2021 sind dem NCSC doppelt so viele Cyberangriffe gemeldet worden wie 2020. Vor allem Meldungen zu Phishing sind deutlich angestiegen. Dagegen geht die Branche jetzt vor – mit konkreten Handlungsempfehlungen für E-Mail-Anbieter.
Phishing-E-Mails sind ein grosses Einfallstor für die zunehmenden Cyber-Attacken, denen Unternehmen und Privatpersonen in der Schweiz ausgesetzt sind. Entsprechende Meldungen an das Nationale Zentrum für Cybersicherheit (NCSC) stellten 2021 nach Betrugsversuchen die zweithäufigste Kategorie dar. E-Mail-Dienst-Anbieterinnen sind die erste Anlaufstelle für die Kundinnen und Kunden im Zusammenhang mit Phishing-E-Mails. Phishing-Attacken verursachen daher einen wachsenden Aufwand bei den Dienste-Anbieterinnen. Ausserdem können sie bei ihren Kundinnen und Kunden enorme Schäden anrichten. Dennoch ist es in der Praxis kaum möglich, Angreifer zu identifizieren und sie rechtlich zu belangen. Damit die Anbieterinnen ihre Kunden besser vor Phishing-E-Mails schützen und die zuständigen Behörden bei der Identifizierung und Verfolgung von Angreifern Hand bieten können, hat Swico konkrete und standardisierte Massnahmen definiert, die auch vom NCSC, von asut, von der SISA und von Switch unterstützt werden.Diese orientieren sich nach den geltenden Regelungen des Schweizer Rechts zur Filterung und Unterdrückung von unerlaubten Spam-E-Mails und zur Herausgabe von Informationen an Behörden und Gerichte. Die Branchenempfehlung soll Anbieterinnen als Orientierungshilfe dienen zur Beurteilung der möglichen und angemessenen Massnahmen gegen Cyber-Attacken über Phishing E-Mails. Ausserdem nutzen die Massnahmen rechtliche Spielräume für konkrete Verhaltensempfehlungen zur Erkennung und Prävention von Phishing-Versuchen sowie zur Information von Kunden über die ergriffenen oder möglichen Massnahmen.
Ziel der Massnahmen
Kundinnen und Kunden sollen möglichst wenig in Kontakt kommen mit Phishing-E-Mails, um Schäden bei sich selbst und hohen Support-Aufwand bei der Anbieterin zu vermeiden. Sie sollen transparent über die Schutzmassnahmen der Anbieter gegen Phishing-E-Mails informiert werden, insbesondere auch in den Verträgen bzw. AGB. Die Anbieterinnen fördern durch die Informationen ihrer Kundinnen und Kunden deren Sensibilisierung für den Umgang mit (verdächtigen) E-Mails. Der Informationsaustausch zwischen Anbieterinnen und involvierten Behörden (insbesondere den Strafverfolgungsbehörden und dem NCSC) soll verbessert werden. Damit wollen die Anbieterinnen die Behörden bei der Identifizierung und Verfolgung von Cyber Angreifern unterstützen und zur Verbesserung der Datengrundlage für Filter beitragen. Giancarlo Palmisani, Leiter Verbandsdienstleistungen bei Swico, lobt das eigenverantwortliche Handeln der Branche: «Wir alle wissen, wie lästig die riesige Menge an Phishing-E-Mails ist – und wie schnell selbst gut informierte User in der Hektik des Alltags mögliche Gefahren übersehen.» Und er ergänzt: «Mit der vorliegenden Branchenempfehlung haben wir in enger Zusammenarbeit mit der IG Hosting und Mitgliedern des Legal Circles ein Instrument geschaffen, welches Risiken minimiert und der Branche als Ganzes dient.»
Zahlen und Fakten zu Phishing
- Phishing-Attacken stehen beim NCSC an zweiter Stelle der Schadensmeldungen: In KW2/2022 gab es beispielsweise 558 Meldungen wegen Betrug und 167 wegen Phishing.
- 96 % der Phishing-Attacken erfolgten 2020 via Mail, 3 % via Websites und 1 % via Telefon
- Eine Analyse von über 88 Millionen E-Mails zeigte auf, dass 1 von 99 E-Mails ein Phishing-Versuch ist.
- 95 % aller Netzwerk-Attacken sind die Folge eines gezielten Phishings
- Ein Test unter 410’000 Teilnehmenden zeigte auf, dass über 50 % eine Phishing-E-Mail öffneten und über 32 % auf den verseuchten Link bzw. Anhang klickten.
Die vorliegende Branchenempfehlung von Swico zeigt die konkreten und standardisierten Massnahmen der Schweizer Anbieterinnen von E-Mail-Diensten gegen Phishing-E-Mails auf. Sie wird unterstützt vom Schweizerischen Verband der Telekommunikation (Association Suisse des Télécommunications asut), dem Nationalen Zent- rum für Cybersicherheit (National Cyber Security Centre NCSC), der Swiss Internet Security Alliance (SISA) und der Switch. Die Branchenempfehlung mit Mustertexten für die Information gegenüber Kundinnen und Kunden steht allen Hostern oder Anbieterinnen von E-Mail-Dienstleistungen zur Verfügung und kann ab sofort unter www.swico.ch/wissen in der Rubrik Normen und Standards heruntergeladen werden.