Jährlich veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland. Der Bericht 2024 ist nunmehr erschienen und soll einen Überblick über die aktuellen Bedrohungen im Cyberraum sowie die aktuellen Trends der Cyberkriminalität bezogen auf Deutschland geben. Das Ergebnis in der Kürze dürfte wohl niemanden überraschen: „Die Lage der IT-Sicherheit in Deutschland war und ist besorgniserregend.“ Der heutige Blog-Beitrag soll einige ausgewählte Themen aus dem aktuellen Berichtszeitraum (1. Juli 2023 bis 30. Juni 2024) aufgreifen und darstellen.

Von DDoS-Angriffen bis Phishing-Kampagnen

Einen neuen Trend verzeichnete das BSI bei den sogenannten Distributed Denial-of-Service-Angriffen (kurz: DDoS-Angriffen). Neu ist diese Angriffsart bei weitem nicht. Wir haben uns in der Vergangenheit z. B. mit der Frage befasst „Was tun, wenn die Smart-Home-Geräte nicht mehr smart sind?“. Die Neuigkeit, die verzeichnet werden kann, ist ein enormer Anstieg der aufgetretenen DDoS-Angriffe: „Eine herausgehobene Entwicklung war im Berichtszeitraum bei DDoS-Angriffen zu verzeichnen. Insbesondere im ersten Halbjahr 2024 nahmen Qualität und Häufigkeit von DDoS-Angriffen deutlich zu […] Sollte sich der Trend fortsetzen, wäre dies ein Indiz dafür, dass Angreifer gezielt Botnetz-Kapazitäten aufgebaut haben und künftig grundsätzlich mit mehr hochvoluminösen DDoS-Angriffen zu rechnen wäre.“

Ein Klassiker der aktuellen Gefährdungsklage bleiben weiterhin Ransomware-Angriffe. Über die operative größte Gefährdung haben wir bereits hier und hier berichtet. In Bezug auf die aktuelle Lage ist insbesondere hervorzuheben, dass eine weitere Professionalisierung der Cyberangriffe hervorzuheben ist. Insbesondere im Bereich der Ransomware spricht man diesbezüglich von einem Massengeschäft „Ransomware-as-a-Service“:

„Andererseits wurden aufgrund des geringeren technologischen Aufwandes bei Nutzung von Ransomware-as-a-Service (RaaS) vor allem Ransomware-Angriffe auch zum Massengeschäft: Zunehmend sind die kleinen und mittleren Unternehmen (KMU), aber auch Kommunen, Universitäten und Forschungseinrichtungen betroffen. Dabei gehen die Angreifer nach wie vor oft den Weg des geringsten Widerstandes. Auch wenn gezielte Angriffe auf umsatzstarke Unternehmen registriert werden, suchen sich die Kriminellen tendenziell die am leichtesten angreifbare Opfer aus. Je schlechter Organisationen ihre Angriffsflächen schützen, desto eher werden sie Opfer von Cyberangriffen.“ Zu den bekanntesten Opfern des letzten Jahres zählt vermutlich Südwestfalen-IT.

Ebenso erfreuen sich bei den Cyberkriminellen weiterhin diverse Phishing-Kampagnen großer Beliebtheit, wobei sich die Methoden diesbezüglich leicht verändert haben. Über das Problem mit dem Phishing haben wir ebenfalls bereits in unserem Blog berichtet. Für den aktuellen Berichtszeitraum stellt das BSI fest: „Neben bereits bekannten Phishing-Kampagnen im Namen von Banken und Finanzinstituten wurde eine Zunahme von Kampagnen unter missbräuchlicher Nutzung von Markennamen einschlägiger Streamingdienste registriert. Thematisch lehnten sich diese an Maßnahmen zur Verhinderung von unerlaubtem Accountsharing, Änderungen in den Nutzungsbedingungen von Familien-Accounts und Änderungen von Preisen und Zahlungsbedingungen an. Es handelte sich also um Themen, die breit in Gesellschaft und Medien bekannt waren.“

Cloud-Computing, aber sicher

Es wäre verfehlt Cloud-Computing als neuen Schritt in der Digitalisierung zu bezeichnen. Zu große Schritte haben wir – auch in Deutschland – in den vergangenen Jahren gemacht und der Umzug in die Cloud spielt hier eine entscheidende Rolle. Wir lagern heutzutage viele Datenbestände in die Cloud-Dienste aus. Umso wichtiger erscheint daher mit Blick auf die Sicherheitslage die Sicherung dieser Datenbestände: „Im Berichtszeitraum kam es zu mehreren erfolgreichen Ransomware-Angriffen auf Public-Cloud-Dienste, die deren Verfügbarkeit einschränkten. Zudem wurden mehrfach Fälle von Angriffen auf die Vertraulichkeit von Cloud-Diensten durch Identitätsdiebstahl, sowohl der Identitäten der Anwenderinnen und Anwender als auch des Personals des Anbieters, bekannt.“

Das Zauberwort lautet Resilienz

Einhergehend mit der Zunahme der Bedrohungen und Gefährdungen war auch ein Anwachsen der Resilienz (Widerstandfähigkeit) spürbar. Das BSI fordert alle Beteiligten auf, zur Stärkung der Resilienz gegen Cyberkriminalität und IT-Sicherheitsvorfälle beizutragen: „Hersteller sollten in Zukunft noch sicherere Produkte bereitstellen, die durchweg nach den Grundsätzen von Security by Design und Security by Default entwickelt und im gesamten Lebenszyklus unterstützt werden. Betreiber sollten die Grundsätze der Cybersicherheit umzusetzen und ihre Systeme so bestmöglich gegen Angriffe und bei Vorfällen schützen. Auch Verbraucherinnen und Verbraucher sind gefordert, Kompetenzen zu Cybersicherheit aufbauen.“

Puzzlestücke sind hierbei Strafverfolgungen gegen RaaS, Resilienz in Verwaltung, Kritischer Infrastruktur und nicht zuletzt in Cloud-Infrastrukturen: Cloud-intrinsische Fähigkeiten, wie etwa umfassende Protokollierungs- und Detektionsmöglichkeiten, helfen, etwaige Angriffe zu entdecken und einzudämmen. Der hohe Automatisierungsgrad von Cloud-Diensten erhöht weiterhin die Widerstandsfähigkeit der Anwender gegen Angriffe, etwa durch das frühzeitige Einspielen von Sicherheitspatches und die Bereitstellung von Präventions-, Detektions- und Reaktionsmaßnahmen, welche auf aktuelle Entwicklungen in der Cyberbedrohungslandschaft eingehen.“

Fazit

Als Fazit möchten wir noch folgende Aussage des BSI hervorhaben: „Zugleich besteht breiter Handlungsbedarf insbesondere hinsichtlich der Angriffsfläche, die mit der allgemeinen Digitalisierung stetig zunimmt. Jedes Unternehmen, jede Behörde, jede wissenschaftliche oder soziale Einrichtung, jeder Einzelunternehmer – ganz Deutschland ist aufgerufen, eigene Angriffsflächen zu ermitteln und zu schützen. Das ist in historisch gewachsenen IT-Landschaften eine große Herausforderung, aber notwendig, denn die Angreifer suchen beständig nach neuen Angriffsvektoren.“

So kurz wie diese Zusammenfassung erscheint, so zutreffend ist diese auch. Selbstverständlich erfolgt in der Europäischen Union zunehmend eine Verrechtlichung der IT-Sicherheit und Cybersicherheit. Die NIS-2-Richtlinie, der Cyber Resilience Act und der DORA – Digital Operational Resilience Act sind nur einige Beispiele für sicherheitsrechtlichen Teil der Datenstrategie der EU. Die rechtlichen Anforderungen sollten und dürfen aber keinesfalls der alleinige Antrieb von Organisationen – gleichgültig welcher Natur – sein, sich mit IT-Sicherheit und Resilienz der eigenen Infrastruktur zu beschäftigten. Vielmehr bedarf es eines gewichtigen Eigeninteresses, zum Beispiel am Schutz der IT-Systeme, der verarbeiteten Informationen und an der Aufrechterhaltung der Geschäftsprozesse. Hierfür ist es unerlässlich die eigenen Schwächen zu kennen und diese gezielt auszumerzen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

In unserem Blog-Beitrag der vergangenen Woche „Doppelt hält besser: Zwei-Faktor-Authentisierung (2FA)“ haben wir bereits dargestellt, dass eine Anmeldung unter ausschließlicher Verwendung von Benutzernamen und Passwort mit Risiken behaftet ist. Während eine Zwei-Faktor-Authentisierung diesen Anmeldevorgang durch ein zusätzliches Merkmal absichert, stellt die Nutzung von Passkeys einen anderen Weg zur Anmeldung dar. Wie das funktioniert und was dabei zu beachten ist, erfahren Sie im nachfolgenden Beitrag.

Wie funktioniert die Anmeldung mit Passkeys?

Die Verwendung von Passkeys stellt eine passwortlose Anmeldemethode dar und basiert auf dem Verfahren der asymmetrischen Verschlüsselung. Hierbei wird zunächst ein Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel, erzeugt. Der private Schlüssel verbleibt lokal auf dem jeweiligen Endgerät und ist zwingend geheim zu halten. Der öffentliche Schlüssel wird dem jeweiligen Dienst für die Durchführung des Anmeldevorgangs zur Verfügung gestellt. Damit ist die Anmeldung mit Passkeys einerseits grundsätzlich geräte- und nicht personenbezogen und erfordert andererseits für jeden Dienst ein eigenes Schlüsselpaar – ein Sicherheitsgewinn, wenn man bedenkt, wie viele Personen identische Passwörter für unterschiedliche Dienste nutzen.

Sofern die Verwendung von Passkeys für einen Dienst aktiviert und das benötigte Schlüsselpaar erstellt wurde, wird im Rahmen des Anmeldeverfahrens vom jeweiligen Dienst zunächst eine komplexe Rechenaufgabe an das jeweilige Endgerät übermittelt – keine Angst, die löst das jeweilige Endgerät für Sie! Aus der korrekten Antwort erstellt das Endgerät nun mittels des privaten Schlüssels eine digitale Signatur, welche wiederum an den jeweiligen Dienst gesendet wird. Der Dienst überprüft sodann anhand des öffentlichen Schlüssels, ob die digitale Signatur korrekt ist. Ist dies der Fall, ist die Authentifizierung erfolgreich abgeschlossen – alternativ wird der Zugriff auf den Dienst verweigert.

Im Übrigen ist auch im Rahmen des Passkey-Verfahrens die Zwei-Faktor-Authentisierung anzuwenden. Denn nur aus einer Kombination aus den Faktoren Besitz (des Endgeräts) und Wissen (Geräte-PIN) bzw. Biometrie (Fingerabdruck, Gesicht) wird sichergestellt, dass die Anmeldefunktion beispielsweise im Falle eines Geräteverlusts nicht durch Unbefugte missbraucht wird. Die Abfrage des zweiten Faktors erfolgt in der Regel automatisch im zeitlichen Zusammenhang mit der Lösung der komplexen Rechenaufgabe. Für die Nutzenden des Passkey-Verfahrens entsteht hieraus eine kaum spürbare Verzögerung.

Wo kann ich Passkeys nutzen?

Die Verbreitung von Anmeldeverfahren mittels Passkeys hat in den vergangenen Monaten deutlich zugenommen. So bieten bereits jetzt schon Apple, Amazon, Google, Microsoft, PayPal und eine Vielzahl weiterer Dienste das Passkey-Verfahren an. Eine Auflistung bekannter Diensteanbieter, die das Passkey-Verfahren nutzen, finden Sie hier. Übrigens kann das Passkey-Verfahren auch dann angewandt werden, wenn die Passkeys auf dem Smartphone abgelegt sind, aber eine Anmeldung an einem PC erfolgen soll. Durch Kommunikation per Bluetooth ist auch eine Anwendung über Gerätegrenzen hinweg möglich.

Was passiert, wenn ich mein Endgerät verliere?

Ein Nachteil der gerätebezogenen Authentifizierung wird im Falle eines Geräteverlustes deutlich. Nur wenn lokale Backups vorhanden sind oder Passkeys in einer Cloud synchronisiert wurden, kann rasch eine Wiederherstellung der Zugänge erfolgen. Darüber hinaus sind alternative Verfahren zum Identitätsnachweis und zum Generieren neuer Passkeys zu nutzen. In selteneren Fällen kann eine Kontaktaufnahme mit dem Diensteanbieter zur Wiederherstellung des Accounts erforderlich sein.

Vor- und Nachteile von Passkeys

Die Nutzung von Passkeys ist einfacher (kein Erfinden kreativer Passwörter), schneller und bequemer (kein lästiges Eintippen von kryptischen Zeichenfolgen bei der Anmeldung) sowie deutlich sicherer. Ein ausdrücklicher Vorteil des Passkey-Verfahrens besteht nämlich unter anderem in der Phishing-Resilienz, da der private Schlüssel seitens der Nutzenden im Gegensatz zu Passwörtern nicht einfach offengelegt werden kann. Die beliebte Betrugsmethode läuft damit in aller Regel ins Leere.

Ein gleichzeitiger Vor- und Nachteil ist, dass Accounts aufgrund des Gerätebezuges nicht mehr so leicht geteilt werden können. Was bezüglich des privaten Streaming-Dienstes einen echten Nachteil darstellen kann, ist im dienstlichen Kontext insbesondere für die IT-Abteilung und den Informationssicherheitsbeauftragten ein echter Segen. Ein deutlicher Nachteil ist wiederum, dass die Verwendung des Passkey-Verfahrens voraussetzt, dass jede Person einer Organisation über ein mobiles (dienstliches) Endgerät verfügt.

Fazit

Das Passkey-Verfahren mag zwar zunächst kompliziert erscheinen, die Vorteile – allen voran die Sicherheitsaspekte – überzeugen jedoch. Ein zeitnaher Umstieg sollte ernsthaft in Betracht gezogen werden. Die Tage des weit verbreiteten Passwortschutzes scheinen damit gezählt. Weitere Informationen zum Thema erhalten Sie auch in der Podcast-Folge „Passkey statt Passwort – was steckt dahinter?“ des Bundesamtes für Sicherheit in der Informationstechnik.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) – die oberste Cybersicherheitsbehörde in Deutschland – hat seinen aktuellen Bericht zur Lage der IT-Sicherheit vorgelegt. Eine Übersicht über die wichtigsten Zahlen, Fakten und Daten gibt es hier:

Der nachfolgende Beitrag stellt einige der wichtigsten Punkte des Berichts vor.

Die Lage im Cyber-Raum bleibt angespannt

Die operativ größte Bedrohung für Unternehmen und Behörden in Deutschland bleibt die Ransomware. Unter dem Begriff Ransomware fassen wir Schadprogramme, die den Zugriff auf Daten und Systeme einschränken oder verhindern und eine Freigabe der betroffenen Ressourcen nur gegen Lösegeld erfolgt.

Die betroffene Stelle wird bedroht, dass Daten gelöscht werden bzw. bereits gelöscht und vorher vorgeblich als Backup ins Netz kopiert oder verschlüsselt und so unzugänglich gemacht wurden. Die Angreifer geben anschließend vor, dass gegen die Zahlung eines Geldbetrages, die Daten entschlüsselt bzw. zurückgespielt werden. Eine weitere Variante besteht darin, dass die Täter Daten vom betroffenen System ins Internet übertragen und die Opfer damit bedrohen, dass die Daten veröffentlich würden, wenn die Lösegeldsumme nicht gezahlt wird.

Bei Ransomware-Angriffen war schon im letzten Jahr eine Erweiterung der Erpressermethoden zu erkennen, an welche nun nahtlos angeknüpft wird. Insbesondere das sogenannte Big Game Hunting, also die Erpressung umsatzstarker Unternehmen mit verschlüsselten und exfiltrierten Daten, hat weiter zugenommen. Das jedoch nicht nur Unternehmen Ziel von Ransomware-Angriffen sind, zeigt eindrücklich der folgenschwere Angriff auf die Landkreisverwaltung des Landkreises Anhalt-Bitterfeld: Erstmals wurde im Jahr 2021 wegen eines Cyber-Angriffs der Katastrophenfall ausgerufen. Bürgernahe Dienstleistungen waren über 207 Tage lang nicht oder nur eingeschränkt verfügbar. Nach der Attacke konnten Elterngeld, Arbeitslosen- und Sozialgeld, Kfz-Zulassungen und andere Leistungen nicht erbracht werden. Was bei einem Ransomware-Angriff zu tun ist, haben wir bereits in einem Beitrag dargestellt. Unter datenschutzrechtlichen Gesichtspunkten kann die Bewertung von Melde- bzw. Informationspflichten nach den Art. 33 und Art. 34 DS-GVO Relevanz entfalten. Hierüber haben wir im Rahmen unserer Mitmach-Serie „Datenschutzverletzung und Meldepflicht“ in den Teilen I, II, III und IV berichtet.

Auch beim Phishing ist keine Besserung in Sicht

Laut BSI nehmen Phishing-E-Mails mit rund 90% den größten Anteil im Bereich der Betrugs-E-Mails ein. Phishing ist eine Form des Social Engineerings, einer Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch Manipulation von Verhaltensweisen zu erlangen. Beim Social Engineering werden menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Dadurch können Beschäftigte so manipuliert werden, dass sie unzulässig handeln.

Phishing (ein Kunstwort aus „Password“ und „Fishing“) beschreibt dabei das Vorgehen, insbesondere über gefälschte Unternehmenswebseiten und E-Mails die Zugangsdaten, Bankdaten oder andere vertrauliche Informationen von Benutzern zu erlangen und damit einen Identitätsdiebstahl zu begehen. Über das Problem mit dem Phishing haben wir uns ebenfalls bereits auseinandergesetzt. Zu unterscheiden sind aktuell Phishing- und Spear-Phishing-Methoden: „Während Angreifer mit Spear-Phishing aufwendig und gezielt gegen einzelne Personen wie zum Beispiel bedeutende Persönlichkeiten in Staat oder Wirtschaft vorgehen, um deren Identitätsdaten zu erbeuten […], richten sich massenhaft und ungezielt verteilte Phishing-Mails gegen die breite Bevölkerung.“

Besonders warnt das BSI vor sogenannten Finance Phishing-E-Mails: „Diese E-Mails sind mittlerweile in der Regel in sehr gutem Deutsch verfasst und so gestaltet, dass sie zum Corporate Design großer Banken in Deutschland passen. Häufig werden Designs verwendet, die denen von Sparkassen, Volksbanken oder der Postbank nachempfunden sind. Die Angreifer suggerieren den Opfern so, eine vermeintlich notwendige Verifizierung durchführen zu müssen, bei der sie ihnen die Zugangsdaten für ihr Online-Banking entlocken. Da Banken in Deutschland ihre Kundinnen und Kunden grundsätzlich nicht per E-Mail zur Eingabe von Zugangsdaten auffordern, sollten Anwenderinnen und Anwender solche E-Mails stets als Phishing-Versuche werten, keinesfalls Zugangsdaten eingeben oder auf enthaltene Links klicken und ihren E-Mail-Provider oder ihr Geldinstitut informieren, damit diese Gegenmaßnahmen ergreifen können.“

DIstributed Denial of Service (DDoS) vor allem in der Vorweihnachtszeit

Aber auch im Bereich der DDoS-Angriffe konnten deutliche Zunahmen im Vergleich zum Vorjahreszeitraum beobachtet werden. Bei einem DDoS-Angriff werden von einer großen Zahl von Endgeräten Anfragen an einen Server oder Dienst gestellt, mit dem Ziel, diesen durch die enorme Anzahl von Anfragen (temporär) zu überlasten und hierdurch lahmzulegen. Aufgrund der Verwendung unterschiedlichster Quellen, kann keine effektive Blockierung eines solchen Angriffs vorgenommen werden, ohne die jeweiligen Server oder Dienste gänzlich vom Netz zu trennen.

Wird beispielsweise ein Onlineshop Ziel eines DDoS-Angriffs, können so insbesondere in regelmäßig umsatzstarken Zeiträumen die wirtschaftlichen Schäden besonders groß sein und dementsprechend die Motivation zur Durchführung derartiger Angriffe zunehmen. So warnt das BSI diesbezüglich: „Insbesondere rund um das jährliche Onlineshopping-Event Cyber Week und in der Vorweihnachtszeit waren spürbar mehr Angriffe zu beobachten. Rund um die Cyber Week 2021 hat sich die Zahl der DDoS-Angriffe gegenüber der Cyber Week 2020 verdoppelt.“ Zu beobachten ist stets auch eine deutliche Zunahme der Bandbreiten und Anfrageraten: „Microsoft berichtete über einen abgewehrten DDoS-Angriff mit einer Bandbreite von 2,4 Tbps (Terabit per second), der in der letzten Augustwoche 2021 auf einen Azure-Kunden in Europa abzielte. […] Mitte August berichtete Cloudflare über einen DDoS-Angriff, bei dem der Anfrageraten-Rekordwert von 17,2 Mrps (Million requests per second / Millionen Anfragen pro Sekunde) erreicht wurde.“ Die Motivation hinter derartigen DDoS-Angriffen ist oftmals die Möglichkeit zur Erpressung von hohen Schutz- und Lösegeldern.

Fazit

Der aktuelle Bericht zur Lage der IT-Sicherheit des BSI zeigt auch in diesem Jahr wieder eindrücklich die Vielfalt der Angriffsvektoren und die technische Fortentwicklung auf der Seite der Angreifer. Abgebildet werden hierbei neben den (wieder einmal) gestiegenen Angriffszahlen jedoch ebenfalls die abzuleitenden zielgruppenspezifischen Erkenntnisse und Maßnahmen für die Gesellschaft, die Wirtschaft sowie den Staat und die Verwaltung, welche auch einen Einblick in die zu erwartenden technischen Entwicklungen geben. So oder so lohnt sich ein Blick in den aktuellen Bericht des BSI allemal.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

WAS IST EIGENTLICH PHISHING?

Phishing ist eine Form des Social Engineerings, einer Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch soziale Handlungen zu erlangen. Beim Social Engineering werden menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Dadurch können Beschäftigte so manipuliert werden, dass sie unzulässig handeln.

Phishing (ein Kunstwort aus „Password“ und „Fishing“) beschreibt das Vorgehen, insbesondere über gefälschte Unternehmenswebseiten und E-Mails die Zugangsdaten, Bankdaten oder andere vertrauliche Informationen von Benutzern zu erlangen und damit einen Identitätsdiebstahl zu begehen. Grundlegend kann zwischen zwei Varianten von Phishing-E-Mails unterschieden werden:

Zum einen kann eine Phishing-E-Mail einen Link enthalten. Dieser führt zumeist auf einen täuschend ähnlichen Nachbau der Internetseite eines Dienstleisters. Auf diesem soll der Benutzer dann vertrauliche Informationen eintragen. Die hierbei eingegebenen Daten werden abgefangen und für die Zwecke der Betrüger missbraucht.

Zum anderen kann eine Phishing-E-Mail einen Anhang enthalten, der beispielsweise als angebliche Rechnung oder gar Mahnung getarnt ist. Öffnet der Empfänger den Anhang wird darin enthaltene Malware auf dem Endgerät des Nutzers übertragen. Diese Schadsoftware kann dann beispielsweise dafür sorgen, dass ein Zugriff auf einzelne Dokumente oder auf den gesamten Rechner nicht mehr möglich ist oder sämtliche Tastatur- und Bildschirmeingaben an unbefugte Dritte übermittelt werden.

Häufig verbreiten sich Phishing-E-Mails als Spam-E-Mails und erreichen somit unzählige Empfänger. Bei dem sogenannten Spear-Phishing richtet sich der Angriff gezielt gegen bestimmte Organisationen. Diese E-Mails sind oft mit hohem Aufwand auf einen bestimmten Empfänger zugeschnitten.

WORAN ERKENNE ICH EINE PHISHING-E-MAIL?

Auch wenn die meisten Phishing-E-Mails täuschend echt aussehen, können sich diese in den meisten Fällen anhand von einigen der folgenden Merkmale als solche identifizieren lassen:

Allgemeine Anrede: Viele Phishing-E-Mails beginnen mit einer allgemeinen Anrede, wie zum Beispiel „Sehr geehrte Damen und Herren“ oder „Sehr geehrter Kunde, sehr geehrte Kundin“. Unternehmen, bei denen Sie tatsächlich Kunde sind, werden Sie meist persönlich ansprechen. Diesen Schwachpunkt haben jedoch auch die Verfasser derartiger E-Mails entdeckt: Sie enthalten nun vermehrt auch persönliche Anreden, unter Umständen sogar die korrekte Anschrift oder Telefonnummern.
Handlungsempfehlung: Fragen Sie sich, ob der in der E-Mail genannte Dienstleister mit Ihnen in einer Geschäftsbeziehung steht, Ihre E-Mail-Adresse kennen kann und dieser mit Ihnen im Regelfall per E-Mail kommuniziert.

Inhalte: Mittels Phishing-E-Mails wird meist ein dringender Handlungsbedarf signalisiert, verbunden mit der Androhung von unangenehmen Folgen, sofern eine konkrete Handlung ausbleibt. Derartige Inhalte sollen bewirken, dass in den Empfängern Panik hervorgerufen wird, welche meist ein unvorsichtiges Handeln zur Folge hat. Sie werden zudem aufgefordert, vertrauliche Daten einzugeben. Anders als noch vor einigen Jahren weisen viele Phishing-Mails inzwischen keinerlei sprachliche Mängel mehr auf. Auch bei gut formuliertem Text sollten Sie deshalb wachsam sein.
Handlungsempfehlung: Hinterfragen Sie auch hier, ob der Dienstleister für das geschilderte Anliegen auf diese Weise normalerweise mit Ihnen in Kontakt treten würde. Gerade Finanzdienstleister versenden im Regelfall keine E-Mails, die Links oder Formulare enthalten oder in denen Sie zum Einloggen in Ihr Kundenkonto aufgefordert werden. Überprüfen Sie zudem gegebenenfalls genannte Transaktions-, Rechnungs- oder Bestellnummern. Öffnen Sie hierfür jedoch keine Anhänge.

Absender: Die Absender-E-Mail-Adresse stimmt meist nicht mit dem des vorgegebenen Unternehmens überein.
Handlungsempfehlung: Überprüfen Sie in Zweifelsfällen die Angaben im E-Mail-Header. Eine ausführliche Anleitung hierzu finden Sie im Artikel der Verbraucherzentrale „So lesen Sie den Mail-Header“.

Links und Anhänge: Die in einer Phishing-E-Mail eingefügten Links stimmen in der Regel nicht mit dem im E-Mail-Text angegebenen Internetadressen überein. Vorsicht bei Anhängen mit Formaten wie .exe oder .scr. Diese können Schadsoftware direkt auf Ihr Gerät laden. Manchmal werden Nutzer oder Nutzerinnen auch durch Doppelendungen wie Dokument.pdf.exe in die Irre geführt.
Handlungsempfehlung: Wenn Sie Ihre E-Mails mit einem Browser verwalten, werfen Sie einen Blick auf den sogenannten Quelltext der HTML-Mail. In einem gängigen E-Mail-Programm können Sie den Cursor einfach mit der Maus über die Absenderzeile führen, aber ohne darauf zu klicken. Dann sehen Sie die, ob in der Absenderzeile eine andere Adresse eingebettet ist.

Bestehen nach der Überprüfung der E-Mail weiterhin Zweifel, kontaktieren Sie den Dienstleister über die Ihnen bekannten Kontaktdaten – nutzen Sie hierfür unter keinen Umständen die in der E-Mail angegebenen Daten und antworten Sie auch nicht auf diese.

WIE VERHALTE ICH MICH WENN ICH EINE PHISHING-E-MAIL ERHALTEN HABE?

Haben Sie eine eingehende E-Mail als Phishing-Versuch enttarnt, verschieben Sie die betreffende E-Mail umgehend in den Spam-Ordner. Zusätzlich können Sie eine Meldung an den „echten“ Dienstleister vornehmen sowie die Phishing-E-Mail der Verbraucherzentrale über phishing@verbraucherzentrale.nrw melden.

WAS IST ZU UNTERNEHMEN, WENN AUF EINE PHISHING-E-MAIL REAGIERT WURDE?

Sollte sich erst nach der Bearbeitung einer entsprechenden E-Mail herausstellen, dass es sich um eine Phishing-Attacke gehandelt hat, sollte das jeweilige Endgerät umgehend auf Schadsoftware überprüft werden. Wurden im Zusammenhang mit der Phishing-E-Mail-Zugangsdaten eingegeben, sind diese unverzüglich abzuändern und betroffene Nutzerkonten gegebenenfalls zu sperren (für eine anschließende Entsperrung sollten ausschließlich die neuen Zugangsdaten verwendet werden). Sofern Unternehmensdaten betroffen sind, sollte eine Strafanzeige wegen des Ausspähens von Daten erstattet werden.

Eine Reaktion auf eine Phishing-E-Mail stellt eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DS-GVO dar. Bei derartigen Vorkommnissen sollte demnach der betriebliche / behördliche Datenschutzbeauftragte in den Vorfall einbezogen werden. Unter Umständen erwachsen dem Verantwortlichen Melde- und Informationspflichten gemäß Art. 33 und Art. 34 DS-GVO.

FAZIT

Aufgrund der steigenden Angriffszahlen ist es ratsam die Beschäftigten auf das Thema Phishing-E-Mails zu sensibilisieren und – sofern noch nicht geschehen – notwendige Verhaltensweise wie beispielsweise Meldewege bei Datenschutzverletzungen zu implementieren und zu dokumentieren. Angebracht ist Skepsis bei E-Mails unbekannter Absender. Weiterführende Informationen zum Thema „Phishing“ sind auf den Seiten des BSI sowie auf den Seiten der Verbraucherzentrale aufrufbar. Dort finden Sie auch ein „Phishing-Radar“ mit aktuellen Meldungen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.