DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Gezielte Angriffe mit­hilfe des Internets

Joe Job - Diskreditierung einer natürlichen oder juristischen Person durch gefälschte E-Mails

Die Angriffe aus dem Internet werden immer gefähr­licher. Jedes Unter­nehmen kann unfrei­willig „Daten­lie­ferant“ werden – schlimms­ten­falls sogar durch einen Angriff auf einen Geschäfts­partner. Wer nicht in „Sicherheit“ inves­tiert, handelt fahrlässig.

 

Die Anzahl der Angriffe, gerne gemessen am Viren­auf­kommen, ist rück­läufig. Digitale Spionage im wei­teren Sinne ist dagegen stark auf dem Vor­marsch. Ziel sind per­sön­liche oder sen­sible Daten wie Pass­wörter oder Konto- und Kre­dit­kar­ten­nummern. Es hat sich sogar bereits ein Markt für Schad­software, Angriffs­arten, Sicher­heits­lücken und gesam­melte Daten entwickelt.

Neue Unsitte: Joe-Job
Als wäre diese Ent­wicklung nicht schon erschre­ckend genug, macht sich eine weitere Unsitte breit: Dis­kre­di­tierung einer natür­lichen oder juris­ti­schen Person durch gefälschte E‑Mails, auch bekannt als Joe-Job. Etwa so: Ein Angreifer sendet an eine Bank die Mit­teilung, dass ein Kunde dieser Bank seine Rech­nungen nicht bezahlt und er sich bereits mit anderen Geschä­digten zusam­men­getan habe, um den Schaden vor Gericht ein­zu­klagen. Die Bank mag das igno­rieren. Aber viel­leicht bleibt doch ein Makel hängen? Schlimms­ten­falls kommt gar ein Eintrag bei der Schufa oder einer Aus­kunftei zustande. Auch um falsche Ein­träge zu löschen, ist einiger Aufwand erfor­derlich. Und viel­leicht bleibt dennoch bei der Aus­kunftei eine Notiz, die im Zweifel nach­teilig für den Betrof­fenen sein kann.

Oder ein Unter­nehmen erhält bei­spiels­weise fol­gende E‑Mail: Der Ver­fasser behauptet, bei dem Unter­nehmen seien unrecht­mäßig per­sön­liche Daten gespei­chert und von ihm für Werbe-Zusen­­dungen ver­wendet worden. Der Absender nennt mög­liche recht­liche Kon­se­quenzen und fordert Aus­kunft darüber ein, welche „seiner“ Daten zu welchem Zweck gespei­chert worden seien.
Rechtlich wenig Ver­sierte sind bei solchen E‑Mails ver­un­si­chert. Wer ohne Prüfung auf eine der­artige Mail hin Daten preisgibt, kommt unter Umständen schnell in Kon­flikt mit Gesetz und Berufsrecht.

Einige Tipps zum rich­tigen Umgang mit der­ar­tigen E‑Mails:
 

  • Ist die E‑Mail signiert, sollten Sie in jedem Fall prüfen, ob das Aus­kunfts­er­sinnen nach den Vor­schriften des Bun­des­da­ten­schutz­ge­setzes (BDSG) recht­mäßig ist und ob ein Anspruch auf Unter­lassung geltend gemacht werden kann. Eine gute Aus­kunfts­basis hierzu ist die „interne Ver­ar­bei­tungs­über­sicht“. Fragen Sie im Zweifel einen Fachmann bzw. Anwalt um Rat.
  • Wenn jedoch die E‑Mail nicht signiert ist, sollten Sie diese einfach igno­rieren. Es gibt keine Mög­lichkeit fest­zu­stellen, wer tat­sächlich Absender der E‑Mail war.

Wenn Sie darauf reagieren, was erwartet Sie?
 

  • Wenn Sie reagieren, bestä­tigen Sie Ihre E‑Mail-Adresse. Damit könnten Sie zum Ziel wei­terer Attacken werden.
  • Sie bitten um Zusendung der genannten Werbe-E-Mail. Ist diese nicht von Ihnen signiert, kann der Nachweis als Anspruchs­grundlage nicht erbracht werden. Aller­dings haben Sie Ihre E‑Mail-Adresse bestätigt.
  • Wenn Sie eine Unter­las­sungs­er­klärung abgeben, könnte ver­sucht werden, die darin fest­ge­legte Ver­trags­strafe bei einem erneuten Verstoß ein­zu­fordern. Fragen Sie deshalb einen Anwalt um Rat.
  • Geben Sie die in der E‑Mail gefor­derte Aus­kunft, erhält der Angreifer die Daten der Person, für die er sich ausgibt, und Sie ver­letzen den Datenschutz.

Fazit
Besonders gefährlich sind gezielte Angriffe aus dem Internet ohne große Ver­breitung und Medi­en­wirkung. Nur die Ver­knüpfung von Sicher­heits­technik, klaren Regeln und Know-how der Mit­ar­beiter können das Unter­nehmen schützen. Gegen Denun­ziation durch Unbe­kannt können Sie wenig tun. Wenn Sie sich der Technik und Ihrer Arbeits­pro­zesse im Unter­nehmen sicher sind, können Sie selbst­be­wusst mit solchen Angriffen umgehen.

Bild:  © Nils Fabisch / pixelio.de

Ein Kommentar zu Gezielte Angriffe mithilfe des Internets

  • Friedhelm Theis, Ammerlake Solutions GmbH (www.ammerlake.cm) sagt:

    Gezielte Angriffe mit­hilfe des Internets
    Herr Feuchter trifft den Nagel auf den Kopf. Viele Unter­nehmen glauben mit Viren­scanner und Fire­walls wäre genug getan. Und wenn etwas pas­siert, dann hat man aus Image­gründen Angst sich zu outen und belässt es bei Status quo.
    Die Kunst leigt darin einen Königsweg zwi­schen hohem Schutz und aus­rei­chend Fle­xi­bi­lität zu gehen. Ob das mit BYOD möglich ist, wage ich zu bezweifeln.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.