Suchen

Nicht jede E-Mail ist vertrauenswürdig!

| Autor / Redakteur: Wolf-Henning Hammer / Dipl. sc. Pol. Univ. Stephan Maderner

Phishing-Mails, Kryptotrojaner, CEO Frauds oder Bogus Boss Mails – die Bedrohungslage im elektronischen Kommunikationsverkehr ist so hoch wie nie zuvor. Unternehmen sind nur unzureichend dagegen geschützt.

Firmen zum Thema

Analysen und Interpretationen aktueller Gerichtsurteile rund um das Thema motorisiertes Zweirad – aktuell für Sie aufbereitet und interpretiert.
Analysen und Interpretationen aktueller Gerichtsurteile rund um das Thema motorisiertes Zweirad – aktuell für Sie aufbereitet und interpretiert.
(Bild: Vogel Communications Group)

IT-technisch gleichen viele Unternehmen immer noch einer mittelalterlichen Burg. Nach Außen hin schützen Mauern und Gräben in Form von Firewalls und Wächter in Form z.B. Virenscannern. Was diese Posten passiert hat gilt als sicher und kann sich innerhalb der Burgmauern frei bewegen. Als die Rechner noch nicht über Netzwerke miteinander verbunden waren, mag dies auch zutreffend gewesen sein. Aktuell gleicht die IT-Architektur allerdings eher einem Flughafen mit öffentlich zugänglichen und abgeschirmten Bereichen, die mit mehr oder weniger strengen Sicherheitskontrollen ausgestattet sind. Die wissen auch die Kriminellen, deren Absicht es ist, die Kontrollen unerkannt oder mit falscher Identität zu passieren, um dann von Innen heraus anzugreifen.

Aktuell geschieht dies wieder verstärkt über Mails, die das kürzlich veröffentlichte Bußgeldkonzept der Datenschutzbeauftragten oder die bevorstehenden Änderungen des Geldwäschegesetzes, zum Gegenstand haben und deren einziger Zweck darin besteht, die Empfänger zur Preisgabe sensibler Daten zu veranlassen. Erstaunlich ist, dass – obgleich das Phänomen inzwischen bekannt ist – gut erzählte Märchen und perfekt gefälschte Webseiten immer wieder dazu verleiten, Daten wie Kreditkartennummern, Bankkontodetails oder Passwörter bekannt zu geben. Selbst die offene Aufforderung zur Überweisung hoher Geldsummen führt immer wieder zum Erfolg.

Unverlangt zugesandte Mails sind mit Vorsicht zu behandeln

Wer eine Mail erhalten sollte, in der der Absender nach personenbezogenen oder Zugangsdaten fragt, da nach einem angeblichen Serverupdate oder aus anderen Gründen ein Datenabgleich erforderlich ist, gefragt wird kann diese Mail getrost ignorieren. Etwa angefügte Anhänge (z.B. Kryptotrojaner) – wie z.B. als „vertraulich“ gekennzeichnete Dateien sollte er eben sowenig öffnen, wie eingefügte Links. Wer dies dennoch macht, darf sich nicht wundern, wenn Schadsoftware installiert wird, die das System verschlüsselt oder weitere Schadsoftware herunterlädt, mittels derer z.B. Dritten einen direkter Zugriff auf das System ermöglicht wird.

Besondere Vorsicht ist auch bei den verstärkt zu beobachtenden „CEO-Frauds“ oder „Bogus Boss Mails“ geboten, bei denen es sich um perfekt gefälschte, angeblich von der Geschäftsführung stammende Mails handelt und mit denen zur Überweisung hoher Summen auf ein ausländisches Konto aufgefordert wird. Unter Hinweis auf die hohe Vertraulichkeit, sollen weder Rücksprachen noch sonstige Rückmeldungen erfolgen. Dies ändert aber nichts daran, dass die Rücksprache mit der Geschäftsführung unausweichlich wird, wenn der Schaden entdeckt wird.

Phishing Mails betreffend, ist dem Verfasser bis dato übrigens kein seriöser Anbieter bekannt, der seine Kunden per E-Mail zur Preisgabe vertraulicher Daten auffordert. Abgesehen davon lassen sich Phishing- Mails oft leicht dran erkennen, dass die E-Mail Adresse des Absenders nicht mit derjenigen des angeblich hinter der Mail stehenden Unternehmens übereinstimmt. Allerdings gehen auch die Betrüger mit der Zeit und perfektionieren ihre Techniken immer mehr.

Die oberste Maxime – sowohl beim Datenschutz, als auch bei der Beantwortung „dringender“ Anfragen - lautet daher: Sorgfalt und Aufmerksamkeit sind besser als Bußgeldbescheide oder sonstige Schäden und Reputationsverluste, die nach der Preisgabe sensibler oder personenbezogener Daten normal sind.

IT-Systeme sind ausreichend vor Zugriffen Dritter zu schützen

Denn obgleich die DSGVO inzwischen allgemein bekannt ist und Bußgelder in schwindelerregender Höhe bereit hält, zeigen die Erfahrungen, dass die Absicherung des eigenen Unternehmens gegen Angriffe von Außen oder den „Datenexport“ durch eingeschleuste Schadsoftware, immer noch stiefmütterlich behandelt wird.

Bedauerlicherweise tritt oftmals in den Hintergrund, dass die Sicherheit der Datenverarbeitung gem. Art. 32 DSGVO nicht nur einer der zentralen Punkte der Datensicherheit, sondern eben auch das Einfallstor für Bußgeldbescheide ist.

Zusammenfassung

Ob es sich um den telefonischen Kundenkontakt oder die Absicherung der Serverstrukturen und Netzwerke handelt, ist bei der Beurteilung ziemlich egal. Entscheidend ist, dass die Daten hinreichend gegen die missbräuchliche Verarbeitung abgesichert sind. Die datenschutzrechtliche Schulung und Sensibilisierung der Mitarbeiter ist dabei ebenso wichtig wie die fortlaufende Überwachung Aktualisierung der hard- und softwaretechnischen Einrichtungen. Denn ob ein Verstoß gegen datenschutzrechtliche Bestimmungen auf die Unachtsamkeit eines unzureichend geschulten Mitarbeiters oder auf veraltetem Equipment beruht, ist für den datenschutzrechtlichen Bruch an sich ohne Bedeutung.

Darüber, wie Betriebe die datenschutzrechtliche Konformität nicht nur im juristischen Sinne, sondern insbesondere auch überprüfen lassen können, ob Ihre IT Sicherheitslücken aufweist, berichten wir in Kürze.

Unser Autor ist Rechtsanwalt Dr. Wolf-Henning Hammer, ETL-Kanzlei Voigt Rechtsanwalts GmbH, Dortmund.

(ID:46289224)