DIE MENSCHLICHE FIREWALL – DER NUTZER ALS SICHERHEITSRISIKO?

Mit Blick auf die Gefährdungslage der IT-Sicherheit ist für die letzten Jahre sowohl im privaten als auch im betrieblichen Umfeld ein stetiger Anstieg von Bedrohungsszenarien zu verzeichnen. Auch wenn Angreifer für Cyberangriffe zunehmend auf Schadprogramme zurückgreifen, kann durch den alleinigen Einsatz von Antiviren-Softwares kein umfassender Schutz gewährleistet werden. Zunehmend wird der Nutzer zur entscheidenden Sicherheitsbarriere. Hierbei ergeben sich sowohl Chancen als auch Risiken.


DER NUTZER ALS SICHERHEITSRISIKO?

Seit Beginn der Covid-19-Pandemie und der damit einhergehenden Dezentralisierung der betrieblichen IT-Infrastrukturen durch die Verlagerung der Arbeitstätigkeiten ins „Homeoffice“ ergeben sich für Cyberkriminelle zunehmend neue Angriffsmöglichkeiten. An dieser Stelle besonders hervorzuheben ist das sogenannte „Social Engineering“, welches nach wie vor eines der beliebtesten Werkzeuge zur Verwirklichung krimineller Absichten darstellt. Zudem zielt es auf das vermeintlich schwächste Glied in der IT-Sicherheit ab: den Nutzer.

Dem „Faktor Mensch“ sind im Rahmen der IT-Sicherheit zwei wesentliche Aufgaben zuzuschreiben: Einerseits proaktiv mögliche Bedrohungslagen und potenzielle Gefährdungen für die IT-Sicherheit zu erkennen und andererseits reaktiv auf derartige Ereignisse angemessen zu reagieren, um bereits eingetretene Schäden zu minimieren. Besonders entscheidend ist an dieser Stelle das Bewusstsein der Nutzer über sowie die Einhaltung von definierten internen Meldeprozessen im Hinblick auf die gesetzlichen Melde- und Benachrichtigungspflichten, beispielsweise gemäß Art. 33 und Art. 34 Datenschutz-Grundverordnung (DS-GVO).

Unterstützung können hierbei etwaige Sicherheitsrichtlinien, Anweisungen oder verschriftlichte Prozesse schaffen, welche sowohl das Verständnis als auch die Sensibilität hinsichtlich (potenzieller) Bedrohungslagen fördern. Darüber hinaus ist darauf zu achten, dass getroffene Vorkehrungen und Regelungen auf ein gewisses Maß an Akzeptanz seitens der Nutzer stoßen.


SENSIBILISIERUNG IST DER SCHLÜSSEL

Ein wesentliches Element stellt hierbei die Sensibilisierung einzelner Nutzer und Nutzergruppen dar. Dies geht beispielsweise auch aus dem Baustein „ORP.3: Sensibilisierung und Schulung zur Informationssicherheit“ des BSI IT-Grundschutzes hervor. Bereits im Rahmen des Onboardings ist sicherzustellen, dass die Nutzer mit den grundlegenden Anforderungen und Richtlinien vertraut gemacht werden. Ergänzend hierzu sollten zeitnah weitere Sensibilisierungsmaßnahmen durchgeführt werden, um die Thematik gegenwärtig und präsent zu halten. Im weiteren Verlaufe können zu aktuellen oder besonders sensiblen Schwerpunkten weitere Maßnahmen ergriffen werden.

Von entscheidender Bedeutung ist es dabei, ein gutes Maß an Sensibilisierungsmaßnahmen zu finden. Während eine unzureichende Sensibilisierung die Wirksamkeit der übrigen getroffenen technischen und organisatorischen Maßnahmen erheblich abschwächt, kann eine Übersensibilisierung aufgrund der Informationsfülle ebenfalls zu einer Abschwächung des Schutzniveaus führen. Abhilfe kann insbesondere ein Sensibilisierungskonzept schaffen, welches dabei insbesondere aktuelle Bedrohungsszenarien und die spezifischen Anforderungen der jeweiligen Organisation berücksichtigt. Mittels eines solchen Konzeptes lässt sich zudem unter Zuweisung von Verantwortlichkeiten ein zeitlich und inhaltlich koordiniertes Awareness-Management dokumentiert nachweisen.

Zu berücksichtigen ist in jedem Falle, dass es auch mit einer einmaligen Durchführung von Sensibilisierungsmaßnahmen nicht getan ist, sondern diese regelmäßig wiederholt werden sollten. Die stetige Berücksichtigung aktueller Bedrohungsszenarien und Angriffsmodelle vermeidet dabei repetitive Inhalte.

Eine umfassende Darstellung der sich ergebenden Sicherheitsrisiken sowie Umsetzungsmöglichkeiten für Sensibilisierungsmaßnahmen können Sie unserem Beitrag „Die menschliche Firewall – Der Nutzer als Sicherheitsrisiko?“ entnehmen, welcher in der Ausgabe Nr. 06/2021 des DATENSCHUTZ-BERATER erschienen ist. Den Beitrag können Sie in der digitalen Fassung hier abrufen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Awareness
  • Informationssicherheit
  • IT-Sicherheit
  • Meldepflichten
  • Sensibilisierung
Lesen

DAS PROBLEM MIT DEM PHISHING

Vor dem Hintergrund des durch die Corona-Pandemie bedingten Anstiegs der im „Home-Office“ tätigen Beschäftigten ist es nahezu denklogisch, dass ebenfalls eine drastische Zunahme von sogenannten Phishing-E-Mails zu verzeichnen ist.

Dem neuen KnowBe4 Phishing-Report ist dabei zu entnehmen, dass zu den aktuellen Themen (Untersuchung von echten Phishing-E-Mail-Betreffzeilen aus der Praxis) u.a. folgende Themen gehören:  „IT: Jährliche Bestandsaufnahme der Geräte“, „Twitter: Sicherheitswarnung: Neuer oder ungewöhnlicher Twitter-Login“, „Amazon: Aktion erforderlich | Ihre Amazon Prime-Mitgliedschaft wurde abgelehnt“, „Zoom: Fehler bei geplanter Besprechung“, „Google Pay: Bezahlung gesendet“, „Microsoft 365: Aktion erforderlich: Aktualisieren Sie die Adresse für Ihren Xbox Game Pass für Konsolen-Abonnement“, „Arbeitstag: Erinnerung: Wichtiges Sicherheitsupgrade erforderlich“.

Daneben beobachtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) insbesondere Phishing-E-Mails zu Themen Änderungen von Datenschutzbestimmungen (bspw. PayPal), Teilnahmen an Gewinnspielen, Sicherheitsüberprüfungen (z.B. von Bank- und Kreditinstituten) sowie Aktualisierung von Nutzerdaten.

Was ein Phishing-Angriff ist, wie ein solcher erkannt werden kann und wie man sich bei einer Reaktion auf eine Phishing-E-Mail verhalten muss, soll im folgenden Beitrag näher beleuchtet werden.


WAS IST EIGENTLICH PHISHING?

Phishing ist eine Form des Social Engineerings, einer Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch soziale Handlungen zu erlangen. Beim Social Engineering werden menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Dadurch können Beschäftigte so manipuliert werden, dass sie unzulässig handeln.

Phishing (ein Kunstwort aus „Password“ und „Fishing“) beschreibt das Vorgehen, insbesondere über gefälschte Unternehmenswebseiten und E-Mails die Zugangsdaten, Bankdaten oder andere vertrauliche Informationen von Benutzern zu erlangen und damit einen Identitätsdiebstahl zu begehen. Grundlegend kann zwischen zwei Varianten von Phishing-E-Mails unterschieden werden:

Zum einen kann eine Phishing-E-Mail einen Link enthalten. Dieser führt zumeist auf einen täuschend ähnlichen Nachbau der Internetseite eines Dienstleisters. Auf diesem soll der Benutzer dann vertrauliche Informationen eintragen. Die hierbei eingegebenen Daten werden abgefangen und für die Zwecke der Betrüger missbraucht.

Zum anderen kann eine Phishing-E-Mail einen Anhang enthalten, der beispielsweise als angebliche Rechnung oder gar Mahnung getarnt ist. Öffnet der Empfänger den Anhang wird darin enthaltene Malware auf dem Endgerät des Nutzers übertragen. Diese Schadsoftware kann dann beispielsweise dafür sorgen, dass ein Zugriff auf einzelne Dokumente oder auf den gesamten Rechner nicht mehr möglich ist oder sämtliche Tastatur- und Bildschirmeingaben an unbefugte Dritte übermittelt werden.

Häufig verbreiten sich Phishing-E-Mails als Spam-E-Mails und erreichen somit unzählige Empfänger. Bei dem sogenannten Spear-Phishing richtet sich der Angriff gezielt gegen bestimmte Organisationen. Diese E-Mails sind oft mit hohem Aufwand auf einen bestimmten Empfänger zugeschnitten.


WORAN ERKENNE ICH EINE PHISHING-E-MAIL?

Auch wenn die meisten Phishing-E-Mails täuschend echt aussehen, können sich diese in den meisten Fällen anhand von einigen der folgenden Merkmale als solche identifizieren lassen:

Allgemeine Anrede: Viele Phishing-E-Mails beginnen mit einer allgemeinen Anrede, wie zum Beispiel „Sehr geehrte Damen und Herren“ oder „Sehr geehrter Kunde, sehr geehrte Kundin“. Unternehmen, bei denen Sie tatsächlich Kunde sind, werden Sie meist persönlich ansprechen. Diesen Schwachpunkt haben jedoch auch die Verfasser derartiger E-Mails entdeckt: Sie enthalten nun vermehrt auch persönliche Anreden, unter Umständen sogar die korrekte Anschrift oder Telefonnummern.
Handlungsempfehlung: Fragen Sie sich, ob der in der E-Mail genannte Dienstleister mit Ihnen in einer Geschäftsbeziehung steht, Ihre E-Mail-Adresse kennen kann und dieser mit Ihnen im Regelfall per E-Mail kommuniziert.

Inhalte: Mittels Phishing-E-Mails wird meist ein dringender Handlungsbedarf signalisiert, verbunden mit der Androhung von unangenehmen Folgen, sofern eine konkrete Handlung ausbleibt. Derartige Inhalte sollen bewirken, dass in den Empfängern Panik hervorgerufen wird, welche meist ein unvorsichtiges Handeln zur Folge hat. Sie werden zudem aufgefordert, vertrauliche Daten einzugeben. Anders als noch vor einigen Jahren weisen viele Phishing-Mails inzwischen keinerlei sprachliche Mängel mehr auf. Auch bei gut formuliertem Text sollten Sie deshalb wachsam sein.
Handlungsempfehlung: Hinterfragen Sie auch hier, ob der Dienstleister für das geschilderte Anliegen auf diese Weise normalerweise mit Ihnen in Kontakt treten würde. Gerade Finanzdienstleister versenden im Regelfall keine E-Mails, die Links oder Formulare enthalten oder in denen Sie zum Einloggen in Ihr Kundenkonto aufgefordert werden. Überprüfen Sie zudem gegebenenfalls genannte Transaktions-, Rechnungs- oder Bestellnummern. Öffnen Sie hierfür jedoch keine Anhänge.

Absender: Die Absender-E-Mail-Adresse stimmt meist nicht mit dem des vorgegebenen Unternehmens überein.
Handlungsempfehlung: Überprüfen Sie in Zweifelsfällen die Angaben im E-Mail-Header. Eine ausführliche Anleitung hierzu finden Sie im Artikel der Verbraucherzentrale „So lesen Sie den Mail-Header“.

Links und Anhänge: Die in einer Phishing-E-Mail eingefügten Links stimmen in der Regel nicht mit dem im E-Mail-Text angegebenen Internetadressen überein. Vorsicht bei Anhängen mit Formaten wie .exe oder .scr. Diese können Schadsoftware direkt auf Ihr Gerät laden. Manchmal werden Nutzer oder Nutzerinnen auch durch Doppelendungen wie Dokument.pdf.exe in die Irre geführt.
Handlungsempfehlung: Wenn Sie Ihre E-Mails mit einem Browser verwalten, werfen Sie einen Blick auf den sogenannten Quelltext der HTML-Mail. In einem gängigen E-Mail-Programm können Sie den Cursor einfach mit der Maus über die Absenderzeile führen, aber ohne darauf zu klicken. Dann sehen Sie die, ob in der Absenderzeile eine andere Adresse eingebettet ist.

Bestehen nach der Überprüfung der E-Mail weiterhin Zweifel, kontaktieren Sie den Dienstleister über die Ihnen bekannten Kontaktdaten – nutzen Sie hierfür unter keinen Umständen die in der E-Mail angegebenen Daten und antworten Sie auch nicht auf diese.


WIE VERHALTE ICH MICH WENN ICH EINE PHISHING-E-MAIL ERHALTEN HABE?

Haben Sie eine eingehende E-Mail als Phishing-Versuch enttarnt, verschieben Sie die betreffende E-Mail umgehend in den Spam-Ordner. Zusätzlich können Sie eine Meldung an den „echten“ Dienstleister vornehmen sowie die Phishing-E-Mail der Verbraucherzentrale über phishing@verbraucherzentrale.nrw melden.


WAS IST ZU UNTERNEHMEN, WENN AUF EINE PHISHING-E-MAIL REAGIERT WURDE?

Sollte sich erst nach der Bearbeitung einer entsprechenden E-Mail herausstellen, dass es sich um eine Phishing-Attacke gehandelt hat, sollte das jeweilige Endgerät umgehend auf Schadsoftware überprüft werden. Wurden im Zusammenhang mit der Phishing-E-Mail-Zugangsdaten eingegeben, sind diese unverzüglich abzuändern und betroffene Nutzerkonten gegebenenfalls zu sperren (für eine anschließende Entsperrung sollten ausschließlich die neuen Zugangsdaten verwendet werden). Sofern Unternehmensdaten betroffen sind, sollte eine Strafanzeige wegen des Ausspähens von Daten erstattet werden.

Eine Reaktion auf eine Phishing-E-Mail stellt eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DS-GVO dar. Bei derartigen Vorkommnissen sollte demnach der betriebliche / behördliche Datenschutzbeauftragte in den Vorfall einbezogen werden. Unter Umständen erwachsen dem Verantwortlichen Melde- und Informationspflichten gemäß Art. 33 und Art. 34 DS-GVO.


FAZIT

Aufgrund der steigenden Angriffszahlen ist es ratsam die Beschäftigten auf das Thema Phishing-E-Mails zu sensibilisieren und – sofern noch nicht geschehen – notwendige Verhaltensweise wie beispielsweise Meldewege bei Datenschutzverletzungen zu implementieren und zu dokumentieren. Angebracht ist Skepsis bei E-Mails unbekannter Absender. Weiterführende Informationen zum Thema „Phishing“ sind auf den Seiten des BSI sowie auf den Seiten der Verbraucherzentrale aufrufbar. Dort finden Sie auch ein „Phishing-Radar“ mit aktuellen Meldungen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • E-Mail
  • Homeoffice
  • Phishing
  • Social Engineering
Lesen

PASSWORTSICHERHEIT

Passwörter dienen nicht nur dem Schutz vertraulicher Daten, sondern auch als Authentifizierungsmerkmal bei der Verwendung von Nutzerkonten. Umso wichtiger ist es daher, dass die eigens gewählten Passwörter einen hohen Schutzstandard aufweisen. Betrachtet man jedoch die Rangliste der beliebtesten Passwörter in Deutschland, so handelt es sich bei der Zeichenfolge „123456“ nach wie vor um das am meisten genutzte Passwort deutscher Internetnutzer – dicht gefolgt von „123456789“ und „passwort“.


WAS ZEICHNET EIN SICHERE PASSWORT AUS?

Ein sicheres Passwort sollte über mindestens zehn bis zwölf Zeichen verfügen und dabei Groß- und Kleinschreibung, Ziffern sowie Sonderzeichen enthalten. Auch wenn unter diesen Umständen die Verlockung groß ist: Vermeiden Sie es unbedingt, sich Ihre Passwörter zu notieren. Um sich komplexe Passwörter dennoch gut einprägen zu können, eignen sich unterschiedliche Hilfsstrategien: Zum einen kann ein beliebiger Satz gebildet werden, von dem die Anfangsbuchstaben eines jeden Wortes das Grundgerüst bilden. Im Anschluss können bestimmte Buchstaben in sich ähnelnde Ziffern oder Sonderzeichen umgewandelt werden. Zum anderen können aber auch einzelne, durch Ziffern und Sonderzeichen verbundene Wortgruppen ein sicheres Passwort darstellen. Das BSI empfiehlt darüber hinaus auch die Verwendung sogenannter Passwort-Manager.

Die Ergänzung von einfachen Ziffern oder üblichen Sonderzeichen am Anfang oder Ende eines einfachen Passwortes ist hingegen nicht empfehlenswert. Als Passwort gänzlich ungeeignet sind Namen von Bekannten, Freunden und Familienmitgliedern, Geburtsdaten oder gängige Wiederholungs- und Tastaturmuster, wie beispielsweise „1234abcd“oder „asdfgh“. Auch sollte das vollständige Passwort möglichst in keinem Wörterbuch vorkommen.

Darüber hinaus sollten Passwörter nur einmalig vergeben werden. Eine regelmäßige anlasslose Änderung ist hingegen nach Ansicht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bei sicheren Passwörtern nicht mehr erforderlich (siehe IT Grundschutz „ORP.4 Identitäts- und Berechtigungsmanagement“, OPR.4.A23).


ÄNDERN SICH VOREINGESTELLTE PASSWÖRTER UMGEHEND

Diverse Hardware- und Softwarelösungen verfügen über allgemein bekannte voreingestellte oder „leere“ Passwörter. Diese stellen ein besonderes Sicherheitsrisiko dar und sind aus diesem Grund umgehend abzuändern. In diesem Zusammenhang sei noch erwähnt, dass Router stets über ein mindestens 20-stelliges Passwort verfügen sollten.


SICHERN SIE IHRE ENDGERÄTE PER SPERRBILDSCHIRM

Sämtliche gängigen Betriebssysteme bieten automatische Bildschirm-Timeouts in Verbindung mit der Eingabe eines Passwortes bei Reaktivierung an. Diese Funktion sollte abhängig vom jeweiligen Endgerät, spätestens jedoch fünf Minuten nach der letzten Benutzeraktivität den Zugang sperren. Bei kürzerer Abwesenheit ist auch eine Sperrung per Tastenkombination, beispielsweise durch Windows-Taste + L möglich. Dies verhindert, dass unbefugte Dritte während Ihrer Abwesenheit Zugang zu personenbezogenen Daten sowie anderen vertraulichen Informationen erhalten.


GEBEN SIE PASSWÖRTER MÖGLICHST NUR AUF EIGENEN GERÄTEN EIN

Oftmals ist nicht bekannt, ob fremde Endgeräte über einen ausreichenden Schutz vor Schadprogrammen verfügen. Demnach kann auch nicht ausgeschlossen werden, dass mittels sogenannter „Keylogger“ sämtliche Tastatur- und Bildschirmeingaben aufgezeichnet werden. Vermeiden Sie aus diesem Grund auf die Eingabe Ihrer Zugangsdaten bei der Nutzung fremder Endgeräte. Sofern Sie beispielsweise während einer Dienstreise gezwungenermaßen ausschließlich über fremde Geräte Ihre Zugangsdaten eingeben können, empfiehlt sich für diese Zeit die Nutzung eines temporären Ersatzpasswortes.


GEBEN SIE PASSWÖRTER NIEMALS WEITER

Wie eingangs erwähnt, handelt es sich bei Passwörtern auch um ein Authentifizierungsmerkmal Ihrer Person. Geben Sie aus diesem Grund Passwörter niemals weiter, weder an Familienangehörige noch an Vorgesetzte oder Kolleginnen und Kollegen. Ändern Sie Ihr Passwort umgehend, wenn Sie mitbekommen haben, dass ein anderer Ihre Zugangsdaten in Erfahrung bringen konnte.


TRENNEN SIE BERUFLICHE UND PRIVATE PASSWÖRTER

Verwenden Sie für berufliche und private Zwecke stets unterschiedliche Passwörter. So vermeiden Sie, dass berufliche Passwörter durch das Ausspähen von Zugangsdaten bei privaten Dienstanbietern bekannt werden.


NUTZEN SIE DIE ZWEI-FAKTOR-AUTHENTISIERUNG

Verschiedene Dienstanbieter bieten zusätzlich zum Passwortschutz eine sogenannte „Zwei-Faktor-Authentisierung“ an. Dabei wird nach der erfolgreichen Eingabe der Zugangsdaten zunächst ein zufällig generierter Code per SMS an eine zuvor festgelegte Telefonnummer gesendet. Erst mit der Eingabe dieses Codes erhält der jeweilige Nutzer einen Zugang. Alternativ wird dieses Verfahren teilweise auch mit speziellen Code-Generatoren und 2FA-Apps angeboten.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • IT-Sicherheit
  • Keylogger
  • Passwort
  • Sperrbildschirm
  • Zwei-Faktor-Authentisierung
Lesen

EMOTET – AKTUELLE INFORMATIONEN

Die bekannteste Schadsoftware-Familie Emotet breitet sich erneut rasant aus. Mehr als 27.800 Varianten wurden durch Experten von GDATA im ersten Halbjahr 2020 bisher identifiziert. Durch die neuste Version wird dem Nutzer suggeriert, dass für die Nutzung von Microsoft Word ein Upgrade notwendig sei, damit die Inhalte einer Datei aufgerufen werden können. Die Nachrichten nutzen Social Engineering, um Nutzer davon zu überzeugen, den Dateianhang zu öffnen. Anknüpfungspunkte sind beispielsweise Rechnungen, Versandinformationen, Lebensläufe, Details zu einer Bestellung oder wichtige Informationen zur COVID-19-Pandemie. Insbesondere das aktuelle Infektionsgeschehen rund um die COVID-19-Pandemie wird immer wieder als Aufhänger genutzt (bspw. über Bereitstellung von Schutzmasken, Beantragung von Krediten und Förderungen sowie Empfehlungen und Ratschlägen der WHO oder des Bundesministeriums für Gesundheit).


WAS IST EMOTET?

Bei Emotet handelt es sich um eine Schadsoftware, die ursprünglich als Trojaner zur Manipulation von Online-Banking-Transaktionen entwickelt wurde. Mittlerweile hat sich der Virus jedoch als eine Art Allzweckwaffe der Cyberkriminellen etabliert. Der Grund hierfür ist eine einzigartige Flexibilität und Funktionalität des Schädlings. Emotet fungiert in vielen Fällen lediglich als „Türöffner“. Es handelt sich um einen sog. Maleware-Distributor. Die Gefahr durch Emotet liegt außerdem darin, dass bei einer Infektion neben den E-Mail-Kontakten des Nutzers auch Kommunikationsinhalte ausgelesen werden.


WIE FUNKTIONIERT EMOTET?

Der Trojaner ist in der Lage, authentisch aussehende E-Mails zu verschicken. Emotet erlangt die entsprechendenInformationen durch das Auslesen von Kontaktbeziehungen und E-Mail-Inhalten aus den Postfächern infizierter Systeme. Diese Informationen nutzen die Täter zur weiteren Verbreitung des jeweiligen Schadprogramms. Es werden gezielt E-Mails verschickt, die scheinbar von bereits bekannten Kontakten kommen und oft auch Auszüge aus einer früheren Kommunikation enthalten. Aufgrund der korrekten Angabe der Namen und E-Mail-Adressen von Absender und Empfänger in Betreff, Anrede und Signatur wirken diese Nachrichten authentisch. Sprachlich weisen die E-Mails kaum noch Fehler in Rechtsschreibung oder Grammatik auf. Dies verleitet zum unbedachten Öffnen des infizierten Dateianhangs oder der in der Nachricht enthaltenen Links.

Ist das System erst einmal infiziert, lädt Emotet weitere Schadsoftware nach, wie zum Beispiel den Banking-Trojaner Trickbot. Es kann aber grundsätzlich jede Art von Malware entalten sein, welche Zugangsdaten ausspäht und den Cyberkriminellen einen Zugriff auf die IT-Infrastruktur gewährt. Emotet durchsucht das Adressbuch und Kommunikationen seiner Opfer und verbreitet sich im Anhang von vermeintlich authentischen E-Mails im Schneeballsystem immer weiter. Außerdem wird eine Verbreitung im gesamten Netzwerk des Opfers möglich. Die Schadprogramme führen zu einem Datenabfluss oder ermöglichen durch Verschlüsselung die vollständige Kontrolle über das System. Bei Verschlüsselung folgt meist eine Lösegeldforderung zur Wiederherstellung der Dateien.


WIE KANN MAN SICH SCHÜTZEN?

Neben allgemein erforderlichen technischen und organisatorischen Maßnahmen wie bspw. Installation von Sicherheitsupdates für Betriebssystem und Anwendungsprogramme (Web-Browser, E-Mail-Clients, Office-Anwendungen usw.), regelmäßige Backups und Einschränkungen von administrativen Benutzer-Rechten kann der bedeutsamste Schutz durch das Deaktivieren von Makros in Office-Anwendungen erreicht werden. Setzen Sie zudem eine Antiviren-Software ein und aktualisieren Sie diese immer wieder. Viele Infektionsfälle betreffen E-Mails mit angehängten .doc-Dateien, also veralteten Word-Versionen. Es empfiehlt sich, derartige Anhänge generell abzuweisen.

Ein Erkennungsmerkmal ist, dass im Absenderfeld der Name nicht zur angezeigten E-Mail-Adresse passt. Auffallend sind zudem ein sehr kurzer Text sowie Dateianhänge oder eingefügte Links mit der Aufforderung, diese zu öffnen. Die Schadsoftware verbirgt sich dann entweder im angehängten Dokument oder auf der verlinkten Website. Öffnen Sie auch bei vermeintlich bekannten Absendern nur mit Vorsicht Dateianhänge von E-Mails (insbesondere Office-Dokumente) und prüfen Sie in den Nachrichten enthaltene Links, bevor sie diese anklicken. Links und Anhänge sollten keinesfalls sorglos geöffnet werden. Eine entsprechende Sensibilisierung der Beschäftigten ist daher in jedem Fall ratsam, da der wohl entscheidendste Sicherheitsfaktor der Mensch bleibt. Wird im eigenen Posteingang eine verdächtige Nachricht eines bekannten Absenders erkannt, sollte der angegebene Absender informiert werden.


WAS IST BEI EINER INFIZIERUNG ZU TUN?

Informieren Sie Ihr Umfeld – und zuerst die IT – über die Infektion, denn Ihre E-Mailkontakte sind in diesem Fall besonders gefährdet. Die Schäden können sowohl wirtschaftlich als auch datenschutzrechtlich immens sein. Die Folge einer Infektion durch Emotet ist häufig ein großflächiger oder nahezu vollständiger Ausfall der IT-Infrastruktur. Aus diesen Gründen sollten in jedem Fall die betroffenen Rechner von Netzwerk isoliert werden. Anschließend müssen alle Schadkomponenten entfernt werden. Alle bei dem betroffenen System genutzten Zugangsdaten sind im Regelfall zu ändern, da diese abgegriffen werden konnten.


IST EINE MELDUNG AN DIE AUFSICHTSBEHÖRDE UND EINE INFORMATION AN DIE BETROFFENEN NOTWENDIG?

Sollte es zu einer Infektion durch Emotet kommen, liegt eine Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DS-GVO, weshalb eine ist eine Meldung an die zuständige Datenschutzaufsichtsbehörde gemäß Art. 33 DS-GVO verpflichtend ist.

Eine Information an das betriebliche Umfeld ist schon deshalb sinnvoll, da nur so eine Ausbreitung von Emotet gestoppt werden kann. Bestehende Kontakte bzw. Kommunikationspartner werden mit hoher Wahrscheinlichkeit auf Grund der abgegriffenen Daten attackiert. Durch eine entsprechende Information besteht die Chance, dass eine Vorbereitung auf einen personalisierten Angriff ermöglicht wird. Datenschutzrechtlich besteht gemäß Art. 34 DS-GVO sogar eine Verpflichtung zur Benachrichtigung der Betroffenen, falls ein hohes Risiko für diese vorliegt – bei einer Emotet-Infektion ist davon auszugehen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Datenschutzverletzung
  • Emotet
  • Informationssicherheit
  • IT-Sicherheit
  • Schadsoftware
Lesen