BSI warnt Führungskräfte vor Phishing-Mails

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Funktionsträger in Wirtschaft und Verwaltung vor Angriffen auf deren privat genutzte E-Mail-Konten gewarnt. Demnach versuchen Angreifer vermehrt, mittels sogenannter Spearphishing-E-Mails, gezielt an sorgfältig ausgesuchte Personen adressierte und gerichtete persönliche E-Mails, Zugriff auf deren private E-Mail-Konten zu erlangen.

Die Angreifer geben entweder vor, es seien “Auffälligkeiten bei der Nutzung des Postfachs” beobachtet worden oder es seien neue Sicherheitsfunktionen verfügbar. In beiden Fällen sollen die Empfänger verleitet werden, einen Link anzuklicken und auf der verlinkten Website Nutzername und Passwort einzugeben.

Am häufigsten wurden diese Versuche vom BSI aktuell offenbar bei Konten bei Yahoo und Gmail festgestellt. Allerdings beobachtete das BSI bereits 2016, dass Webseiten registriert wurden, die sich für Spearphishing-Angriffe gegen Kunden der deutschen Webmailer gmx.de und web.de eignen. Dahinter könnten dieselben Täter stecken. Diese Domains sind zwar aktuell noch nicht beobachtet verwendet worden. Die Registrierung zeigt aber, dass die Täter über diese Mail-Provider Angriffe in Erwägung ziehen.

Dem BSI zufolge gibt es Parallelen zu den Angriffen gegen Mitglieder der Demokratischen Partei in den USA und der Bewegung “En Marche” des neuen französischen Präsidenten Emmanuel Macron. In beiden Fällen waren Mitglieder des Wahlmkampf-Teams ausgespäht worden. Währen die dabei zutage gekommenen Informationen über zweifelhafte Beziehungen zur Finanzwirtschaft und hohe Spenden aus arabischen Staaten für die Niederlage von Hillary Clinton mitverantwortlich gemacht werden, schadeten die auf diese Weise kurz vor dem Wahltag zutage gekommenen E-Mails dem Franzosen kaum.

“Auch in den Regierungsnetzen hat das BSI bereits einen Angriff der aktuellen Kampagne abgewehrt. Grundsätzlich können wir solche Phishing-Mails mit einer sehr hohen Wahrscheinlichkeit detektieren”, erklärt das BSI. Private E-Mail-Postfächer lägen allerdings außerhalb seiner Zuständigkeit und auch die Parteien und Organisationen hätten begrenzten Einfluss darauf. Dies mache sie für die Angreifer zu einem attraktiven Ziel.

“Funktionsträger in Verwaltung und Wirtschaft sollten daher dafür sorgen, dass auch ihre privaten Mail-Accounts abgesichert sind. Dies ist wichtiger Teil des digitalen Persönlichkeitsschutzes”, so das BSI weiter. Es rät, jegliche E-Mail-Kommunikation zu verschlüsseln und eine Zwei-Faktor-Authentifizierung zu verwenden. Nutzer sollten außerdem niemals ein Passwort in eine Website eingeben, auf die sie durch einen Link in einer E-Mail gelangt sind. Diese Empfehlungen lassen sich weniger im Mittelpunkt des öffentlichen Interesses stehende Personen unverändert übertragen.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Zu den BSI-Empfehlungen für Funktionsträger in Wirtschaft und Verwaltung gehört auch eine strikte Trennung von privaten und geschäftlichen Inhalten. Verdächtige E-Mails sollten Betroffene nicht löschen, sondern dem zuständigen IT-Personal übergeben. Generell wäre es zudem sinnvoll, wenn sich auch Personen in herausgehobener Position an geltende Gesetze halten und auch in ihrer privaten schriftlichen Kommunikation ein Mindestmaß an Anstand und Respekt wahren. Damit würden sie nicht nur der Verantwortung gerecht, die das in sie gesetzte Vertrauen mit sich bringt, sondern böten auch deutlich weniger Angriffsfläche für den Fall, dass vertrauliche Daten durchsickern oder entwendet werden.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

FTC blockiert Microsofts Übernahme von Activision Blizzard

Die Regulierungsbehörde kündigt eine Klage gegen die Transaktion an. Sie erwartet, dass Microsoft den Zugang…

21 Stunden ago

Cybersecurity-Software findet gefährliche IoT-Schwachstellen

Onekey erweitert Schutz gegen Zero-Day-Attacken und bietet transparente Auflistung von Softwarekomponenten.

22 Stunden ago

Pentagon vergibt Cloud-Auftrag – an AWS, Google, Oracle und Microsoft

Der neue Auftrag hat eine Laufzeit bis Juni 2028. Das Auftragsvolumen sinkt von 10 auf…

23 Stunden ago

Cybersecurity-Maßnahmen: Hochbeliebt bedeutet nicht immer hocheffektiv

Unternehmen in der deutschen Finanzbranche ignorieren signifikante Möglichkeiten zur Verbesserung ihrer Cybersicherheit.

2 Tagen ago

Fitness-App gegen Stress und für geringeres Erkrankungsrisiko

Das Jahresende ist auch die Zeit der guten Vorsätze für das nächste Jahr. Tipps für…

2 Tagen ago

Virtuelles Quantencomputing-Labor für Unternehmen

Tata Consultancy Services bietet virtuelle Forschungs- und Entwicklungsumgebung auf Basis von Amazon Braket.

2 Tagen ago