Phishing ist eine Social-Engineering-Methode, bei der Angreifer täuschend echt wirkende E-Mails, SMS oder Webseiten nutzen, um Zugangsdaten zu stehlen oder Schadsoftware zu verbreiten. Varianten umfassen Spear-Phishing (gezielt auf eine bestimmte Person), Whaling (auf Führungskräfte) und Smishing (per SMS). Phishing ist der häufigste initiale Angriffsvektor bei Cyberangriffen. Schutzmaßnahmen sind eine Kombination aus technischen Kontrollen (E-Mail-Filter, DMARC, Link-Scanning) und Sensibilisierung der Mitarbeiter. In Deinem ISMS sollte Phishing-Awareness Teil der regelmäßigen Sicherheitsschulungen sein, ergänzt durch Phishing-Simulationen zur Messung der Wirksamkeit.
Phishing
Hier verwendet
ISO-27001-Kontrollen 8
Bedrohungen 7
- G 0.14 — Ausspähen von Informationen (Spionage)
- G 0.20 — Informationen oder Produkte aus unzuverlässiger Quelle
- G 0.23 — Unbefugtes Eindringen in IT-Systeme
- G 0.30 — Unberechtigte Nutzung oder Administration von Geräten und Systemen
- G 0.36 — Identitätsdiebstahl
- G 0.39 — Schadprogramme
- G 0.42 — Social Engineering