Wie viele Millionen haben Sie heute schon gewonnen? – Die tägliche Gefahr lauert im E-Mailpostfach
Im bundesweiten Durchschnitt wird jedes E-Mailkonto täglich mit 18 schadhaften Nachrichten konfrontiert. Dabei reichen diese E-Mails vom leicht erkennbaren unerwarteten Lotto-Gewinn bis hin zur vermeintlich legitimen Aufforderung, das Passwort auf einer Onlineplattform zu aktualisieren. Niemand ist sicher davor, auf einen solchen Phishing-Versuch hereinzufallen. Um so bedeutender ist es, dass Sie und Ihre Mitarbeiter:innen aufmerksam im Umgang mit Ihren E-Mails sind.
Mit den folgenden Ausführungen möchten wir Ihnen einige Hinweise geben, mit deren Hilfe Sie die meisten schadhaften E-Mails entlarven können. Das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) hat dazu auf diversen Seiten Informationen zusammengetragen.
Zur Vertiefung des Themas empfehlen wir Ihnen mindestens diese Seite und das darin enthaltene Video:
Spam, Hoax, oder Phishing – Eine kurze Einordnung
Grundsätzlich müssen wir schadhafte E-Mails unterteilen. In der IT-Sicherheit passiert das anhand der sich anschließenden Auswirkungen.
Spam E-Mails sind lästig, meist wollen diese E-Mails Ihnen etwas verkaufen oder Sie sollen animiert werden, weitere Aktionen durchzuführen (z.B. Antworten oder auf einem Button „Abmelden“ drücken). Bei Nichtbeachtung solcher E-Mails geht auch meistens keine weitere Bedrohung von Ihnen aus. Es wird häufig nach einem Grund gesucht, warum man Spam-Nachrichten erhält. Ganz oft ist Ihre E-Mailadresse öffentlich gelistet oder steht in Abolisten, welche zum Kauf angeboten werden.
Hoax E-Mails sind mindestens genauso lästig wie Spam E-Mails, sind jedoch bereits um einiges gefährlicher. Diese E-Mails beinhalten beabsichtigt falsche Informationen, um Sie zu einer Aktion zu verleiten. Im Gegensatz zu anderen Angriffsvarianten wird hier gezielt auf den Leser Einfluss genommen. Der Einfluss auf Sie kann von Meinungsbildung durch bewusste Falschmeldungen bis hin zur Aufforderung bestimmte Dateien zu löschen oder Änderungen an Sicherheitsmechaniken (z.B. einen bestimmten Port in der Firewall freigeben) führen.
Phishing E-Mails sind nicht nur die bekanntesten Gefahrenquellen, es sind auch die gefährlichsten für Ihre Identität und für das Unternehmen. Diese E-Mails zielen darauf ab, Ihre Daten zu ergaunern oder weitere Schadsoftware in Ihren Systemen zu platzieren. Auch bei diesen E-Mails werden Sie zur Aktion aufgefordert. Es wird eine verseuchte Datei angehängt oder ein Link in der E-Mail platziert der zu einer verseuchten Webseite verlinkt.
Wie schützen Sie sich nun vor solchen E-Mails?
Es gibt keinen 100%igen Schutz vor Spam. Aus diesem Grund ist es wichtig, die Mitarbeiter:innen bestmöglich zu unterstützen.
- Treffen Sie wichtige Sicherheitsmaßnahmen!
Diese Sicherheitsmechanismen umfassen E-Mailfirewalls, Spamfilter und sichere Kommunikationsstandards. Sprechen Sie ggf. mit Ihren IT-Administrator:innen, ob bereits die Transportverschlüsselung TLS aktiviert wurde und ob weitere Sicherheitsmaßnahmen möglich sind. Lassen Sie zeitgleich einen Vermerk an externen E-Mails anbringen, damit die Sensibilität geweckt wird. - Treffen Sie organisatorische Maßnahmen! Auch für den Notfall!
Sie erhalten viele unternehmerische Dokumente nur noch per E-Mail, z.B. Rechnungen, Aufträge, Bestandslisten usw.
Wenn doch etwas passiert, ist schnelles Handeln wichtig. Damit Sie schnell handeln können, brauchen Sie einen Plan. Nehmen Sie sich die Zeit, um darüber nachzudenken, was passieren muss, damit das Unternehmen weiterhin arbeitsfähig ist. - Sensibilisieren Sie regelmäßig Ihre Mitarbeiter:innen und Kollegen:innen
Wer regelmäßig mit E-Mails arbeitet, stumpft ab. Es ist daher wichtig, immer wieder darauf hinzuweisen, woran man eine Phishing E-Mail erkennt. - Testen Sie Ihre Mirarbeiter:innen und Kolleg:innen!
Es gibt viele Möglichkeiten, solche Social-Awareness-Kampagnen zu gestalten. Von einem hausinternen Test mithilfe der Kolleg:innen der IT, bis hin zu groß angelegten, mehrstufigen Kampagnen mithilfe einer darauf spezialisierten Agentur.
Woran erkennt man eine schadhafte E-Mail?
Mit folgendem Fragenkatalog sollten Sie kurz jede eingehende Mail prüfen:
- Erwarten Sie eine E-Mail von dem Absender?
- Stimmt die angezeigte Absende-E-Mailadresse mit der bekannten E-Mailadresse überein?
- Ist das Geschriebene so, wie Sie normalerweise mit dem Absender interagieren?
- Werden Sie plötzlich geduzt, obwohl Sie normalerweise das „Sie“ verwenden?
Sollten Ihrerseits Zweifel an der Echtheit der E-Mail bestehen, binden Sie bitte die Kolleg:innen der IT ein.
Was ist tun, wenn nun doch auf eine Phishing E-Mail reagiert wurde?
Informieren Sie die Kolleg:innen der IT sofort bei Bekanntwerden und befolgen Sie die Anweisungen der IT! Nur so kann Schlimmeres verhindert werden.
Informieren Sie die Geschäftsführung, um weitere Maßnahmen zu ergreifen.
Warum spricht der Datenschutzbeauftragte über E-Mailsicherheit?
Im Falle eines Datenlecks durch eine schadhafte E-Mail sprechen wir von einer „Verletzung des Schutzes personenbezogener Daten“ nach Art. 4 Absatz 12 DSGVO. Diese Schutzverletzung ist , innerhalb von 72 Stunden nach Bekanntwerden meldepflichtig, wenn ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht (Art. 33 Abs. 1 DSGVO). Ebenfalls müssen alle möglicherweise betroffenen Personen unverzüglich über das Risiko informiert werden, siehe Art. 34 Abs. 1 DSGVO.
Kann ECOVIS unsere Mitarbeiter auch zu dem Thema sensibilisieren?
Wir unterstützen Sie gerne mit einem Workshop zum Thema „E-Mailsicherheit im Alltag“ und zeigen Ihnen und den Mitarbeitern in Ihrem Unternehmen woran man eine schadhafte von einer legitimen E-Mail unterscheiden kann. Sprechen Sie uns gerne darauf an!