BSI warnt Führungskräfte vor Phishing-Mails

Phishing (Bild: Shutterstock)

Ziel sind laut BSI in erster Linie private E-Mail-Konten von Funktionsträgern aus Wirtschaft und Verwaltung. Die werden offenbar sehr gezielt ausgesucht und angeschrieben. Unter dem Vorwand, es gebe “Auffälligkeiten bei der Nutzung des Postfachs” oder angeblich verfügbaren, neuen Sicherheitsfunktionen werden sie auf eine Website gelockt, wo sie Nutzername und Passwort angeben sollen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Funktionsträger in Wirtschaft und Verwaltung vor Angriffen auf deren privat genutzte E-Mail-Konten gewarnt. Demnach versuchen Angreifer vermehrt, mittels sogenannter Spearphishing-E-Mails, gezielt an sorgfältig ausgesuchte Personen adressierte und gerichtete persönliche E-Mails, Zugriff auf deren private E-Mail-Konten zu erlangen.

BSI Bundesamt für Sichehrheit in der Informationstechnik (Bild: BSI)

Die Angreifer geben entweder vor, es seien “Auffälligkeiten bei der Nutzung des Postfachs” beobachtet worden oder es seien neue Sicherheitsfunktionen verfügbar. In beiden Fällen sollen die Empfänger verleitet werden, einen Link anzuklicken und auf der verlinkten Website Nutzername und Passwort einzugeben.

Am häufigsten wurden diese Versuche vom BSI aktuell offenbar bei Konten bei Yahoo und Gmail festgestellt. Allerdings beobachtete das BSI bereits 2016, dass Webseiten registriert wurden, die sich für Spearphishing-Angriffe gegen Kunden der deutschen Webmailer gmx.de und web.de eignen. Dahinter könnten dieselben Täter stecken. Diese Domains sind zwar aktuell noch nicht beobachtet verwendet worden. Die Registrierung zeigt aber, dass die Täter über diese Mail-Provider Angriffe in Erwägung ziehen.

Dem BSI zufolge gibt es Parallelen zu den Angriffen gegen Mitglieder der Demokratischen Partei in den USA und der Bewegung “En Marche” des neuen französischen Präsidenten Emmanuel Macron. In beiden Fällen waren Mitglieder des Wahlmkampf-Teams ausgespäht worden. Währen die dabei zutage gekommenen Informationen über zweifelhafte Beziehungen zur Finanzwirtschaft und hohe Spenden aus arabischen Staaten für die Niederlage von Hillary Clinton mitverantwortlich gemacht werden, schadeten die auf diese Weise kurz vor dem Wahltag zutage gekommenen E-Mails dem Franzosen kaum.

Phishing (Bild: Shutterstock/Shamleen)

“Auch in den Regierungsnetzen hat das BSI bereits einen Angriff der aktuellen Kampagne abgewehrt. Grundsätzlich können wir solche Phishing-Mails mit einer sehr hohen Wahrscheinlichkeit detektieren”, erklärt das BSI. Private E-Mail-Postfächer lägen allerdings außerhalb seiner Zuständigkeit und auch die Parteien und Organisationen hätten begrenzten Einfluss darauf. Dies mache sie für die Angreifer zu einem attraktiven Ziel.

“Funktionsträger in Verwaltung und Wirtschaft sollten daher dafür sorgen, dass auch ihre privaten Mail-Accounts abgesichert sind. Dies ist wichtiger Teil des digitalen Persönlichkeitsschutzes”, so das BSI weiter. Es rät, jegliche E-Mail-Kommunikation zu verschlüsseln und eine Zwei-Faktor-Authentifizierung zu verwenden. Nutzer sollten außerdem niemals ein Passwort in eine Website eingeben, auf die sie durch einen Link in einer E-Mail gelangt sind. Diese Empfehlungen lassen sich weniger im Mittelpunkt des öffentlichen Interesses stehende Personen unverändert übertragen.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Zu den BSI-Empfehlungen für Funktionsträger in Wirtschaft und Verwaltung gehört auch eine strikte Trennung von privaten und geschäftlichen Inhalten. Verdächtige E-Mails sollten Betroffene nicht löschen, sondern dem zuständigen IT-Personal übergeben. Generell wäre es zudem sinnvoll, wenn sich auch Personen in herausgehobener Position an geltende Gesetze halten und auch in ihrer privaten schriftlichen Kommunikation ein Mindestmaß an Anstand und Respekt wahren. Damit würden sie nicht nur der Verantwortung gerecht, die das in sie gesetzte Vertrauen mit sich bringt, sondern böten auch deutlich weniger Angriffsfläche für den Fall, dass vertrauliche Daten durchsickern oder entwendet werden.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.