Mimecast Logo
Angebot einholen

    Was ist Phishing?

    Phishing ist eine der ältesten Formen von E-Mail-Angriffen, die jedoch in Unternehmen aller Größenordnungen immer noch weit verbreitet sind.
    Bedrohungsprüfung starten
    WAS IST PHISHING?
    Bedrohungsprüfung starten
    Wichtige Punkte

    Inhalt des Artikels

    Verschaffen Sie sich ein klares Verständnis von Phishing, seinen sich entwickelnden Taktiken und wie Sie Ihr Unternehmen vor diesen anhaltenden E-Mail-Bedrohungen schützen können:

    • Phishing ist eine betrügerische Cyberattacke, bei der sich Angreifer als vertrauenswürdige Instanzen ausgeben, um Benutzer zur Preisgabe vertraulicher Informationen oder zum Herunterladen von malware zu verleiten. Dabei gibt es immer ausgefeiltere Varianten wie Spear-Phishing, whaling, Smishing und Vishing, die sowohl auf Einzelpersonen als auch auf Unternehmen abzielen.
    • Die Auswirkungen von Phishing können schwerwiegend sein und zu Datenschutzverletzungen, finanziellen Verlusten und Rufschädigung führen, wobei bekannte Branchen wie das Finanzwesen, das Gesundheitswesen und der Einzelhandel häufige Ziele sind.
    • Die Abwehr von Phishing erfordert einen mehrschichtigen Ansatz, der fortschrittliche E-Mail-Sicherheitslösungen wie Mimecast, Schulungen zur Sensibilisierung der Benutzer, Echtzeit-Bedrohungsanalysen und proaktive Maßnahmen wie die Multi-Faktor-Authentifizierung und die Implementierung von DMARC umfasst.

    Phishing-Angriffe erklärt

    Phishing ist eine der ältesten Formen von E-Mail-Angriffen, die jedoch in Unternehmen aller Größenordnungen immer noch weit verbreitet sind. Es passiert, wenn Betrüger Benutzer online mit E-Mails spammen. Diese E-Mails versprechen manchmal Preise oder drohen beispielsweise mit einer Kontosperrung und fordern Sie dann auf, auf einen Link zu klicken oder eine Website zu besuchen, um die Sache zu klären. Anstatt ein Geschenk zu gewinnen oder die eingefrorene Kreditkarte zu reaktivieren, werden die Nutzer stattdessen ihrer Identität beraubt oder ihre Computer mit Viren infiziert.

     

     

    Wie funktionieren Phishing-Angriffe?

    Phishing-Betrügereien beruhen darauf, dass Benutzer zu einer Aktion verleitet werden. Beim URL-Phishing beispielsweise wollen Hacker, dass Benutzer auf eine gefälschte Website zugreifen und Passwörter und sensible Informationen preisgeben. Die Website fordert den Benutzer häufig auf, ein Passwort zurückzusetzen, persönliche Daten und Kreditinformationen erneut einzugeben, um ein Konto zu bestätigen, oder ein "Software-Update" herunterzuladen, bei dem es sich in Wirklichkeit um eine getarnte malware handelt.

    Phishing-Angriffe werden immer raffinierter

    Die Bedrohungen für die Unternehmenssicherheit entwickeln sich ständig weiter und werden immer komplexer, und Phishing-Bedrohungen bilden da keine Ausnahme.

    In einer Phishing-E-Mail geben sich Angreifer als seriöses Unternehmen oder als bekannte Person aus, um Benutzer dazu zu bringen, wichtige Informationen wie Anmeldedaten oder Kontoinformationen preiszugeben. In einer Spear-Phishing-E-Mail geben sich die Angreifer oft als eine Person im Unternehmen des Empfängers aus, während sich der Absender einer Wal-Phishing-E-Mail als CEO oder CFO ausgeben und den Empfänger anweisen könnte, Geld auf ein betrügerisches Konto zu überweisen.

    Diese Art von Phishing-Bedrohungen sind enorm erfolgreich. Tatsächlich begannen 91% aller heutigen Hackerangriffe mit einer Phishing- oder Spear-Phishing-E-Mail. Da jeder Einbruch Millionen an Geschäfts-, Produktivitäts- und Reputationsschäden verursachen kann, benötigen Unternehmen einen ausgefeilten Schutz, um sich vor diesen sich ständig weiterentwickelnden Angriffen zu schützen.

     

    Infografik, die erklärt, wie Phishing funktioniert

     

    Beispiele für Phishing-E-Mails

    Phishing-E-Mails können viele Formen annehmen, aber alle haben ein gemeinsames Ziel: den ahnungslosen Benutzer dazu zu verleiten, seine Kontodaten, Kontaktinformationen oder andere sensible Daten preiszugeben. Diese E-Mails enthalten oft einen bösartigen Link oder einen bösartigen Anhang, der als legitim getarnt ist.

    Hier sind gängige Beispiele:

    • Eine E-Mail, die vorgibt, von Ihrer Bank zu sein, die vor verdächtigen Aktivitäten warnt und Sie auffordert, auf einen Link zu klicken, um Ihr Konto zu verifizieren "." Der Link führt zu einer gefälschten Website, die darauf abzielt, Ihre Kontodaten zu stehlen.
    • Eine Nachricht, die aussieht, als käme sie vom IT-Team Ihres Unternehmens, fordert Sie auf, ein kritisches Update von "herunterzuladen" - das sich als bösartiger Anhang mit malware entpuppt.
    • Eine scheinbar freundliche E-Mail von einem Kollegen, der Sie bittet, ein angehängtes Dokument zu prüfen, ist in Wirklichkeit Teil eines Phishing-Betrugs, der von Cyber-Kriminellen gestartet wurde.

    Jede dieser E-Mails ist so gestaltet, dass sie echt aussieht. Oft werden Logos, Namen oder sogar die Formate früherer E-Mail-Threads verwendet, um sie noch überzeugender zu machen.

    Das Cybersecurity Awareness Kit

    Mimecast stattet IT- und Unternehmensleiter mit Ressourcen aus, die das Bewusstsein für Cybersicherheit einfach, wirkungsvoll und sogar unterhaltsam machen und Ihnen alles geben, was Sie brauchen, um Ihre Mitarbeiter zu befähigen.

    Das Kit kaufen

    Verschiedene Arten von Phishing-Techniken

    Phishing ist nach wie vor die beliebteste Form von Cyberangriffen, und sie hat sich trotz aller Bemühungen, sie zu bekämpfen, gehalten. Phishing ist nach wie vor die beliebteste Form von Cyberangriffen, und sie hat sich trotz aller Bemühungen, sie zu bekämpfen, gehalten. In den letzten Jahren hat sich Phishing in neue Richtungen entwickelt, wie zum Beispiel:

    • Gezieltes Spear-Phishing - Ein personalisierter Phishing-Versuch, der sich als eine vertrauenswürdige Person ausgibt, z. B. ein Mitarbeiter oder ein Lieferant. Diese E-Mails verweisen oft auf echte Projekte oder interne Details, um den ahnungslosen Benutzer zum Herunterladen eines bösartigen Anhangs zu verleiten.
    • Smsishing(per Textnachricht) - Die Abkürzung steht für SMS-Phishing. Bei Smishing-Angriffen werden Textnachrichten verwendet, um Opfer dazu zu verleiten, auf betrügerische Links zu klicken oder Kontaktinformationen anzugeben. Diese Nachrichten scheinen oft von Banken, Lieferdiensten oder Personalabteilungen zu stammen.
    • Vishing (über Voicemail) - Betrüger geben sich in einem Telefonanruf als Mitarbeiter des technischen Supports, der Personalabteilung oder der Finanzabteilung aus. Sie setzen die Zielpersonen unter Druck, Anmeldedaten preiszugeben, Passwörter zurückzusetzen oder Transaktionen zu autorisieren - alles unter dem Vorwand, verdächtige Aktivitäten zu klären.
    • Whaling – Diese Form des Phishing zielt auf hochrangige Führungskräfte wie CEOs oder CFOs ab. Whaling-E-Mails fordern typischerweise Überweisungen oder sensible Geschäftsdaten unter einem dringenden Vorwand an.
    • Angler-Phishing - Diese in sozialen Medien verbreitete Technik gibt sich als legitimes Kundendienstkonto aus, um Beschwerden abzufangen und Benutzer dazu zu verleiten, ihre Kontodaten weiterzugeben oder auf bösartige Links zu klicken.
    • Fallen-Phishing - Angreifer versenden Köder-E-Mails mit gefälschten Stellenangeboten, Rechnungen oder Gewinnbenachrichtigungen. Sobald der Benutzer sich darauf einlässt, wird er auf Phishing-Websites geleitet oder aufgefordert, bösartige Anhänge herunterzuladen.
    • Pharming - Diese fortschrittliche Technik leitet Benutzer ohne ihr Wissen von legitimen Websites auf gefälschte Websites um. Selbst wenn der Benutzer die richtige URL eintippt, wird er auf eine betrügerische Website weitergeleitet, um sensible Informationen wie Passwörter oder Zahlungsdaten zu stehlen.

    Die Auswirkungen von Phishing-Angriffen auf Unternehmen

    Die Auswirkungen von Phishing auf Unternehmen sind schwerwiegend. Nach den jährlichen Berichten des Ponemon Institute belaufen sich die durchschnittlichen Gesamtkosten einer Datenschutzverletzung für ein Unternehmen, einschließlich Schäden wie Umsatzeinbußen aufgrund von Ausfallzeiten, auf etwa 3,86 Millionen Dollar. Und je größer die Sicherheitslücken werden, desto höher sind auch die Kosten.

    Branchen, die am meisten von Phishing-E-Mails betroffen sind

    Phishing betrifft fast jede Branche. Einige sind aufgrund der Art der Daten, mit denen sie arbeiten, oder aufgrund ihrer Abhängigkeit von der digitalen Kommunikation häufiger betroffen.

    • Finanzdienstleistungen: Banken und Kreditgenossenschaften sind aufgrund der sensiblen Finanzdaten, die sie speichern, besonders gefährdet. Eine single Phishing-Nachricht kann zu massivem Betrug führen.
    • Gesundheitswesen: Krankenhäuser und Kliniken speichern oft große Mengen an persönlichen Daten, was sie anfällig für Angriffe mit gestohlenen Kontaktinformationen und Zugangsdaten macht.
    • Einzelhandel und E-Commerce: Diese Unternehmen werden häufig Opfer von Phishing-Betrügereien, bei denen E-Mails zum Kundensupport oder Versandbenachrichtigungen mit bösartigen Links imitiert werden.
    • Bildung: An Universitäten und Schulen kann es zu Phishing-Versuchen kommen, die auf Mitarbeiter oder Studenten abzielen, insbesondere während der Einschreibe- oder Finanzhilfephase.

    Verteidigung gegen einen Phishing-Virus

    Ein Phishing-Virus beginnt in der Regel mit einer E-Mail, die scheinbar von einer seriösen Quelle wie einer Bank, einem Kreditkartenunternehmen, einer sozialen Website, einem Online-Zahlungsanbieter oder einem IT-Administrator stammt. Die E-Mail leitet den Empfänger dazu an, auf einen Link zu einer Website zu klicken, die sich als bösartig herausstellt und auf der der Benutzer nach persönlichen Daten wie einem Passcode, einer Kreditkartennummer oder Kontoinformationen gefragt wird. Diese Informationen werden dann verwendet, um Zugang zu den Konten des Benutzers zu erhalten und Identitätsdiebstahl zu begehen.

    Ein Spear-Phishing-Virus ist ein gezielteres Phishing, das sich gegen eine bestimmte Person oder Funktion im Unternehmen richtet. Bei dieser Art von Phishing-Virusangriff werden Social-Engineering-Techniken und über die Person gesammelte Informationen eingesetzt, um die E-Mail glaubhafter zu machen und die Wahrscheinlichkeit zu erhöhen, dass der Empfänger darauf reagiert.

    Die Verhinderung von Phishing-Virenangriffen erfordert ausgeklügelte Lösungen, die leistungsstarke E-Mail-Sicherheitstechnologie mit dynamischen Schulungen zur Sensibilisierung der Benutzer kombinieren. Hier kann Mimecast helfen. 

    Wie die Mimecast-Technologie einen Phishing-Angriff per E-Mail verhindert

    Die KI-gestützte Advanced Email Security von Mimecast schützt Sie vor jeder Art von Phishing-E-Mail-Bedrohung.

    Der Impersonation-Schutz von Mimecast ermöglicht einen Whaling-Angriff, bei dem Mitarbeiter durch Social Engineering dazu gebracht werden, vertrauliche Daten preiszugeben oder Geld auf ein betrügerisches Konto zu überweisen. Mimecast scannt alle eingehenden E-Mails in Echtzeit und sucht in der Kopfzeile, der Domain und dem Inhalt der Nachricht nach spezifischen Anzeichen für Betrug.

    Die URL-Schutzfunktionen von Mimecast verhindern einen Phishing-Angriff per E-Mail, indem sie alle URLs in eingehenden und archivierten E-Mails bei jedem Klick überprüfen und Websites nur öffnen, wenn sie als sicher eingestuft wurden.

    Die Funktionen zum Schutz von Anhängen von Mimecast verteidigen waffenfähige Anhänge, indem sie Anhänge in eine Sandbox packen und nur sichere Dokumente an den Benutzer senden lassen.

    Vorteile der menschenzentrierten Sicherheitslösung von Mimecast für Phishing-Angriffe

    Mit der KI-gesteuerten Advanced Email Security von Mimecast können Unternehmen:

    • Verhindern Sie einen Phishing-Angriff, einen Spear-Phishing-Angriff oder eine Whale-Phishing-Bedrohung, ohne dass Sie zusätzliche Infrastruktur oder IT-Overhead benötigen.
    • Fügen Sie sofortigen Schutz für alle Geräte ohne Unterbrechung für die Endbenutzer hinzu.
    • Aktivieren Sie den Dienst schnell über die Cloud-Plattform von Mimecast.
    • Verbessern Sie den Einblick mit durchgängigen Echtzeit-Bedrohungsanalysen und detaillierten Berichten.

    Erfahren Sie mehr darüber, wie Sie einen Phishing-Angriff oder CEO Fraud stoppen können und über die Lösung von Mimecast zum Schutz vor Spam-E-Mails und zur Erkennung von Ransomware.

    Phishing-FAQs

    Eine Phishing-E-Mail ist eine E-Mail, die vorgibt, von einer vertrauenswürdigen Organisation zu stammen, und versucht, den Empfänger dazu zu bringen, vertrauliche Informationen wie Passwörter, Bankkontonummern oder Kreditkartendaten preiszugeben. Phishing-E-Mails können auch versuchen, Benutzer dazu zu bringen, auf einen Link zu klicken, über den malware auf ihren Computer heruntergeladen wird.

    Um eine Phishing-E-Mail zu erkennen, müssen Sie ein scharfes Auge für Details haben, die nicht zusammenpassen. Hier sind ein paar Anzeichen, auf die Sie achten sollten:


    • Verdächtige Absender-E-Mail-Adressen: Phishing-E-Mails kommen oft von Adressen, die legitimen Adressen sehr ähnlich sind, aber leichte Abweichungen aufweisen, z. B. einen zusätzlichen Buchstaben oder eine andere Domain.
    • Allgemeine Begrüßungsformeln: Phishing-E-Mails verwenden oft allgemeine Begrüßungsformeln wie "Sehr geehrter Kunde", anstatt den Empfänger mit seinem Namen anzusprechen.
    • Dringende oder bedrohliche Sprache: E-Mails, die ein Gefühl der Dringlichkeit vermitteln, indem sie Sie vor einem Kontoproblem oder einem Sicherheitsverstoß warnen, sind oft so gestaltet, dass Sie schnell und unüberlegt handeln.
    • Schlechte Grammatik und Rechtschreibfehler: Viele Phishing-E-Mails enthalten offensichtliche Rechtschreib- und Grammatikfehler, die seriöse Unternehmen in ihrer Kommunikation nicht machen würden.
    • Verdächtige Links oder Anhänge : Bewegen Sie den Mauszeiger immer über Links, bevor Sie darauf klicken, um zu sehen, wohin sie tatsächlich führen, und vermeiden Sie das Herunterladen von unerwarteten Anhängen.

    Selbst wenn Sie einen E-Mail-Sicherheitsdienst eines Drittanbieters nutzen, müssen Sie proaktiv bleiben, um Phishing-E-Mails effektiv zu blockieren. Und so geht's:


    • Seien Sie wachsam: Seien Sie immer vorsichtig, wenn Sie unerwartete E-Mails erhalten, insbesondere solche, die nach persönlichen oder finanziellen Informationen fragen. Achten Sie auf rote Flaggen wie ungewöhnliche Sprache, verdächtige Links oder Aufforderungen zu dringenden Maßnahmen.
    • Überprüfen Sie die Absenderangaben: Wenn Ihnen eine E-Mail verdächtig vorkommt, sollten Sie sich nicht nur auf den Anzeigenamen verlassen. Überprüfen Sie die vollständige E-Mail-Adresse, und nehmen Sie im Zweifelsfall über einen anderen Kanal Kontakt mit dem Absender auf, um die Legitimität der Nachricht zu überprüfen.
    • Dringende oder bedrohliche Sprache: E-Mails, die ein Gefühl der Dringlichkeit vermitteln, indem sie Sie vor einem Kontoproblem oder einem Sicherheitsverstoß warnen, sind oft so gestaltet, dass Sie schnell und unüberlegt handeln müssen.
    • Vermeiden Sie es, auf Links zu klicken oder Anhänge herunterzuladen: Klicken Sie niemals auf Links oder laden Sie keine Anhänge von unbekannten oder unerwarteten E-Mails herunter, selbst wenn sie legitim erscheinen. Bewegen Sie den Mauszeiger über Links, um eine Vorschau der URL anzuzeigen und sicherzustellen, dass sie zu vertrauenswürdigen Websites führen.
    • Markieren Sie verdächtige E-Mails als Spam: Wenn eine verdächtige E-Mail Ihre Filter passiert, markieren Sie sie als Spam, um künftige Nachrichten von diesem Absender zu verhindern. Dies kann auch Ihrem E-Mail-Sicherheitsdienst helfen, solche E-Mails besser zu erkennen.
    • Nutzen Sie die erweiterten Funktionen Ihres E-Mail-Sicherheitsdienstes: Ihr E-Mail-Sicherheitsdienst scannt wahrscheinlich in Echtzeit nach Phishing-Bedrohungen und analysiert eingehende Nachrichten auf gefährliche Links, bösartige Anhänge oder gefälschte Domains. Stellen Sie sicher, dass Funktionen wie der URL-Schutz und die Überprüfung von Anhängen aktiviert sind, um einen umfassenden Schutz zu gewährleisten.
    • Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA): Wenn Sie oder Ihr Unternehmen MFA noch nicht implementiert haben, ist dies ein wichtiger Schritt zum Schutz vor Phishing. Selbst wenn die Anmeldedaten kompromittiert werden, bietet MFA eine zusätzliche Verteidigungsschicht, die den unbefugten Zugriff auf Konten verhindert.
    • Halten Sie Ihre Software auf dem neuesten Stand: Stellen Sie sicher, dass Ihre Sicherheitssoftware, Browser und E-Mail-Programme auf dem neuesten Stand sind. Viele Phishing-Versuche nutzen Schwachstellen in veralteter Software aus. Regelmäßige Updates helfen also, diese Sicherheitslücken zu schließen.
    • Implementieren Sie DMARC (Domain-based Message Authentication, Reporting & Conformance): Wenn Ihr Unternehmen E-Mails verarbeitet, hilft die Einrichtung von DMARC-Richtlinien dabei, E-Mail-Spoofing und Phishing-Versuche zu verhindern, indem sichergestellt wird, dass nur legitime E-Mails von Ihrer Domain gesendet werden.

    Phishing-Angriffe können jeden treffen, aber es gibt bestimmte Gruppen, die besonders gefährdet sind:


    • Einzelpersonen: Alltägliche Benutzer sind häufige Ziele, insbesondere diejenigen, die mit der Erkennung von Phishing-Versuchen weniger vertraut sind.
    • Unternehmen: Unternehmen, insbesondere solche, die mit sensiblen Informationen oder Finanztransaktionen umgehen, sind häufig Ziel von Spear-Phishing- und Wal-Phishing-Angriffen.
    • Führungskräfte: Hochrangige Führungskräfte, insbesondere CEOs und CFOs, sind aufgrund ihres Zugangs zu großen finanziellen Vermögenswerten und sensiblen Informationen bevorzugte Ziele für "whaling" Angriffe.
    • Mitarbeiter in sensiblen Abteilungen: Mitarbeiter in der Personal-, Finanz- oder IT-Abteilung sind häufig Ziel von Angriffen, weil sie mit kritischen Informationen wie Gehaltsabrechnungen, persönlichen Daten oder Zugangsberechtigungen arbeiten.
    • Kunden von Finanzinstituten: Banken und Zahlungsplattformen geben sich häufig in Phishing-E-Mails als Kunden aus, um deren Kontodaten zu stehlen.

    Ein phishing-Virus ist eine Form von malware, die im Rahmen eines Phishing-Angriffs auf dem Computer eines Benutzers installiert wird. Phishing ist eine Form der Internetkriminalität, bei der sich Angreifer als vertrauenswürdiges oder seriöses Unternehmen ausgeben, um eine Person dazu zu verleiten, Informationen wie Bankkontonummern, Kreditkartendaten, Anmeldeinformationen und andere sensible Daten weiterzugeben und/oder einen Phishing-Virus auf den Computer des Benutzers herunterzuladen.

    Erfolgreiche Phishing-Angriffe beruhen in der Regel auf mehreren Faktoren:


    • Vertrauen: Indem sie den Anschein erwecken, von einer Quelle zu stammen, die der Benutzer kennt und der er vertraut, umgehen Phishing-Angriffe jeden Verdacht auf eingehende E-Mails.
    • Angst: Viele erfolgreiche Phishing-Angriffe verleiten Benutzer dazu, auf einen Link zu klicken, indem sie ihnen vorgaukeln, dass es ein Problem gibt, das schnell gelöst werden muss, oder dass es Konsequenzen von einer höheren Instanz oder einem Vorgesetzten geben wird, wenn sie nicht schnell reagieren.
    • Mangel an Zeit: Angreifer wissen, dass die meisten Benutzer wenig Zeit haben und eine E-Mail so schnell wie möglich lesen und beantworten wollen - was die Wahrscheinlichkeit erhöht, dass sie sich den Inhalt nicht genau ansehen.
    • Volumen: Es ist sehr kostengünstig, Phishing-Angriffe zu starten, indem große Mengen an E-Mails versendet werden, und die Angreifer brauchen nur ein paar Leute, die den "Köder" schlucken, damit es sich lohnt.
    • Phishing-Angriffe werden immer raffinierter und sind immer schwieriger zu erkennen: Fortgeschrittene Angriffe wie Spear-Phishing und Whaling nutzen Social-Engineering-Techniken, um die Empfänger davon zu überzeugen, dass eine E-Mail legitim ist.

    Die Verhinderung von Phishing-Angriffen erfordert einen vielschichtigen Ansatz für die Cybersicherheit.


    • Implementieren Sie Sicherheitsschulungen für Benutzer, um menschliches Versagen - eine der Hauptursachen für Sicherheitsverletzungen - zu vermeiden, indem Sie den Benutzern helfen, die Anzeichen von Phishing zu erkennen.
    • Implementieren Sie die DMARC-Authentifizierung, um E-Mails zu blockieren, die Domain-Spoofing und Brand-Hijacking verwenden, was bei Phishing häufig vorkommt.
    • Implementieren Sie Anti-phishing- und Anti-malware-Programme auf Endgeräten und Netzwerken.
    • Ermutigen Sie die Benutzer, bei der Anmeldung bei Konten eine Multi-Faktor-Authentifizierung zu verlangen.

    Wenn Sie glauben, dass Sie eine Phishing-E-Mail erhalten haben, können Sie diese an die Federal Trade Commission (FTC) unter spam@uce.gov weiterleiten. und an die Anti-Phishing-Arbeitsgruppe unter reportphishing@apwg.org. Sie können den Angriff auch bei der FTC unter ftc.gov/complaint, bei Ihrem E-Mail-Anbieter (z.B. Outlook oder Gmail) und bei dem Unternehmen, als das sich die E-Mail ausgibt, melden.

    Verwandte Phishing-Ressourcen

    Resources_21.jpg
    Email & Collaboration Threat Protection

    Gartner® Magic Quadrant™ für E-Mail-Sicherheit

    Analystenbericht
    Resources_34.jpg
    Email & Collaboration Threat Protection

    Email Security: Mimecast & Microsoft

    Whitepaper
    Resources_32.jpg
    Email & Collaboration Threat Protection

    The Cost and Risk of Email Attacks: Mimecast vs. Competition

    Infografik
    Zurück zum Anfang