DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Neue Welle von betrü­ge­ri­schen E‑Mails

Schon wieder rollt eine Welle von betrü­ge­ri­schen E‑Mails mit dem gefähr­lichen Anhängen oder Links über das Internet hinweg. Mit mög­lichen schlimmen Folgen für den Ein­zelnen aber auch für den Unter­nehmer. Die Awa­reness der Mit­ar­beiter wird immer mehr zum wich­tigsten Schutz gegen diese Attacken.

Wer in den letzten Wochen die Mel­dungen ver­folgt hat, der muss fest­stellen, dass es offenbar  für Betrüger ein immer lukra­ti­veres Geschäft geworden ist, über gefälschte E‑Mails sen­sible Daten aller Art zu stehlen, ganze IT-Systeme zu ver­schlüsseln und nur gegen Zahlung von Geld­be­trägen wieder frei­zu­geben, Schad­software zu instal­lieren um die befal­lenen PC als Bot­netze zu miss­brauchen, usw., usw. Einen ernüch­ternden Über­blick zeigt das Phishing-Radar der Ver­brau­cher­zen­trale Berlin.

Die kri­mi­nellen Methoden werden dabei immer raf­fi­nierter und dreister. So sind die gefälschten E‑Mails dem Ori­­ginal-Absender täu­schend ähnlich nach­ge­bildet, oder es werden bedroh­liche Abmah­nungen aus­ge­sprochen. Wird dann die Datei im Anhang geöffnet oder der im Text ange­gebene Link ange­klickt, ist man mit ziem­licher Sicherheit Opfer dieser Cyber­kri­mi­nellen geworden.

Das Risiko und der Aufwand für die Berei­nigung der Folgen können dabei auch und vor allem in einem Unter­nehmen sehr auf­wendig und frus­trierend sein. Stellen Sie sich nur mal vor, wenn plötzlich das gesamte EDV-System still­steht, da alle Rechner ver­schlüsselt wurden und die Wie­der­her­stellung, je nach Siche­rungs­be­stand, mehrere Stunden oder gar Tage in Anspruch nimmt. Und dass alles nur, weil viel­leicht ein Mit­ar­beiter aus Ver­sehen oder unwissend eine „ZIP-Datei“ im Anhang der betrü­ge­ri­schen Mail geöffnet hat.

Aktuell rollt nun schon wieder eine neue Welle mit gefälschten Tele­fon­rech­nungen per E‑Mail über das Internet hinweg. Was also können Sie tun, damit solche E‑Mails Ihre IT-Systeme nichts anhaben können?

Prä­ventive Schutz­maß­nahmen dringend umsetzen

Es ist dringend an der Zeit, mit prä­ven­tiven Maß­nahmen dafür zu sorgen, dass eine betrü­ge­rische E‑Mail erst gar nicht beim Unternehmen/Mitarbeiter im E‑Mail-Pos­t­eingang gelangt und falls doch, der Mit­ar­beiter den rich­tigen Umgang mit dieser Art von Bedrohung kennt.

Tech­nische Lösungen helfen dabei die Gefahren zu redu­zieren. Eine reine Viren­er­kennung reicht aber hier nicht mehr aus, um E‑Mails ohne direkten Schadcode zu erkennen. Deshalb ist es immer wich­tiger, z.B. die Systeme zur Erkennung von Angriffen (Intrusion Detection System) laufend zu ver­bessern. Neue  Methoden zur Erkennung von Mails ohne viru­lenten Inhalt, die aber Schadcode nach­laden, helfen gefähr­liche Inter­net­seiten noch schneller zu erkennen und blocken zu können.

Trotz dieser tech­ni­schen Lösungen lässt sich die Zustellung gefälschter E‑Mails in den E‑Mail-Pos­t­­fä­chern nicht in allen Fällen ver­meiden und damit auch nicht die Gefahr, dass ver­ein­zelte IT-Systeme durch einen fal­schen Klick infi­ziert werden.

Rich­tigen Umgang mit betrü­ge­ri­schen Mails durch die Mit­ar­beiter schulen.

Gerade hier ist deshalb die Sen­si­bi­li­sierung der Mit­ar­beiter zum rich­tigen Umgang mit solchen betrü­ge­ri­schen Mails ein effek­tives und pro­bates Mittel um das Risiko weiter zu mini­mieren.

Hilfs­mittel gibt es dabei genug. So finden Sie hier im Blog viele nütz­liche Infor­ma­tionen zu Spam- und Phishing-Mails im All­ge­meinen. Eine schöne Zusam­men­fassung, woran Sie betrü­ge­rische E‑Mails erkennen können finden Sie auch hier.

Brand­ak­tuell unter­stützt Sie der neue Leit­faden „Infor­ma­ti­ons­si­cherheit: Ver­hal­tens­regeln für Mit­ar­beiter“ bei der Awa­­reness-Bildung in Ihrem Unter­nehmen.

Darüber hinaus infor­miert und warnt das Projekt Bürger-CERT des Bun­des­amtes für Sicherheit in der Infor­ma­ti­ons­technik (BSI)  Bürger und kleine Unter­nehmen schnell und kom­petent vor Viren, Würmern und Sicher­heits­lücken in Com­pu­ter­an­wen­dungen. Experten ana­ly­sieren für rund um die Uhr die Sicher­heitslage im Internet und ver­schicken bei Hand­lungs­bedarf Warn­mel­dungen und Sicher­heits­hin­weise per E‑Mail. Die ver­schie­denen Dienste können Sie hier abon­nieren.

Zum Schluss ein paar gängige Tipps zum Umgang mit E‑Mails:

  • Öffnen Sie keine E‑Mails von unbe­kannten Absen­der­adressen oder darin ent­hal­tenen Datei­an­hängen sowie Links.
  • Denken Sie daran: Auch bekannte Absen­der­adressen können gefälscht sein. Nehmen Sie daher ggfs. Kontakt mit der tat­säch­lichen Absen­der­adresse auf oder rufen Sie das ent­spre­chende Kun­den­portal über die Ihnen bekannte Adresse auf.
  • Achten Sie darauf, ob Sie in der E‑Mail direkt ange­sprochen werden.

Bild: © Andreas Hermsdorf / pixelio.de  

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Stefan Brandl, DATEV eG

Stefan Brandl ist seit 1994 bei der DATEV eG in Nürnberg tätig. In der Kom­mu­ni­kation und Ver­marktung des Bereichs IT-Lösungen und Security ist er ver­ant­wortlich für den DATEV Sicher­heits­check und DATEV-Ansprech­partner für das Hand­lungs­ver­sprechen „Start­hilfe Sicherheit für den Mit­tel­stand” vom Verein Deutschland sicher in Netz e.V. (DsiN). U.a. ist er Co-Autor der DsiN-Sicher­heits­mo­nitore „Sicher­heitslage im Mit­tel­stand 2011/2012/2013 und 2014”. Seit 2012 betreut er zudem den DsiN-Blog.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.