Achtung Phishing-Mails!
Laut der Studie „Wirtschaftsschutz 2023“ des Branchenverbands Bitkom waren Phishingmails mit die häufigste Ursache, wenn bei Firmen durch Cyberangriffe Schäden verursacht werden.
Da wo DLRG drauf steht ist nicht immer DLRG drin!
Wir haben durch unsere externe Datenschutzbeauftragte in den letzten zwei Wochen eine Kampagne zum Thema Phishing-Mails gestartet. Viele von euch haben Phishing-Mails erhalten, z.B. die Ankündigung eines Gewinnspiels zum LV-Tag 112 oder eine Nachricht vom Paritätischen Wohlfahrtsverband oder von Divera 24/7.
Diese Mails waren Teil der Kampagne, um die Kenntnis in unserem Landesverband zu prüfen und die Aufmerksamkeit auf das Problem Phishing zu lenken.
Was war das Ergebnis der Aktion?
Das Problem
Phishing Mails sind Täuschungshandlungen, bei denen eine falsche Identität benutzt wird, um Informationen von einer Zielperson zu erhalten oder sie zu einer von ihr ungewollten Handlung zu bewegen. Laut der Studie „Wirtschaftsschutz 2023“ des Branchenverbands Bitkom waren Phishing Mails mit die am häufigste Ursache, wenn bei Firmen durch Cyberangriffe Schäden verursacht werden.
Warum ist Phishing so gefährlich? Das bloße Öffnen einer E-Mail (wenn die Bilder mit heruntergeladen werden) kann dem Angreifer bestätigen, dass diese E-Mail-Adresse tatsächlich bedient wird (aktiv ist), so dass diese für spezifischere Angriffe weiterverwendet werden könnte – auch für Social Engineering.
Durch das Klicken auf den Link in der E-Mail oder das Herunterladen eines Anhangs könnte im Hintergrund Schadsoftware von einer Website heruntergeladen werden oder ein Popup geöffnet werden, ohne dass man es merkt. Passen die Rechte des Users, könnte damit ein ganzes Netzwerk beschädigt oder Daten verschlüsselt werden.
Gibt jemand sein Passwort ein, könnte man auf eine grundsätzliche Passwort-Struktur schließen und auch andere Passwörter erraten bzw. dieses Passwort auch in anderen Anwendungen nutzen, sollte es gleich sein. Beim Social Engineering nutzen Angreifer den "Faktor Mensch" als vermeintlich schwächstes Glied der Sicherheitskette aus, um ihre kriminellen Absichten zu verwirklichen.
Eingegebene Daten und E-Mail-Adressen könnten im Darknet veröffentlicht oder sogar verkauft werden, das ist ein Datenschutz- und Sicherheitsproblem gerade im Falle von Bankdaten.
Wie erkennt man potenzielle Phishing Mails?
- seltsame oder unübliche Absender (z.B. dlrg@noreplies.info; max.mustermann@dlrg.io)
- Seltsame oder unübliche Anrede (z.B. Liebe DLRG Familie; Sehr geehrte Nutzer)
- Sprache, die zum umgehenden, eiligen Handeln auffordert (z.B.: „Bitte führen Sie die Bestätigung bis spätestens heute Abend durch“; „Teilnahmeschluss ist Freitag, 16. Mai 2025, um 12 Uhr. Also schnell sein!“)
- Links und Anhänge
Ungewöhnliche Aufforderungen (Die Mail verlangt sensible Daten wie Passwörter, Bankdaten oder PINs.)
Aber:
Phishing Mails können inzwischen sehr gut gemacht und schwierig zu erkennen sein!
Wie können wir uns schützen?
Die Einstellungen in unserem e-Mailsystem so wählen, das Bilder, Anhänge und andere externe Inhalte nicht sofort mit vom Mailserver heruntergeladen werden.
Links nicht ungeprüft anklicken, sondern zunächst mit der Maus vorsichtig über einen Link fahren, um den Verweis zu prüfen.
In der Gewinnspielaktion sah das so aus:
Weitere Details der Kampagne und Folien zur Nutzung in der Gliederung findet ihr im Anhang.
Bei Fragen und bei Meldungen von Vorfällen wendet Euch an das Team Datenschutz: datenschutz@wuerttemberg.dlrg.de
