DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Das Geschäft mit den gestoh­lenen Adressen

Diebstahl von E-Mail-Accounts

Immer wieder hört man von Fällen des Dieb­stahls von E‑Mail-Adressen oder E‑Mail-Accounts. Aber was genau pas­siert danach mit diesen Daten? Was müssen Sie befürchten? Und vor allem: Was müssen Sie unter­nehmen, wenn Sie betroffen sind?

 

 

Warum ist der E‑Mail-Klau so lukrativ für Datendiebe?

Das Stehlen von E‑Mail-Konten ist eigentlich nichts anderes als die Über­nahme einer Infor­ma­ti­ons­plattform, auf der wichtige Daten, wie z.B. Bank­daten, Adress­daten etc. ver­waltet werden. Diese Daten sind deshalb so wertvoll, weil sich damit ein reger, ille­galer Handel betreiben lässt. Daten-Deals sind inter­essant für Kri­mi­nelle, da Bot-Net­z­­be­­treiber, Spammer oder andere Cyber-Diebe mit diesen Infor­ma­tionen noch mehr Geld ver­dienen können, indem sie diese Daten wei­ter­ver­kaufen (siehe auch den Blog-Beitrag von B. Feuchter)

Das Kapern einer E‑Mail-Adresse ist somit der Ein­stieg für weitere kri­mi­nelle Akti­vi­täten. Das Postfach des Geschä­digten wird sys­te­ma­tisch nach ver­wert­baren Daten durch­forstet und dann ent­spre­chend geplündert. Mit wei­teren Phishing-Mails oder Malware werden nach Ver­ein­nahmung der E‑Mail-Adresse weitere Daten (z. B. Kon­to­daten) abge­fragt oder abge­fischt. Es gibt Software, die durch Tas­ten­druck­er­kennung die Eingabe sen­sibler Daten nach­voll­ziehen kann, sodass es für einen Datendieb ein Leichtes ist die Zah­len­kom­bi­nation (Pass­wörter, PIN, TAN etc.) zu rekonstruieren.

Auf Bot­netzen oder anderen kri­mi­nellen Platt­formen finden sich dann die sen­siblen Daten zur ille­galen Wei­ter­ver­wendung wieder. Lesen Sie dazu auch den Blog-Beitrag von D. Schröter zum Thema Bot­netze. Es geht um den ille­galen Wei­ter­verkauf von sen­siblen Daten, um hoch­gradige Wirt­schafts­kri­mi­na­lität, die den Ver­bre­chern sehr viel Geld einbringt.

Was ist zu tun?

Da es ver­schiedene Formen und Vor­ge­hens­weisen beim Datenklau gibt (Phising, DDoS-Angriffe, Malware, Bot­netze etc.) lässt sich der Schaden anfangs schwer ein­schätzen. Oft lassen sich erst wesentlich später die Fol­ge­schäden beziffern, die aus dem Wei­ter­verkauf sen­sibler Daten resul­tieren. Wenden Sie sich zunächst an die Polizei und schildern Sie genau was pas­siert ist. Am besten immer genau doku­men­tieren, welche Auf­fäl­lig­keiten zu ver­zeichnen sind. Im Worst Case und natürlich aus Sicher­heits­gründen kann es sein, dass Sie einen neuen E‑Mail-Account ver­geben und Ihre Pass­wörter, PIN, TAN etc. kom­plett ändern müssen.

Welchen Schutz gibt es?

Wie immer in der IT-Security: Einen 100 % Schutz gibt es auch vor E‑Mail-Klau nicht. Generell gilt, wie auch beim Thema Datenklau im All­ge­meinen: Einen gut funk­tio­nie­renden und stets aktu­ellen Viren­schutz, Router-Software eben­falls immer auf dem aktu­ellen Stand plus Firewall. Und ganz wichtig: erhöhte Auf­merk­samkeit des Users am PC. Die beste Software bringt nicht den gewünschten Erfolg, wenn man unachtsam auf fin­gierte E‑Mails, Links und Anhänge reagiert. Ein unbe­darfter Klick auf einen ver­seuchten Link kann die beschrie­benen fatalen Folgen haben.

Fazit:

Email-Account-Klau ist ein lukra­tives Geschäft für Cyber­kri­mi­nelle. Binnen weniger Stunden können Summen von bis zu 50 Mio. Euro ergaunert werden (z. B. bei Bank­daten durch das vor­über­ge­hende Auf­heben des Kre­dit­limits und das schnelle Abheben von großen Geld­be­trägen). Das ist ein rie­siger Markt für Ver­brecher. Jeder von uns ist mit seinem E‑Mail-Account ein poten­zi­elles Opfer.

So wie wir im täg­lichen Leben immer auf unsere Wert­sachen (Geld­beutel, Handy etc.) achten, sollten wir auch im World­Wi­deWeb alle mög­lichen Sicher­heits­vor­keh­rungen vor­an­treiben, damit wir uns zumindest nicht den Vorwurf gefallen lassen — oder selbst machen —  müssen, nicht genügend Vor­sorge betrieben zu haben.

Bild: © Rainer Sturm / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Joachim Vogel, DATEV eG

Dipl. Betriebswirt (FH)

Studium der Betriebs­wirt­schaft im Schwer­punkt Marketing
Erfah­rungen in der Pro­gram­mier­sprache RPGII

Aufbau einer EDV-Ver­triebs-Abteilung in einem großen Ver­si­che­rungs­konzern (Ver­ant­wortlich für die techn. Infra­struktur in den Filialdirektionen/Disposition und Instal­lation der EDV)

Seit 1989 bei DATEV eG in Nürnberg tätig. Pro­jekt­leitung “esecure bei Behörden und Insti­tu­tionen”; techn. Know-how im TK-Management (Cloud-Lösungen; Beratung und Instal­lation von Tele­kom­mu­ni­ka­tions-Lösungen in Steu­er­kanz­leien; Koordinator/Ansprechpartner bei techn. Tele­kom­mu­ni­ka­ti­ons­an­fragen); Zer­ti­fi­zierung nach ITIL

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.