Tipp des Monats: :Phishing-Mails

Liebe Kolleginnen und Kollegen,

die E-Mail ist seit Jahren Einfallstor Nummer 1 für Angriffe. Aus früheren Jahren sind noch die E-Mails bekannt, die in schlechtem Deutsch die Nutzer dazu aufforderten, dubiose Webseiten zu besuchen, personenbezogene Daten preis zu geben, bei Gewinnspielen teilzunehmen und in Fake-Shops einzukaufen.

Auf diese Spam-E-Mails fällt (hoffentlich) heute kaum noch jemand herein.

In den vergangenen Jahren wurden diese E-Mails jedoch immer ausgereifter. Das Ziel der Angreifer ist häufig Phishing.

Die Empfänger werden mit echt aussehenden E-Mails dazu gebracht, auf die in den E-Mails enthaltenen Links zu klicken und auf der ebenfalls echt aussehenden Website ihre Zugangsdaten einzugeben. Viele Angriffe richten sich an Unternehmen, wobei der E-Mail-Account der Mitarbeitenden oft das Ziel des Angriffs ist. Fällt ein Mitarbeiter darauf rein und gibt auf der gefakten Exchange-Online-Seite seine Zugangsdaten ein, ist dies der Jackpot für jeden Angreifenden. Der Täter hat damit Zugriff auf die E-Mail-Kommunikation des Mitarbeitenden sowie Zugang zu den Kontakten und Terminen des Opfers. Dies ist häufig der erste Schritt für weitergehende Angriffe auf das Unternehmen/die Einrichtung.

Bekannt sind derartige Angriffe auch - und vor allem - aus dem Umfeld des Online-Bankings, bei dem vermeintlich die Bank die Kunden per E-Mail dazu auffordert, sich online anzumelden.

Tipp! Gesunde Skepsis ist der beste Schutz

Der wirksamste Schutz vor Phishing besteht nach wie vor in einer gesunden Skepsis und einem vorsichtigen Verhalten beim Surfen im Web.

• Links in unverlangt zugesandten E-Mails oder auf sozialen Netzwerken sollten Sie nicht einfach anklicken, unverlangt zugesandte E-Mail-Anhänge nicht ohne Rückfrage öffnen.
• Kreditkartendaten und vor allem Zugangsdaten für das Online-Banking sollten Sie nur bei Zahlungsvorgängen bzw. beim Aufruf der Webseite Ihrer Online-Bank eingeben.
• Die Webseite Ihrer Online-Bank sollten Sie nur über Direkteingabe der Adresse aufrufen.
• Zusätzlich können Sie das SSL-Zertifikat bei einer solchen Verbindung überprüfen.
• Wechseln Sie zudem Passwörter und PINs für Online-Dienste in kurzen Abständen.
• Bei der Nutzung öffentlicher WLANs sollten Sie unbedingt darauf achten, dass die Verbindungen per SSL verschlüsselt sind.

Weitere technische Schutzmöglichkeiten

Es gibt eine Reihe von technischen Schutzoptionen, mit denen Phishing-Attacken verhindert werden sollen. Dazu gehören:

• Phishing-Filter in Browsern und E-Mail-Programmen zur Erkennung und Blockade von Phishing-Mails und Phishing-Webseiten
• Verwendung eines Antivirenprogramms zum Schutz vor (Phishing-)Trojanern und Keyloggern
• zusätzliche Phishing-Filter in Antivirenprogrammen
• verbesserte SSL-Techniken (Extended-Validation-SSL-Zertifikate), durch die im Browser mittels einer Einfärbung der Adresszeile die Echtheit der Webseite besser signalisiert wird
• zum Schutz vor Phishing-Angriffen beim Online-Banking der Umstieg auf eine Banking-Variante mit erhöhter Sicherheit (Mehr-Faktor-Authentifizierung)

Achtung ! Auf die Phishing-Filter in Browsern, E-Mail-Anwendungen und Antivirenprogrammen ist allerdings kein hundertprozentiger Verlass, denn sie basieren meist auf schwarzen Listen, die daher nur bereits identifizierte Angriffsversuche blockieren können. Noch unbekannte Adressen werden damit nicht erfasst.

Noch Fragen? Das Team der betrieblichen Datenschutzstelle hilft Ihnen gerne weiter und wünscht einen gesegneten September!