Datenkrake Phishing-E-Mails

von (Kommentare: 0)

In der heutigen digitalen Welt sind Phishing-E-Mails eine ernsthafte Bedrohung für die Sicherheit Ihrer Daten und die Integrität vieler Unternehmenssysteme. Neben der Informationssicherheit ist der Diebstahl persönlicher Daten mit Hilfe gefälschter Webseiten, E-Mails oder Kurznachrichten eine Herausforderung, der wir auch im Datenschutz ständig begegnen.

Da zwischenzeitlich viele, nicht ausschließlich seriöse, Unternehmen großen Profit aus der Sammlung und Vermarktung von personenbezogenen Daten ziehen und sich die Meldungen zu diesen in der Presse derzeit wieder häufen, möchten wir auf dieses spezielle Thema nochmals eingehen. Denn allein in den letzten zwei Wochen meldeten die Medien vier Fälle, in denen Betrüger versuchten, an Kundeninformationen zu kommen. Hiervon betroffen sind unter anderem Kunden, die ein Online-Konto bei der Bank Comdirect haben, Nutzer des Zahlungsportals Klarna und, wie die Verbraucherzentrale warnt, Amazon-Kunden. Auch Netflix-Kunden sind aktuell wieder von Phishing-E-Mails betroffen. Beinahe täglich findet man Warnungen in den Medien.

Sowohl für Sie und Ihre Mitarbeiter aber auch als Privatperson ist es wichtig, wie Sie Phishing-E-Mails erkennen und diesen wirksam entgegenwirken können. Nachfolgend möchten wir Ihnen ein paar Tipps geben.

E-Mail-Sicherheit

Phishing-Angriffe zielen darauf ab, das Vertrauen des Empfängers zu gewinnen, indem sie sich als vertrauenswürdige Quelle inner- oder außerhalb Ihrer Firma oder Ihres privaten Umfelds ausgeben und Sie zu weiteren Handlungen auffordern oder animieren.

Manchmal enthalten E-Mails auch gefährliche Dateianhänge oder Links zu Webseiten, um sensible Daten zu erhalten oder die IT-Systeme eines Unternehmens zu schädigen. Hierbei muss es sich nicht ausschließlich um personenbezogene Daten handeln. Auch Informationen zu Firmeninterna oder Geschäftsgeheimnisse sind für einige Betrüger sehr profitabel und die Schäden können für Unternehmen bis zu Existenzverlust führen. Kommt es im Privatbereich zu einem großen Schaden, geht dieser oftmals mit dem Verlust von hohen Geldsummen einher, der die Existenz einer Person nicht minder gefährdet.

Die häufigsten Gefahren von Phishing-E-Mails:

  • Opfer werden aufgefordert, gefälschte Dokumente, Verträge oder Rechnungen zu öffnen, die schädliche Skripte enthalten können. Hierbei handelt es sich oftmals um Anlagen im Excel-, Word- oder Zip-Format.

  • Betrüger übernehmen gerne die Identität eines Mitarbeiters oder Vorgesetzten, um Sie dazu zu bringen, Geld anzuweisen, Bankverbindungen zu ändern oder vertrauliche Informationen weiterzugeben.

  • Eine sehr bekannte Masche ist auch das detailgetreue Kopieren bekannter Standard-E-Mails von Versanddienstleistern (z. B. für Paketlieferungen), Telekommunikationsunternehmen (z. B. für Mobilfunkrechnungen) oder Banken, um Sie dazu zu bewegen, auf schadhafte Links zu klicken.

Der Schaden, sowohl für Privatpersonen als auch Unternehmen, ist, je nach Art oder Menge der erbeuteten Informationen, immens. Die Tragweite von Phishing- oder Ransomware-Angriffen geht bis zur Existenzschädigung.

Phishing-E-Mails erkennen

Es gibt Möglichkeiten, wie Sie Phishing-E-Mails erkennen und sich vor den möglichen Folgen schützen können. Nachfolgende Verhaltensweisen können helfen betrügerische E-Mails zu erkennen:

  • Abweichende Formatierung:
    Achten Sie auf Formatierungsunterschiede in E-Mails, wie beispielsweise plötzlich veränderte Schriftarten oder Farben.

  • Grammatik und Rechtschreibung:
    Schlechte Grammatik, Rechtschreibfehler (z. B. das Fehlen deutscher Umlaute, die in anderen Sprachen nicht vorhanden sind) oder ein unprofessioneller Sprachgebrauch können ebenfalls ein Hinweis auf Phishing sein.

  • Aktualisierungen anfordern:
    E-Mails, die Sie dazu auffordern, Ihre Anmeldedaten oder persönlichen Informationen zu aktualisieren, sollten immer kritisch geprüft werden.

  • Absender-E-Mail-Adresse:
    In den meisten Fällen sollten Sie die E-Mail-Adresse des externen Absenders sehr genau prüfen. Ist ein Wort in dieser unvollständig, verdreht oder falsch geschrieben? Ist die Domain plötzlich eine andere als die Ihnen bekannte?

  • Dringender Handlungsbedarf:
    Wenn Sie aufgefordert werden, ganz dringend und innerhalb einer kurzen Frist zu handeln, sollten Sie ebenfalls sehr achtsam sein.

  • Links in der E-Mail prüfen:
    Klicken Sie nicht vorschnell auf fremde Links. Der Link, den Sie sehen, ist nicht immer der Link, zudem Sie tatsächlich weitergeleitet werden. Um den Link einsehen und auf Richtigkeit zu prüfen, fahren Sie (ohne auf diesen zu klicken!) mit der Maus auf den Link. Dann wird Ihnen (am Desktop-PC) in Ihrem Browser unten links die echte URL angezeigt, die hinter der Angabe steckt. Oftmals verbergen sich an dieser Stelle böse Überraschungen.

  • Ignorieren Sie verkürzte Links:
    Linkverkürzungsdienste wie TinyURL oder bit.ly sind zwar legitime Anbieter, jedoch nutzen Angreifer sie, um das wahre Ziel ihres Links zu verschleiern. Denn aus diesen Links ist nicht ersichtlich, wo Sie beim Anklicken wirklich landen werden.


Vor allem in den Unternehmensbereichen der IT und des HR kommen derartige E-Mails sehr gerne zum Einsatz. Doch auch über andere Abteilungen wird versucht, mit Hilfe von Phishing-E-Mails Zugriff auf Informationen zu bekommen, da Kriminelle davon ausgehen, dass diese Mitarbeitenden vielleicht weniger aufmerksam sind.

Einige der vorgenannten Erkennungsmerkmale treffen auch auf SMS- oder Messenger-Nachrichten zu, in denen Links enthalten sind und Sie aufgefordert werden, diese anzuklicken. Auch hier gilt es, die Zusendung von Links kritisch zu hinterfragen und diese nicht vorschnell anzuklicken.

Anbei ein klassisches Beispiel für eine aktuelle Phishing-SMS, mit einer Aufforderung, über das Anklicken des Links, Daten zu verifizieren, da angeblich die Rufnummer auslaufen würde:

Ist man tatsächlich Kunde bei o2, könnte man geneigt sein, den Link anzuklicken, um in unserer schnelllebigen Zeit, das Thema sofort erledigt zu haben. Doch kennt man als Kunde SMS-Benachrichtigungen von o2, wundert man sich über die Art und Form der Mitteilung. Überlegt man zusätzlich einen Moment, ob die Behauptung überhaupt zutrifft (was hier nicht der Fall war), wird man bereits skeptischer. Beachtet man dann noch die Schreibweise im Link (eine Null statt einem großen oder kleinem O) und sieht das Datum ohne Punkt, hat man die wichtigsten Warnzeichen bereits erkannt und sollte die Rufnummer sperren und die SMS löschen.

Testen Sie Ihr Wissen zum Thema Phishing

Neben den bereits genannten Erkennungsmerkmalen gibt es Möglichkeiten, herauszufinden, wie gut Ihr Wissen im Umgang mit Phishing-E-Mails ist und ob Sie in der Lage sind, alle Warnsignale zu erkennen. Falls Sie sich selbst testen möchten, können Sie dies unverbindlich prüfen:

  • Auf der Internetseite der Allgeier CyRis GmbH können Sie Ihr Wissen im Umgang mit Phishing-E-Mails testen. Die angebotene Testseite bietet verschiedene Szenarien und Beispiele, anhand derer Sie lernen können, verdächtige Merkmale zu erkennen und auf diese richtig zu reagieren:
    https://layer8.app/experte/quiz/

  • Auch der Internetgigant Google bietet ein Quiz zur Erkennung von Phishing-E-Mails an, um potenzielle Gefahren zu erkennen:
    https://phishingquiz.withgoogle.com/?hl=de

Na, haben Sie alle Hinweise erkannt oder sind Sie doch irgendwo reingefallen?
Indem Sie lernen, Phishing-E-Mails zu erkennen, können Sie verhindern, dass Ihre persönlichen Daten oder die Daten Ihres Unternehmens in falsche Hände geraten. Je besser Sie informiert sind und umso wachsamer Sie bei seltsamen Nachrichten bleiben, desto sicherer können Sie sich und Ihre Daten schützen.

Aufmerksamkeit und Skepsis

Wenn Sie den Verdacht haben, es könnte ein Fall von Phishing vorliegen, ignorieren Sie die gestellten Forderungen, öffnen Sie keine Links oder Anhänge und antworten Sie nicht. Klären Sie mit Ihrer IT, ob Sie die verdächtige E-Mail (am besten als Datei-Anlage) an diese zur Prüfung weiterleiten sollen.

Sind Sie sich bereits sicher, dass es sich um Phishing oder Spam handelt, löschen Sie die E-Mail direkt. Hinweis: auch Spam-Newsletter sollten Sie konsequent löschen. Melden Sie sich bei einem seriösen Portal ab, werden Sie künftig keine Newsletter mehr erhalten. Doch hatten Sie den Newsletter erst gar nicht abonniert, ist es ratsam, auf die Verwendung des „Abmelden“-Buttons zu verzichten. Denn genau über diesen Weg verifizieren Sie Ihre E-Mail-Adresse und die Gegenseite weiß durch Ihren Klick, dass es die E-Mail-Adresse tatsächlich gibt. Die Verifizierung steigert den Wert der E-Mail-Adresse.

Haben Sie die Vermutung, die E-Mail und die zugehörige Anlage von einem Kollegen oder Dienstleister könnten „echt“ sein, sind sich jedoch nicht zu 100% sicher, gehen Sie den einfachsten Schritt der Welt: greifen Sie zum Telefon, rufen Sie die Person an und fragen kurz nach. So erfahren Sie, ohne große Umstände, ob Sie die Anlage bedenkenlos öffnen können.

Phishing und Datenschutz

Der Bereich Phishing gehört schwerpunktmäßig zur IT-Sicherheit und Mitarbeiter sollten auch im Rahmen der Security Awareness hierzu sensibilisiert werden. Doch die Themen greifen in manchen Bereichen ineinander über. Wie bereits erwähnt, können, neben Geschäftsgeheimnissen, auch personenbezogene Daten auf diese Weise ausspioniert werden. Kommt es zu einem derartigen Vorfall, liegt mit hoher Wahrscheinlichkeit ein Datenschutzverstoß vor. Bei diesem ist zu klären, inwiefern ggfs. eine Meldepflicht bei der Behörde vorliegt. Die dacuro GmbH hat bereits mehrfach zum Thema Datenpannen berichtet. Wie bereits erwähnt, kann die Tragweite von Phishing- oder Ransomware-Angriffen sehr groß sein.

Aus diesem Grund ist die Thematik nicht aus dem Bereich Datenschutz wegzudenken und sollte im Zuge der technisch-organisatorischen Maßnahmen berücksichtigt werden. Mit diesem Teilbereich erreichen Sie in Ihrem Unternehmen nicht nur eine größere IT-Sicherheit, sondern erfüllen auch die Vorgaben des Datenschutzes.

dacuro GmbH

Neben den technisch-organisatorischen Maßnahmen umfasst der Datenschutz weitere Themenschwerpunkte, die die dacuro GmbH mit ihren Kunden regelt. Hierunter fallen, neben den klassischen Verzeichnissen der Verarbeitungstätigkeit, alle weiteren Themen wie Pflichtinformationen, die Sensibilisierung und Schulung der Mitarbeiter oder auch die Prüfung Ihrer Webseite auf Datenschutzkonformität. Wir betreuen unterschiedliche Branchen vollumfänglich zum Datenschutz und stellen für diese den externen Datenschutzbeauftragten. Sollten Sie Fragen zum Thema haben oder sich nicht sicher sein, ob Sie für Ihr Unternehmen einen Datenschutzbeauftragten benötigen, sprechen Sie uns an.

TAGS

Zurück

Einen Kommentar schreiben

Was ist die Summe aus 6 und 8?

Updates Anmeldung zum Newsletter

Wir informieren Sie kostenlos über aktuelle Meldungen zum Thema Datenschutz.