe zur Meldung solcher Phishing-Attacken ist ein sinnvolle erste Maßnahme, die gleichzeitig leider nicht ausreicht. Denn Phisher nutzen gerne reale Aufhänger wie die PSD2-Regelung oder Anpassungen in der DSGVO, um ihre Angriffe gegenüber den Bank-Kund:innen legitim erscheinen zu lassen. Banken müssen solche Aufhänger daher antizipieren und sich darauf vorbereiten. Dazu gehören auch präventive und reaktive Maßnahmen, um die eigene Domain vor Phishing-Attacken zu schützen.

Präventive Maßnahmen: Domain-Strategie

Häufig sind Vertipper-Domains oder finanz-nahe Domainendungen mit dem gleichen Domainnamen das Haupteinfallstor für Phisher. Eine durchdachte Domain-Strategie ist für Banken daher unerlässlich. Sie  schützt sie, ihre Kund:innen und ihre Markenreputation. Von Anfang an sollten Banken daher Hauptdomains und sinnvolle Zusatzdomains definieren, abhängig von ihren Zielgruppe, den Zielmärkten und der eigenen Webseiten-Struktur. Vertipper-Domains und plausible Domainendungen wie „.bank“ oder „.finance“ sollten dabei beachtet werden. Bei international tätigen Banken ist es zudem wichtig, passende Länderendungen (ccTLDs) zu verwenden und gegebenenfalls generische Domainendungen zu registrieren, die die eigene Marke unterstützen. In diesem Prozess sollten unbedingt schon die verschiedenen Stakeholder wie die Rechtsabteilung, IT und Marketing mit einbezogen werden.

Es ist natürlich nicht möglich, alle denkbaren Domains zu registrieren und den Angriffsvektor “Domain” komplett auszuschließen. Zudem ziehen Phisher häufig auch Subdomains hinzu, was durch eine präventive Domainstrategie nicht vollständig verhindert werden kann.

Frühzeitiges Erkennen von Gefahren durch Monitoring

Aus diesem Grund ist es entscheidend, ein permanentes Monitoring einzurichten, das neu Schlüsselwörter regelmäßig überwacht und bei Verdachtsfällen an die jeweils zuständige Abteilung meldet. Dies können Begriffe wie der Bankname, Produktnamen, Abkürzungen, Marken oder spezifische Angebote sein. Durch ein Domain-Monitoring der definierten Begriffe kann die Bank einen sinnvollen Schutzmechanismus mit geringem Aufwand und niedrigen Kosten erreichen. Dieses Monitoring sollte daher der erste Sicherheitsstandard der Bank auf diesem Feld sein. Darüber hinaus sollten Banken auch ein Reporting-System für Kund:innen errichten, die gerade mit einer oben beschriebenen Phishing-Attacke konfrontiert wurden. Denn selbst ein proaktives Monitoring-System ist nie zu 100 Prozent effektiv. In dieser Kombination kann schon ein Großteil der Phishing-Attacken erkannt und entsprechend abgewehrt werden.

Reaktive Maßnahmen: Abwehr von Angriffen auf die eigene Marke

Wenn eine möglicherweise problematische Domain entdeckt wird, sollte schnell vorgegangen werden. Der erste Schritt ist der Kontakt mit dem Registrar, der die Domain hostet, um die Erreichbarkeit der Domain zu unterbinden. Daneben – wenn eine Markenrechtsverletzung bestehen – sollte gegebenenfalls ein sogenannter Alternative Dispute Resolution Process gestartet werden. Das Ziel dieser Verfahren ist, die Domain in den Besitz des rechtmässigen Markeneigentümers zu übertragen (UDRP-Verfahren), bzw. die (unrechtmäßige) Nutzung zu verhindern (das in der Regel schnellere URS-Verfahren, das für her eindeutige Markenrechtsverletzungen geeignet ist). Bei diesen Maßnahmen unterstützt united-domains mit einem Partnernetzwerk aus Rechtsexperten.

Kommunikation mit Kund:innen auf möglichst vielen Kanälen

Natürlich gilt es bei einer Phishing-Attacke zunächst die Kund:innen zu warnen. Dabei ist es wichtig, einen Kommunikationsplan und eine Krisen-PR aufzusetzen. An dieser Stelle sollten Fragen der Kund:innen antizipiert und in einem FAQ gesammelt werden. Die eigentliche Kommunikation sollte dann über alle Kanäle erfolgen, damit möglichst viele Kund:innen vor der aktuellen Phishing-Attacke gewarnt werden: Am besten auf der Website, in der Banking-App, per Mail oder SMS, aber auch als Aushang in den Bankfilialen – überall dort, wo sich die Kund:innen im Alltag aufhalten.

Nach der Attacke ist vor der Attacke

Leider werden sich Phisher in Zukunft immer ausgefeiltere Systeme überlegen, wie sie an die wertvollen Daten von Banking-Kund:innen gelangen. Banken sollten daher in einer Art Retrospektive die aktuelle Phishing-Attacke untersuchen und eventuelle Muster, wie verwendete Domains, Nameserver und Registrare, ableiten. Diese Erkenntnisse können dann in die eigene Domain-Strategie einfließen und helfen, potentielle Bedrohungen schneller zu identifizieren. Die Kund:innen sollten dabei aktiv in diese Prävention mit einbezogen werden, um die Reporting-Schleifen zukünftig so kurz wie möglich zu halten.

Es ist wichtig anzumerken, dass das Domain-Monitoring allein nicht ausreicht, um Phishing-Attacken vollständig zu verhindern. Sie sollte aber Teil eines umfassenden Sicherheitskonzepts sein, das verschiedene Maßnahmen wie Kundeninformation, Schulungen, Authentifizierungsverfahren und Sicherheitslösungen umfasst. Durch die Kombination verschiedener Schutzmechanismen können Banken das Risiko von Phishing-Attacken minimieren und so Kund:innen und ihre eigene Markenreputation effektiv schützen. Für Banken lohnt sich eine solche ausgewogene Strategie in jedem Fall: Laut dem IC3-Reports des FBI haben Menschen in den USA allein durch Phishing-Attacken im Jahr 2022 über 52 Millionen US-Dollar verloren.