Phishing Mails und der Datenschutz

Was haben denn Phishing Mails mit dem Datenschutz zu tun?

Die IT-Sicherheitsstrategie eines Unternehmens kann noch so gut sein – doch wenn die Mitarbeiter auf Tricks hereinfallen, Phishing-Mails öffnen, vermeintlichen Support-Mitarbeitern am Telefon ihr Passwort verraten und herumliegende USB-Sticks in den erstbesten Rechner schieben. Dann sind Sie als Unternehmen hilflos und verdammt zum Datenverlust.

“Mitarbeiter der Universität Nürnberg-Erlangen haben dies getestet und haben Links mittels Facebook und Mails versendet. Mehr als 50% Prozent aller Empfänger klickten auf den Link, obwohl die Nachrichten im Namen frei erfundener Personen versandt wurden. Um den Inhalt für die nichtsahnenden Studienteilnehmer relevant zu machen, war in der Nachricht jeweils von Party-Fotos die Rede. In den per E-Mail versandten Nachrichten wurde jeweils der Vorname des Empfängers als Anrede verwendet, was die hohe Klickrate erklärt. Auf die per Facebook versandten Links klickten immerhin noch knapp 40% der Teilnehmer.

Interessant ist auch, dass lediglich 20% zugaben, auf die Links geklickt zu haben. Nach den Gründen für den Klick befragt, gaben 34 Prozent Neugier an. 27 Prozent fanden es plausibel, dass ein völlig Unbekannter die Nachricht versandte, da sie ja nicht alle Partygäste kannten. Immerhin 16 Prozent glaubten, den Absender erkannt zu haben – obwohl der Name ebenso erfunden war wie die Inhalte im betreffenden Facebook-Profil. Besorgniserregend ist die Auskunft, die elf Prozent der Klickenden gaben: Sie fühlen sich vermeintlich sicher, da sie eine Antivirensoftware verwenden, mit Mac OS X arbeiten oder per Tor-Browser surfen.”

Was sagt uns das? Menschen sind von Natur aus neugierig und daher nur schwer im Zaum zu halten. Sie würden immer Gründe finde, warum sie eine risikobehaftete Aktion wie den Klick auf den Phishing-Link ausführten.

Was passiert, wenn wir auf die Phishing-Mail hereinfallen?

Hat der Unbekannte erst Zugang zu den internen Daten kann alles Mögliche passieren. In einigen Fällen werden „Festplatten“ verschlüsselt um Geld zu erpressen. Dabei sind unter anderem auch Virtuelle Platten in Serverlandschaften und in der Cloud betroffen. Die Folgen für das Unternehmen können Ruinös sein, vor allem wenn das vermeidlich einwandfreie Backupverfahren fehlerhaft ist und sich die Daten deshalb nicht wiederherstellen lassen.

Der Angreifer könnte gezielt das Unternehmen ausspähen um beispielsweise Kundenkontakte zu erhalten, Einblick in das Rechnungswesen zu bekommen oder Baupläne und Projekte zu kopieren, zu verfälschen und zu sabotieren.

Ein einfaches Gedankenspiel: Der Mitarbeiter eines Planungsbüros öffnet eine Phishing-mail und ein unbekannter erhält die Möglichkeit ein kleines Programm auszuführen. In der Folge werden alle E-Mails die durch Outlook oder einem andern E-Mail Programm empfangen oder versendet werden kopiert und im Hintergrund an eine weitere unautorisierte Adresse Versand. So bekommt der Angreifer Einsicht in Rechnungen, Bestellungen, evtl. in Pläne, Geschäftsprozesse und allen anderen möglichen Korrespondenzen. Die Folgen für das Unternehmen, die Kunden und andere Betroffene sind unabsehbar.

Das Unternehmen ist diskreditiert und könnte Kunden verlieren. Die Behörde müsste Prüfen welche Personenbezogene Daten übertragen wurden und ggf. weitere Maßnahmen einleiten. Und vieles weiteres mehr… und alles nur wegen eines einzigen Klicks.

Glücklicherweise sind viele der IT-Verantwortlichen auf solche Angriffe vorbereitet und ein wirkungsvolles IT-Sicherheitskonzept schützt die Daten des Unternehmens. Dennoch sollten wir uns überlegen ob wir es darauf ankommen lassen. Vor allem im eigenen Heim haben wir keinen IT-Verantwortlichen der uns vor der Verantwortlichkeit und dem möglichen Schaden schützt. Das geliche gilt für uns im Home-Office.

Wenn wir einen USB-Stick finden, warum übergeben wir Ihn nicht unserem fachlich ausgebildeten IT-Mitarbeiter? Dieser hat die Kompetenz den Stick vorab zu Prüfen. Wenn wir stutzig werden das wir eine Mail von unserer Bank erhalten. Was hindert uns daran zu unserem Mobiltelefon zu greifen und mit unserem Bankberater Rücksprache zu halten. Und das bevor wir den Link anklicken.

Datenschutz ist nicht nur Aufgabe EINES Mitarbeiters im Unternehmen, sondern wird von den eigenverantwortlichen Mitarbeitern jeden Tag gelebt. Das gilt für den Unternehmensbereich ebenso wie für den Privatbereich. Und so schützen wir unsere Daten ebenso wie die Daten anderer Personen, in dem wir nicht unserer Neugier erliegen, sondern vorab ein bisschen darüber nachdenken welche Eigenverantwortung wir haben.

Quellenangabe: pressenetz.de, Nürnberger Nachrichten 17. Oktober 2016

Benötigen Sie Unterstützung?

Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!

Zum Kontaktformular

Aktuelle Artikel zu diesem Thema

Der EU Data Act: Eine neue Ära für Europas Datenwirtschaft

06.03.2024/von Marzena Tasch

Neues Gesetz fordert Aktion: Unternehmen ab 50 Mitarbeitern müssen Hinweisgeberschutz umsetzen

13.12.2023/von Marzena Tasch

EU-Kommission erklärt Datenschutz in den USA für ausreichend – sind US Clouds und Tools jetzt sicher?

17.06.2023/von Marzena Tasch

Haben Sie noch Fragen?

Unser Experte und Spezialist dieses Themas beantwortet gerne Ihre Fragen!

Frage stellen

Mein Unternehmen und die EU-DSGVO Wohnungsbaugesellschaften missachten den Datenschutz