News
Aktueller Anlass!
Aus gegebenem Anlass möchten wir heute erneut und explizit auf Phishing-Mails hinweisen. In unseren Datenschutzunterweisungen gehen wir immer und immer wieder auf die Thematik ein und versuchen Ihnen nahe zu legen, wie wichtig es ist, hier ausreichend sensibilisiert zu sein.
Wir bekommen von unseren Geschäftspartner:innen derzeit gehäuft mitgeteilt, dass Phishing-Nachrichten an die E-Mail-Adressen der Kolleg:innen zugestellt werden. Sogar das Bundesamt für die Sicherheit in der Informationstechnik (kurz BSI) warnt: „Derzeit werden vermehrt Phishing-Mails im Namen von Lebensmittelhändlern wie Kaufland, Lidl und Netto versendet, die Kundinnen und Kunden dazu bringen sollen, in Fake-Gewinnspielen auf Links zu "Belohnungen" oder "Prämien" zu klicken. Hinter den Links verbergen sich jedoch Fake-Webseiten, über die Nutzerdaten abgefischt oder Schadsoftware installiert werden soll.“ (https://www.bsi.bund.de/SharedDocs/Newsletter/DE/BuergerCERT-Newsletter/02_Sicher-Infor-miert_19-01-2023.html?nn=132646#doc1081920bodyText2)
Was sind Phishing Mails und wie ist die Vorgehensweise?
Unter Phishing versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten beispielsweise Kontoplünderung zu begehen und den entsprechenden Personen zu schaden. Typisch ist dabei die Nachahmung des Internetauftritts einer vertrauenswürdigen Stelle, etwa der Internetseite einer Bank. Um keinen Verdacht zu erregen, wird das Design der betroffenen Stelle nachgeahmt, so werden etwa dieselben Firmenlogos, Schriftarten und Layouts verwendet. (Auer-Reinsdorff/Conrad IT-R-HdB, § 3 Technische Grundlagen des Internets, beck-online)
Der Benutzer wird dann auf einer solchen gefälschten Seite etwa dazu aufgefordert, in ein Formular die Login-Daten einzutragen. Die Formulare oder Layouts der Mails sehen dabei überraschend und täuschend ähnlich zu den Originalen aus. Hier werden ganze Ticket-Systeme oder Intranet-Plattformen nachgestellt. Oft werden die Empfänger dazu aufgefordert Transaktionsnummern für ein Onlinebanking einzugeben, diese können privater oder geschäftlicher Natur sein.
Diese Daten werden dann an die Phisher weitergeleitet und dazu missbraucht, das Konto zu plündern oder sich in Netzwerke einzuschleusen. Phisher geben sich als vertrauenswürdige Personen aus. Uns sind Phishing-Nachrichten bekannt, in denen sich die Phisher als Geschäftsführer:innen oder Mitarbeiter:innen der IT-Abteilung ausgeben.
Phishing-Nachrichten werden meist per E-Mail oder Instant-Messaging versandt und fordern den Empfänger auf, auf einer präparierten Webseite oder am Telefon geheime Zugangsdaten preiszugeben. (Auer-Reinsdorff/Conrad IT-R-HdB, § 3 Technische Grundlagen des Internets, beck-online)
Die Folge ist, dass sich in den gefährlicheren Phishing-Nachrichten Malware befindet, oder auf eine infizierte Webseite leitet, auf der Daten abgegriffen werden. Die Nachrichten wirken, wie bereits oben erörtert, täuschend echt und die Absender:innen seriös und vertrauenswürdig.
Häufig schöpfen die Empfänger:innen daher keinen Verdacht.
So schützen Sie Ihr Unternehmen vor Phishing!
Wir schließen uns dem BSI an und möchten Ihnen folgende Hinweise und Vorgehensweisen ans Herz legen:
(https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Checklisten/BSI-ProPK-Checkliste-Phishing.pdf?__blob=publicationFile&v=1)
- Führen Sie Aktualisierungen von Software und Betriebssystemen auf allen Geräten immer sofort durch und installieren Sie Antivirenprogramme.
- Seien Sie skeptisch bei E-Mails unbekannter Absender. Ihre Bank, Diensteanbieter oder Behörden bitten niemals per E-Mail darum, persönliche Daten wie Passwörter über einen Link zu ändern.
- Bei Zweifeln lassen Sie sich die Echtheit einer E-Mail vom Absender telefonisch bestätigen. Nutzen Sie dafür nicht die Telefonnummer aus der E-Mail, sondern suchen Sie diese selbst heraus.
- Vorsicht bei Anhängen mit Formaten wie .exe oder .scr. Diese können Schadsoftware direkt auf Ihr Gerät laden. Manchmal werden Nutzer oder Nutzerinnen auch durch Doppelendungen wie Dokument .pdf.exe in die Irre geführt.
- Verwenden Sie für die diversen Account-Zugänge möglichst eine Zwei-Faktor-Authentisierung. Durch die zweite Stufe der Identifizierung können Kriminelle selbst dann nicht auf Ihre Daten zugreifen, wenn sie bereits Ihr Passwort erbeutet haben.
Bei den aufgeführten Punkten handelt es sich um keine abschließende Auflistung. Gerne beraten wir Sie hierzu vertieft. Sprechen Sie gerne Ihren Berater oder unseren Vertrieb an.
Was, wenn es passiert ist?
Sollte es tatsächlich dazu kommen, dass es durch Sie oder durch Kolleg:innen in Ihrem Unternehmen zu einem erfolgreichen Phishing kommt, sollten Sie vorbereitet sein.
Ein solcher Fall kann trotz stetiger Sensibilisierung eintreten - das ist menschlich. Viel schlimmer ist es, wenn in einer solchen Situation kein Prozess hinterlegt ist, Handlungsanweisungen unbekannt sind und intern nicht die richtigen Schritte eingeleitet werden.
Wussten Sie, dass wir auch sog. Awareness-Trainings anbieten?
Schützen Sie sich privat und Ihr Unternehmen - sprechen Sie uns, Ihr FKC-Datenschutz-Team, gerne an!
Unterweisungen zu Cyber-Security können Sie zusätzlich in Absprache mit Ihrem Berater, oder unserem Vertrieb vereinbaren.