An vielen anderen Stellen weist das Bundesamt für Sicherheit in der Informationssicherheit (BSI) zu Recht darauf hin, dass das Thema Cybersicherheit nicht allein Computersysteme, Netzwerke etc. betrifft. Eine immer größere Bedeutung nimmt der „Faktor Mensch“, also die Nutzerinnern und Nutzer der Technologien, ein. Insbesondere beim sogenannten Social Engineering nutzen Täter dieses vermeintlich schwächste Glied in der Verteidigungskette gezielt aus. In seinem aktuellen Lagebericht zur IT-Sicherheit in Deutschland 2022 weist das BSI explizit darauf hin, dass der Faktor „Mensch“ wie z.B. in den Fällen des Social Engineering immer bedeutsamer wird. Anwendungsfälle liegen insbesondere im Bereich der Betrugs-E-Mails. Hierbei nehmen Phishing-E-Mails laut Angaben des BSI mit rund 90 Prozent den größten Anteil ein. Social Engineering ist längst eine feste Begrifflichkeit im Bereich der Cybersicherheit aber auch des Datenschutzrechts. Im Datenschutzrecht bestehen insbesondere mit Blick auf die Sicherheit der Verarbeitung nach Art. 32 DS-GVO sowie hinsichtlich möglicher durch Social Engineering ausgelöster Datenschutzverletzungen bestehende Melde- und Benachrichtigungspflichten nach Art. 33 und Art. 34 DS-GVO entsprechende Anknüpfungspunkte. Doch was verstehen wir eigentlich unter Social Engineering und warum geht hiervon eine solche Gefahr aus? Diese und weitere Fragen soll der nachstehende Beitrag näher beleuchten.

Was verstehen wir unter Social Engineering?

Das BSI beschreibt in seinem Lagebericht Social Engineering wie folgt:

„Bei Cyber-Angriffen durch Social Engineering versuchen Kriminelle, ihre Opfer dazu zu verleiten, eigenständig Daten preiszugeben, Schutzmaßnahmen zu umgehen oder selbstständig Schadprogramme auf ihren Systemen zu installieren. Sowohl im Bereich der Cyber-Kriminalität als auch bei der Spionage gehen die Angreifer geschickt vor, um vermeintliche menschliche Schwächen wie Neugier oder Angst auszunutzen und so Zugriff auf sensible Daten und Informationen zu erhalten.“

An anderer Stelle wird Social Engineering als „gezielte Nutzung psychologischer Manipulationstechniken aufgefasst, um jemanden zu Handlungen zu bewegen, die nicht seiner Einstellung entsprechen.“ Im bildlichen Vergleich gesprochen erscheint Social Engineering dem Schachspiel sehr ähnlich, mit dem Unterschied, dass beim Social Engineering die Figur selbst ihren Zug ausführt. Zusammenfassend lässt sich festhalten, dass Social Engineering Angriffsmethoden beschreibt, welche zusätzlich eine soziale Komponente nutzen, um die Opfer dazu zu verleiten, durch den Angreifer gewollte Handlungen durchzuführen. Ausgenutzt werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt, um Personen geschickt zu manipulieren.

Wie funktioniert Social Engineering?

Wie in dem Papier der Risworkers zutreffend aufgeworfen wird, stellt Social Engineering per se keine Neuheit dar, denn Manipulationen werden vorgenommen, seit es Geheimnisse gibt, die andere erfahren wollen. Neu in diesem Zusammenhang ist jedoch die Effizienz und Zielgenauigkeit des Vorgehens durch Nutzung elektronischer Kommunikationswege. Social Engineering kann in verschiedenen Konstellationen auftreten wie beispielsweise zum Erhalt gesicherter Informationen wie Passwörtern und Zugangskennungen, um Zugang zu gesicherten IT-Netzwerken zu erhalten oder bei wirtschaftskriminellen Handlungen wie „man-in-the-middle-Angriffen“, Bankdaten- & Überweisungsbetrug und bei Wirtschaftsspionage.

Die wohl bekannteste Variante des Social Engineerings sind die sogenannten Phishing-E-Mails. Phishing-E-Mails zielen darauf ab, das Opfer mittels Social-Engineering-Methoden zur Preisgabe von Identitäts- oder Authentifizierungsdaten zu bewegen. Der Begriff Phishing setzt sich aus den englischen Wortbestandteilen „Password“ und „Fishing“ zusammen, das heißt der Angreifer versucht zum Beispiel durch geschickte Formulierungen das Opfer zur Preisgabe von Nutzer- bzw. Zugangsdaten zu bewegen. Dem Nutzer wird regelmäßig suggeriert, dass der Inhalt der E-Mail oder deren Anhang bzw. Verlinkung eine hohe Relevanz habe und deshalb geöffnet werden müsse. Gängige Methode stellt das Verstecken von Schadprogrammen hinter Download-Links dar, welche mittels E-Mail, Social-Media oder Webseiten verbreitet werden. Eine weitere beliebte Methode ist das Verschicken von elektronischen Rechnungen. In diesen sollen die manipulierten Dateien aufgrund ihrer Aufmachung den Anschein erwecken von einem vertrauenswürdigen Absender zu stammen, bspw. einem Vertrags- oder Geschäftspartner, einem Dienstleister oder Lieferanten. Das Problem mit dem Phising haben wir bereits in einem unserer früheren Beiträge thematisiert.

Eine weitere Variante des Social Engineering stellt der sogenannte CEO-Fraud dar. Als CEO-Fraud werden gezielte Social Engineering-Angriffe auf Beschäftigte von Unternehmen bezeichnet. Der Angreifer nutzt hierbei zuvor erbeutete Identitätsdaten (z. B. Telefonnummern, Passwörter, E-Mail-Adressen etc.), um sich als Vorstandsvorsitzender (CEO), Geschäftsführung o. Ä. auszugeben und Beschäftigte zur Auszahlung hoher Geldsummen oder zur Weitergabe vertraulicher oder sensitiver Informationen zu veranlassen.

Weitere Beispiele liegen in bekannten Vorgehensweisen wie dem angeblichen Anrufen des externen IT-Verantwortlichen oder des Admins, welcher zur angeblichen Behebung eines Systemfehlers oder Sicherheitsproblems das Passwort des Benutzers oder der Benutzerin benötigt, oder es werden in dem Telefonat unverfängliche Fragen, zum Beispiel nach Art und Version des verwendeten Internet-Browsers, Flash-Players und ähnlicher Standardanwendungen für die Exploits verfügbar sind, gestellt. Für die Opfer erscheinen die Fragen zuweilen belanglos. Beliebt sind ebenfalls angebliche Anrufe von Studenten, welche Daten für eine bestimmte Studie erheben. Ebenso stellen der USB-Drop (das gezielte Platzieren eines infizierten Speichermediums), das Dumpster Diving (das Durchsuchen des Papiermülls nach relevanten aber achtlos weggeworfenen und nicht geschredderten Dokumenten bzw. Informationen) sowie das Shoulder Surfing (das Mitlesen und Ausspähen von Bildschirminhalten über die Schulter des Opfers) klassische Varianten des Social Engineerings dar. Das zentrale Merkmal bei Social Engineering-Angriffen liegt stets in der Täuschung des Opfers über die Identität und die Absicht des Täters. Hierbei sind vor allem auch personalisierte Angriffe auf bestimmte Opfer denkbar.

Welche Auswirkungen hat das Social Engineering auf den Datenschutz?

Für die datenschutzrechtliche Komponente soll hierfür insbesondere der Blick auf den Eintritt möglicher Melde- und Benachrichtigungspflichten gemäß Art. 33 bzw. Art. 34 DS-GVO gelegt werden. Beide Normen knüpfen an das Vorliegen einer Verletzung des Schutzes personenbezogener Daten (kurz Datenschutzverletzung) gemäß Art. 4 Nr. 12 DS-GVO an. Dies ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

In den Fällen eines erfolgreichen Social Engineering-Angriffs, zum Beispiel durch Reaktion auf eine Phishing-E-Mail, durch Klick auf einen manipulierten Link oder durch Informationsweitergabe bei einem CEO-Fraud, ist in der Regel vom Vorliegen einer Datenschutzverletzung auszugehen. Der Europäische Datenschutzausschuss geht in seiner Richtlinie 01/2021 „on Examples regarding Personal Data Breach Notification“ in Fall Nr. 17 ebenfalls auf die Thematik des Social Engineerings ein. Die Folge des Angriffs ist ein Identitätsdiebstahl. Der EDSA stellt in diesem Fall dar, dass unter dem Risikoaspekt ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht, da in der konkreten Fallgestaltung die abgeflossenen Abrechnungsdaten Aufschluss über das Privatleben der betroffenen Person geben können (zum Beispiel Gewohnheiten, Kontakte) und zudem ein materieller Schaden entstehen könnte (zum Beispiel Stalking, Gefährdung der körperlichen Integrität). Folglich sind sowohl eine Meldung an die Aufsichtsbehörde gemäß Art. 33 DS-GVO als auch eine Benachrichtigung der betroffenen Person durch den Verantwortlichen gemäß Art. 34 DS-GVO erforderlich. Dieser Fall zeigt mithin welche datenschutzrechtlichen Auswirkungen möglich sein können. Wobei im Folgenden noch mögliche Schadenersatzansprüche von betroffenen Personen gemäß Art. 82 DS-GVO die Folge sein können.

Fazit

Die Gefahr vor Social Engineering-Angriffen ist groß und zudem allgegenwärtig. Die Risiken für Institutionen bestehen insbesondere im Datenabfluss, in der Preisgabe vertraulicher Informationen oder Organisations-Knowhow, Reputationsfolgeschäden sowie möglichen finanziellen bzw. wirtschaftlichen Schäden. Der effektivste Schutz vor Social Engineering-Angriffen ist die Sensibilisierung. Insbesondere persönlicher Kontakt via E-Mail oder Telefon kann durch kritische Nachfragen ausgehebelt werden. Bei personalisierten E-Mails kann eine Überprüfung der Absenderadresse oder des enthaltenen Links möglicherweise Aufschluss geben. Im Zweifel sollten externe Links oder Anhänge nie geöffnet werden oder es muss eine Verifizierung beim tatsächlichen Absender erfolgen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

FALL 17: LÖSUNG

Viele wird der Sachverhalt erinnert haben an die Datenschutzverletzung bei der 1&1 Telecom GmbH und das anschließende Bußgeldverfahren des Bundesdatenschutzbeauftragten. Dort lag der Fall allerdings etwas anders: Eine Anruferin hatte bei der Hotline des Unternehmens Namen und Geburtsdatum ihres Ex-Mannes genannt, im Gegenzug dessen neue Funknummer mitgeteilt bekommen. Der BfDI verhängte für die (eindeutig) unzureichende Authentifizierungs-Vorgabe ein Bußgeld von 9,6 Millionen Euro, das im anschließenden Einspruchsverfahren auf 900.000 Euro reduziert wurde (Urteil des LG Bonn vom – im Ernst! – 11.11.2020, Az. 29 OWi 1/20).

Der Fall 17 mag daraus abgeleitet sein, leider mit Lücken bei den Angaben zum Sachverhalt: Zur Abschätzung, welche Risiken aus der Datenschutzverletzung resultieren könnten, fehlen wichtige Informationen. Vor allem ist unklar, welche Daten die Telefonrechnung dem unbefugten Dritten offenbart hat. Da dieser Dritte für die eigene Legitimation gegenüber dem TK-Unternehmen Steuernummer und Postanschrift der betroffenen Person nutzte, waren ihm solche Daten offenbar schon bekannt.

Falls die versendete Rechnung außer den (bekannten) Adressdaten der betroffenen Person und den (datenschutzrechtlich irrelevanten) Daten des TK-Unternehmens nur den Rechnungsbetrag enthielt, wäre das Missbrauchsrisiko sehr gering. Wenn zusätzlich z.B. (dem Angreifer zuvor nicht bekannte) Telefon- und Vertragsnummern oder sogar Bankverbindungsdaten und Abrechnungsdaten für Einzelgespräche verschickt wurden, ergibt sich eindeutig ein anderes Bild (und ein viel höheres Missbrauchsrisiko).

Vom letztgenannten Szenario scheint der EDSA ausgegangen zu sein (ohne dies im Sachverhalt klarzustellen) und sieht offenbar deshalb in seiner Richtlinie Meldepflichten sowohl gegenüber der Aufsichtsbehörde, als auch gegenüber der betroffenen Person. In der Variante „Übermittlung lediglich eines Monats-Rechnungsbetrages an einen unbefugten Dritten“ wäre die Ablehnung beider Meldepflichten sehr gut vertretbar.

Die Begründung der EDSA-Richtlinie für die Annahme der Meldepflichten (Textziffer 124) ist nur bei Unterstellung „reichhaltiger Rechnungsdaten“ verständlich. Argumentiert wird dort mit hohen Risiken, weil sich aus den Rechnungsdaten Informationen über das Privatleben der betroffenen Person ergeben könnten, z.B. Gewohnheiten und Kontakte (dazu nötig: Verbindungsdaten zu Einzelgesprächen). Der EDSA behauptet sogar Risiken für die körperliche Unversehrtheit („risk to physical integrity“), obwohl laut Sachverhalt der Angreifer bereits vor der Datenschutzverletzung die Adressdaten der betroffenen Person kannte (und im Call-Center verwendete). Bei Neuauflage der EDSA-Richtlinie sollte Fall 17 also „nachgearbeitet“ werden.

Immerhin findet sich jedoch ein wichtiger Hinweis auf einen meist einfachen und zuverlässigen Weg zur Authentifizierung: Bei Änderung von Kontaktdaten (z.B. der E-Mail-Adresse) sollte stets eine Bestätigung über die bisherigen Kommunikationskanäle (durch Rückfrage z.B. auf die alte E-Mail-Adresse) eingeholt werden.

FALL 18: LÖSUNG

Bei der Fall-Analyse beunruhigt vor allem, dass der Verantwortliche auch im Nachhinein den Zugang des Angreifers und dessen Handlungen im IT-System nur unvollständig aufklären konnte. Neben dem Aspekt der „Vertraulichkeit“ kann der Vorfall also auch „Integrität/Richtigkeit“ und „Verfügbarkeit“ der Daten betreffen. Er umfasst jedenfalls auch für die 89 Mitarbeiter, bei denen „nur“ Namen und Monatseinkommen ausgespäht wurden, Daten mit erhöhtem Schutzbedarf und erhöhtem Missbrauchsrisiko. Meldepflichten bestehen deshalb sowohl gegenüber der Aufsichtsbehörde, als auch gegenüber (allen) Betroffenen.

Der EDSA nennt (in Textziffern 130 und 131) eine ganze Reihe möglicher technischer Maßnahmen zur Wiederherstellung und künftigen Sicherung datenschutzgerechter Abläufe (unter anderem die Einschränkung oder Verhinderung von Regeln zur automatisierten Weiterleitung), betont aber, dass letztlich stets die Umstände des Einzelfalles geprüft und angemessen behandelt werden müssen.

FAZIT

Das wäre dann auch ein schöner Schlusssatz: Entscheiden Sie über die notwendigen Maßnahmen immer unter angemessener Berücksichtigung aller relevanten Umstände des vorliegenden Einzelfalles! Immer richtig, nur in der Praxis nicht sehr hilfreich. Dennoch Dank an den Europäischen-Datenschutzausschuss, weil er mit dieser Richtlinie für den Bereich der Meldepflichten jedenfalls etwas mehr Datenschutz-Klarheit gestiftet hat. Und Dank an Sie für´s Mitmachen!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

WAS IST EIGENTLICH PHISHING?

Phishing ist eine Form des Social Engineerings, einer Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch soziale Handlungen zu erlangen. Beim Social Engineering werden menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Dadurch können Beschäftigte so manipuliert werden, dass sie unzulässig handeln.

Phishing (ein Kunstwort aus „Password“ und „Fishing“) beschreibt das Vorgehen, insbesondere über gefälschte Unternehmenswebseiten und E-Mails die Zugangsdaten, Bankdaten oder andere vertrauliche Informationen von Benutzern zu erlangen und damit einen Identitätsdiebstahl zu begehen. Grundlegend kann zwischen zwei Varianten von Phishing-E-Mails unterschieden werden:

Zum einen kann eine Phishing-E-Mail einen Link enthalten. Dieser führt zumeist auf einen täuschend ähnlichen Nachbau der Internetseite eines Dienstleisters. Auf diesem soll der Benutzer dann vertrauliche Informationen eintragen. Die hierbei eingegebenen Daten werden abgefangen und für die Zwecke der Betrüger missbraucht.

Zum anderen kann eine Phishing-E-Mail einen Anhang enthalten, der beispielsweise als angebliche Rechnung oder gar Mahnung getarnt ist. Öffnet der Empfänger den Anhang wird darin enthaltene Malware auf dem Endgerät des Nutzers übertragen. Diese Schadsoftware kann dann beispielsweise dafür sorgen, dass ein Zugriff auf einzelne Dokumente oder auf den gesamten Rechner nicht mehr möglich ist oder sämtliche Tastatur- und Bildschirmeingaben an unbefugte Dritte übermittelt werden.

Häufig verbreiten sich Phishing-E-Mails als Spam-E-Mails und erreichen somit unzählige Empfänger. Bei dem sogenannten Spear-Phishing richtet sich der Angriff gezielt gegen bestimmte Organisationen. Diese E-Mails sind oft mit hohem Aufwand auf einen bestimmten Empfänger zugeschnitten.

WORAN ERKENNE ICH EINE PHISHING-E-MAIL?

Auch wenn die meisten Phishing-E-Mails täuschend echt aussehen, können sich diese in den meisten Fällen anhand von einigen der folgenden Merkmale als solche identifizieren lassen:

Allgemeine Anrede: Viele Phishing-E-Mails beginnen mit einer allgemeinen Anrede, wie zum Beispiel „Sehr geehrte Damen und Herren“ oder „Sehr geehrter Kunde, sehr geehrte Kundin“. Unternehmen, bei denen Sie tatsächlich Kunde sind, werden Sie meist persönlich ansprechen. Diesen Schwachpunkt haben jedoch auch die Verfasser derartiger E-Mails entdeckt: Sie enthalten nun vermehrt auch persönliche Anreden, unter Umständen sogar die korrekte Anschrift oder Telefonnummern.
Handlungsempfehlung: Fragen Sie sich, ob der in der E-Mail genannte Dienstleister mit Ihnen in einer Geschäftsbeziehung steht, Ihre E-Mail-Adresse kennen kann und dieser mit Ihnen im Regelfall per E-Mail kommuniziert.

Inhalte: Mittels Phishing-E-Mails wird meist ein dringender Handlungsbedarf signalisiert, verbunden mit der Androhung von unangenehmen Folgen, sofern eine konkrete Handlung ausbleibt. Derartige Inhalte sollen bewirken, dass in den Empfängern Panik hervorgerufen wird, welche meist ein unvorsichtiges Handeln zur Folge hat. Sie werden zudem aufgefordert, vertrauliche Daten einzugeben. Anders als noch vor einigen Jahren weisen viele Phishing-Mails inzwischen keinerlei sprachliche Mängel mehr auf. Auch bei gut formuliertem Text sollten Sie deshalb wachsam sein.
Handlungsempfehlung: Hinterfragen Sie auch hier, ob der Dienstleister für das geschilderte Anliegen auf diese Weise normalerweise mit Ihnen in Kontakt treten würde. Gerade Finanzdienstleister versenden im Regelfall keine E-Mails, die Links oder Formulare enthalten oder in denen Sie zum Einloggen in Ihr Kundenkonto aufgefordert werden. Überprüfen Sie zudem gegebenenfalls genannte Transaktions-, Rechnungs- oder Bestellnummern. Öffnen Sie hierfür jedoch keine Anhänge.

Absender: Die Absender-E-Mail-Adresse stimmt meist nicht mit dem des vorgegebenen Unternehmens überein.
Handlungsempfehlung: Überprüfen Sie in Zweifelsfällen die Angaben im E-Mail-Header. Eine ausführliche Anleitung hierzu finden Sie im Artikel der Verbraucherzentrale „So lesen Sie den Mail-Header“.

Links und Anhänge: Die in einer Phishing-E-Mail eingefügten Links stimmen in der Regel nicht mit dem im E-Mail-Text angegebenen Internetadressen überein. Vorsicht bei Anhängen mit Formaten wie .exe oder .scr. Diese können Schadsoftware direkt auf Ihr Gerät laden. Manchmal werden Nutzer oder Nutzerinnen auch durch Doppelendungen wie Dokument.pdf.exe in die Irre geführt.
Handlungsempfehlung: Wenn Sie Ihre E-Mails mit einem Browser verwalten, werfen Sie einen Blick auf den sogenannten Quelltext der HTML-Mail. In einem gängigen E-Mail-Programm können Sie den Cursor einfach mit der Maus über die Absenderzeile führen, aber ohne darauf zu klicken. Dann sehen Sie die, ob in der Absenderzeile eine andere Adresse eingebettet ist.

Bestehen nach der Überprüfung der E-Mail weiterhin Zweifel, kontaktieren Sie den Dienstleister über die Ihnen bekannten Kontaktdaten – nutzen Sie hierfür unter keinen Umständen die in der E-Mail angegebenen Daten und antworten Sie auch nicht auf diese.

WIE VERHALTE ICH MICH WENN ICH EINE PHISHING-E-MAIL ERHALTEN HABE?

Haben Sie eine eingehende E-Mail als Phishing-Versuch enttarnt, verschieben Sie die betreffende E-Mail umgehend in den Spam-Ordner. Zusätzlich können Sie eine Meldung an den „echten“ Dienstleister vornehmen sowie die Phishing-E-Mail der Verbraucherzentrale über phishing@verbraucherzentrale.nrw melden.

WAS IST ZU UNTERNEHMEN, WENN AUF EINE PHISHING-E-MAIL REAGIERT WURDE?

Sollte sich erst nach der Bearbeitung einer entsprechenden E-Mail herausstellen, dass es sich um eine Phishing-Attacke gehandelt hat, sollte das jeweilige Endgerät umgehend auf Schadsoftware überprüft werden. Wurden im Zusammenhang mit der Phishing-E-Mail-Zugangsdaten eingegeben, sind diese unverzüglich abzuändern und betroffene Nutzerkonten gegebenenfalls zu sperren (für eine anschließende Entsperrung sollten ausschließlich die neuen Zugangsdaten verwendet werden). Sofern Unternehmensdaten betroffen sind, sollte eine Strafanzeige wegen des Ausspähens von Daten erstattet werden.

Eine Reaktion auf eine Phishing-E-Mail stellt eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DS-GVO dar. Bei derartigen Vorkommnissen sollte demnach der betriebliche / behördliche Datenschutzbeauftragte in den Vorfall einbezogen werden. Unter Umständen erwachsen dem Verantwortlichen Melde- und Informationspflichten gemäß Art. 33 und Art. 34 DS-GVO.

FAZIT

Aufgrund der steigenden Angriffszahlen ist es ratsam die Beschäftigten auf das Thema Phishing-E-Mails zu sensibilisieren und – sofern noch nicht geschehen – notwendige Verhaltensweise wie beispielsweise Meldewege bei Datenschutzverletzungen zu implementieren und zu dokumentieren. Angebracht ist Skepsis bei E-Mails unbekannter Absender. Weiterführende Informationen zum Thema „Phishing“ sind auf den Seiten des BSI sowie auf den Seiten der Verbraucherzentrale aufrufbar. Dort finden Sie auch ein „Phishing-Radar“ mit aktuellen Meldungen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.