*

Jun
29

Externer Datenschutzbeauftragter - Phishing

Externer Datenschutzbeauftragter - PhishingSie wirken auf den ersten Blick bemerkenswert echt und völlig harmlos. E-Mails die anscheinend von Banken, Finanzbehörden, Amazon oder PayPal in Ihrem E-Mail-Postfach landen. Diese E-Mails fordern Sie auf, sensible Daten online oder telefonisch preiszugeben, bestimmte Webseiten zu besuchen oder Dateianhänge zu öffnen. Doch die E-Mails stammen nicht von dem angegebenen Absender, sondern von Kriminellen, die Schadsoftware in den Umlauf bringen wollen oder persönliche Daten direkt von Ihnen abgreifen wollen.

Dieses als Phishing bezeichnete Vorgehen versucht die Gutgläubigkeit des Empfängers auszunutzen. Angriffsziele sind dabei die Zugangsdaten für Banken oder Bezahlanbieter, Versandhändler, Internet-Auktionshäuser oder webbasierte Dienstleistungen wie Onlineberatungen oder Partnerbörsen. Mit den erlangten Zugangsdaten übernehmen die Kriminellen die Identität des Opfers und führen Handlungen in dessen Namen aus. Die daraus resultierenden Schäden können beträchtlich und vielfältig sein. Sie reichen von der Kontoplünderung über die Rufschädigung bis hin zu Schäden für Aufwendungen zur Aufklärung und Wiedergutmachung.

Schätzungen über die jährlich durch Phishing-Attacken entstehenden Schäden gehen von mehreren hundert Millionen Dollar bis zu Milliardenbeträgen. Die durchschnittliche Schadenshöhe liegt bei rund 4.500 Dollar.

  

So gehen die Täter vor

Zum einen hängen die Täter der E-Mail eine zum Beispiel als Rechnung oder Mahnung getarnte Datei an, die der Adressat öffnen soll. Im Anhang sind jedoch Viren oder Trojaner enthalten, die nach dem Öffnen den Computer des Empfängers verseuchen. Mit Hilfe dieser Schadsoftware schalten sich die Kriminellen in den Kommunikationsweg zwischen Kunden und Anbieter und greifen die Daten ab. Selbst relativ moderne Systeme wie das i-TAN-Verfahren können dadurch überlisten.

Zum anderen binden die Täter Links in die E-Mails ein. Mit diesen Links soll der Mail-Empfänger auf Seiten weitergeleitet werden, die oft täuschend echt den Internetauftritten von vertrauenswürdigen Stellen, wie zum Beispiel Banken, Zahlungsanbietern oder Onlinehändlern, nachgebildet sind. Dort soll sich dann der Empfänger mit seinen Benutzerdaten einloggen. Während des Anmeldevorganges werden die Benutzerdaten von den Tätern ausgespäht, um Sie für ihre kriminellen Ziele zu missbrauchen.

Oftmals wird das Opfer gezielt durch die Schilderung der Gefahren von Datendiebstählen und die Möglichkeit zur Nutzung von neuen Schutzmechanismen, die die Eingabe seiner Daten erfordern, in falscher Sicherheit gewogen.

Die E-Mails stammen weder in dem einen oder im anderen Fall von den angegebenen Absendern, sondern im Regelfall von aus dem Ausland agierenden Tätern.

  

So erkennen Sie eine Phishing-Mail

Früher häufiger, heute eher seltener waren Phishing-Mails an vielen Tipp- und Sprachfehlern leicht zu identifizieren. Heutzutage sind das Layout und der Sprachstil meist weitestgehend dem vermeintlichen Absender entsprechend angepasst.

Wachsam sollten Sie immer sein, wenn Sie die E-Mail nicht zuordnen können, die E-Mail von einer dem angegebenen Unternehmen oder Behörde nicht zuordenbaren E-Mailadresse versandt wurde, Sie zur Preisgabe sensibler Daten aufgefordert werden oder der in der E-Mail eingebundene Link auf eine andere als angegebene Zielseite führt.  

Weitere Merkmale für eine Phishing-Mail können eine namenlose Anrede oder eine vermeintlich besondere Dringlichkeit für das von Ihnen eingeforderte Handeln sein.

  

Wie Sie sich richtig verhalten

Unter günstigen Umständen erkennen gute Antivirenprogramme oder Browser bzw. E-Mailprogramm--Filter Phishing-Mails. Daher sollten Sie Ihre Programme stets aktuell halten. Bedenken Sie jedoch, dass auch Antivirenprogramme oder andere Sicherheitsmodule nicht zwangsläufig alle Phishing-Mails erkennen können.

Da die meisten Phishing-Mails in der HTML-Darstellung und unter Einsatz von Skripten erfolgen, können Sie zusätzlich in Ihrem E-Mail-Programm die HTML-Darstellung und Java-Skripte deaktivieren.

Wichtig ist, dass Sie selbst wachsam sind und auch Ihre Mitarbeiter immer wieder in geeigneter Form sensibilisieren. Dazu gehört auch ein grundsätzliches Misstrauen gegenüber dem relativ unsicheren Medium E-Mail.

Ihnen dubios erscheinende E-Mails sollten Sie grundsätzlich ohne das Öffnen von Anhängen oder das Anklicken von Links in den SPAM-Ordner verschieben und von dort aus sofort löschen.

Banken, Behörden und seriöse Unternehmen werden Sie nicht per E-Mail dazu auffordern, persönliche Daten online preiszugeben, sondern dazu den Postweg wählen. Banken und Bezahlanbieter warnen daher auch regelmäßig auf ihren offiziellen Seiten vor Phishing-Gefahren.

Wissen sollten Sie auch, dass es problemlos möglich ist, Absenderadressen von E-Mails zu fälschen und durch einfache Tricks Domainnamen so zu gestalten, dass Sie der offiziellen Domain einer Bank oder anderer Anbieter täuschend ähnlich sind.

Bevor Sie auf E-Mails reagieren, die Bestellungen, Transaktionen, Rechnungen und Mahnungen betreffen, sollten Sie stets prüfen, ob die in der E-Mail enthaltenen Daten wie Bestell- oder Rechnungsnummer mit tatsächlichen Vorgängen übereinstimmen. Im Zweifelsfall fragen Sie immer direkt beim Händler nach.

Für jede von Ihnen genutzte Anwendung sollten Sie stets ein anderes sicheres Passwort verwenden. So vermeiden Sie, dass Kriminelle nach einer Phishing-Attacke gleich auf alle Ihre Accounts zugreifen können.

  

Falls doch einmal etwas schief gehen sollte

Sollten Sie oder einer Ihrer Mitarbeiter doch einmal auf eine Phishing-Mail reagiert haben, sollte Ihr System unverzüglich auf das Vorhandensein von Schadsoftware überprüft werden.

Wurden Benutzerdaten preisgegeben, sollten Sie umgehend die Anmeldedaten ändern und mit Ihrer Bank, dem Zahlungsanbieter oder dem Händler das Erfordernis einer Konto-/Accountsperrung prüfen und ggf. das Erforderliche veranlassen.

Das Erstatten einer Strafanzeige ist empfehlenswert.

  

  

Externer-Datenschutzbeauftragter24.de - ...Ihre Experten für betrieblichen Datenschutz in Berlin und Brandenburg
Benutzername:
User-Login
Ihr E-Mail