Das bayerische Landeskriminalamt warnt vor sogenannten Phishing-Mails, die derzeit verstärkt im Umlauf sind und ruft Arbeitgeber dazu auf, ihre Mitarbeiter/-innen über die aktuelle Gefahr aufzuklären, um einem möglichen Schaden vorzubeugen.
Durch die gefälschten Mails sollen Mitarbeitende von Unternehmen dazu gebracht werden, persönliche Daten wie Log-in-Daten oder Kontoverbindungen preiszugeben.
Der Diözesan-Caritasverband (DiCV) hat in der 28. Kalenderwoche einen solchen Hackerangriff rechtzeitig erkannt und vereitelt. Alle Mitarbeitenden wurden erneut aktiv darüber informiert, wie sich solche Phishing-Mails tarnen und wie man sie erkennen kann.
Per Phishing-Mail hatten sich Unbekannte Zugang zum Benutzeraccount zweier Caritas-Mitarbeitender verschafft und konnten somit deren Kontaktdaten und E-Mail-Adressen abgreifen
erklärt Rainer Brunner, der IT-Leiter des Caritasverbands.
Beim Versuch über die gestohlenen Daten Massen-Mails zu versenden sei allerdings das Rechenzentrum des DiCV auf den Angriff aufmerksam geworden und habe umgehend geeignete Schutzmaßnahmen eingeleitet sowie den E-Mail-Versand gesperrt. Laut Analysebericht des beauftragten IT-Forensikers wurden rund 5.000 Mails und die Kontakte der beiden Mitarbeitenden abgegriffen. „Trotzdem sind wir relativ glimpflich davongekommen“, so Brunner. Der Versuch einen dritten Account zu kompromittieren sei fehlgeschlagen. Alle Mitarbeitenden seien sofort über den bedauerlichen Vorfall informiert worden.
„Technisch sind solche Angriffe leider nicht zu 100 Prozent zu verhindern. Eine Vorsorge ist nur dadurch möglich, dass alle Mitarbeiterinnen und Mitarbeiter gut aufgeklärt und für solche Angriffe sensibilisiert werden“, erklärt der IT-Leiter. Die Caritas habe intern erneut über mögliche Betreffzeilen wie „Forderung“ oder „Abmahnung“ und entsprechende Inhalte informiert, die auf Phishing-Mails hinweisen. Bei Mails von unbekannten Absendern und angehängten Links sei äußerste Vorsicht geboten, so der Appell an die Mitarbeitenden.
Unter dem Begriff Phishing versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten einer Person zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs sind meist pekuniäre Interessen wie die Plünderung eines Kontos. Typisch ist auch die Nachahmung des Internetauftritts einer vertrauenswürdigen Institution oder eines Unternehmens.