Datenschutz Verstehen – Phishing-Mails als Risikofaktor der Informationssicherheit
Kurze Einleitung
Digitalisierte Arbeitswelt, Industrie 4.0 und ständige Erreichbarkeit. Noch nie war die Möglichkeit für Hackerangriffe so hoch und leicht zugleich. Noch immer sind E-Mails der Hauptkommunikationskanal für Unternehmen und Privatpersonen und somit auch Tür und Tor in geschützte Bereiche, wie private und unternehmerische IT-Infrastrukturen. Verständlich, dass Hacker und Betrüger noch immer oder eben genau aus diesem Grund Phishing-Angriffe starten. Und dies leider sehr erfolgreich, denn ca. 70 Prozent der gesamten Hackerangriffe beruhen auf einem E-Mail-Angriff (Phishing-Mail). Die Schäden für Unternehmen, Privatpersonen und Wirtschaft sind dabei erheblicher denn je. So kommt es jährlich zu einem Schaden durch Cyberkriminalität in Höhe von 100 Milliarden Euro. Erfahren Sie jetzt, wie Sie das Risiko eines Phishing-Angriffs minimieren können und welche Wettbewerbsvorteile sich hieraus für Sie ergeben.
Was bedeutet Phishing?
Phishing Englisch für “Angeln” bezeichnet kriminelle E-Mails, durch die versucht wird sensible Daten zu erhalten. Hacker geben sich hierfür als vertrauenswürdiger Kommunikationspartner aus, um so Informationen zu erhalten. Besonders Unternehmen mit vielen Kunden werden als Deckmantel für das Fischen von Daten genutzt. Sei es PayPal, Amazon, Sparkassen, eBay oder die Telekom. Klar ist, die E-Mails sehen vertrauenswürdig und echt aus. Folgende Formulierungen werden Ihnen dabei immer wieder begegnen und sollten sie misstrauisch machen:
“Ihre Mithilfe ist erforderlich”, “Sicherheitsabfrageformular”, “Ihre Daten sind veraltet” oder “Ihre Rechnung”
Zumeist zielen Phishing-Mails auf die Mitarbeiter des Unternehmens ab. Hierfür machen sie sich das sogenannte Social Engineering, zu Deutsch “soziale Manipulation” zu Nutzen. Konkret bedeutet dies, dass Hacker die Schwachstellen des Menschen für ihre Zwecke ausnutzen und hoffen durch das Beeinflussen eines Menschen eine bestimmte, für sie günstige Verhaltensweise, hervorzurufen. Schwachstellen wie Vertrauen, Angst, Gier, Eitelkeit und Unwissenheit führen dazu, dass Mitarbeiter in Bezug auf die Phishing-Mail “anbeißen” und das tun, was der Hacker will. Dies äußert sich beispielsweise in der Öffnung eines Mail-Anhangs mit dem Einhalt “Guck mal was für ein peinliches Foto von dir” – und schon ist es geschehen. Der Anhang wurde angeklickt und die Schadsoftware wird ausgeführt.
Arten und Methoden von Phishing
Zudem gibt es verschiedene Formen von Phishing-Mails, die an unterschiedlichen Stellschrauben des Unternehmens ansetzten, jedoch alle dasselbe Ziel verfolgen. Schädigung des Opfers zu den eigenen Gunsten. Die Schädigung des Opfers äußert sich zumeist in Diebstählen von sensiblen Daten oder der Verschlüsselung von betriebsnotwendigen Informationen. So versuchen Hacker durch Phishing-Mails Kennwörter von Mitarbeitern und Abteilungsleitern, sowie Kreditkartennummern, personenbezogene Daten, brisante Betriebserkenntnisse und Kundendaten zu erhalten. Wie brisant Information seien können, zeigt sich an Beispielen von Krankenhäusern, Banken, Versicherungen, Behörden, Cloud-Anbieter und jeglichen weiteren Unternehmen, dessen Daten für Hacker interessant sind. Hinzu kommt, dass nicht nur die Daten selbst das Ziel sein können, sondern insbesondere auch die Verschlüsselung solcher. Mit sogenannter Ransomware wird versucht möglichst viel im Unternehmen zu verschlüsseln, sodass kein Zugriff auf Kunden- und Lieferdaten oder komplette Server-Infrastrukturen mehr gegeben ist. Das angegriffene Unternehmen wird handlungsunfähig und es bleibt nur noch eine Lösegeldzahlung, um die Verschlüsselung aufzuheben und die betriebsnotwendigen Daten wiederzuerhalten. Doch auch die Zahlung von mehreren Millionen Euro kann eine Freischaltung nicht garantieren.
Folgen von Phishing-Mails für die Informationssicherheit
Nicht nur Unternehmen mit besonders sensiblen Daten können Opfer von Angriffen werden, auch klein bis mittelständische Unternehmen kommen immer häufiger ins Visier der Angreifer. Nicht ohne Grund informiert die Verbraucherzentrale regelmäßig über aktuelle Angriffe. Es wird versucht durch breit gestreute Infrastrukturen eine Vielzahl von Unternehmen anzugreifen, denn es genügt bereits, wenn von 1000 Angriffen einer zum Erfolg führt. Doch was bedeutet ein erfolgreicher Angriff für das Unternehmen und dessen Informationssicherheit? Zunächst einmal bringen Angriffe erhebliche Schäden für Unternehmen. Diese äußern sich nicht nur in Lösegeldzahlungen, sondern langfristig auch in dem Vertrauensverlust der Kunden und Vertragspartner. Durch eine Phishing-Mail kommt es zu einem Angriff auf die Informationssicherheit eines Unternehmens. Unter Informationssicherheit versteht man den Schutz von Daten und Informationen, die sensibel und schützenswert sind. Informationssicherheit verfolgt das Ziel diese Daten und Informationen abzusichern und Eingriffe von Dritten abzuwehren. Ein erfolgreicher Hackerangriff ist somit nichts anderes als eine Lücke in der Informationssicherheit mit den oben genannten erheblichen Auswirkungen. Es sollte also schnellstmöglich versucht werden, diese Lücke mithilfe von technischen und organisatorischen Maßnahmen zu schließen, um die notwendige Informationssicherheit herzustellen und weitere Angriffe vermeiden zu können.
Informationssicherheitsvorfall oder Datenschutzvorfall?
Bei einem Informationssicherheitsvorfall handelt es sich um ein Ereignis, welches die Vertraulichkeit, Verfügbarkeit oder Integrität von Informationen beeinträchtigt. Eine Beeinträchtigung kann beispielsweise die Manipulation, Löschung, Offenlegung oder Verbreitung von Information sein. Bei einem Informationssicherheitsvorfall ist es zunächst irrelevant, welche Daten genau betroffen sind. Anders ist es jedoch bei einem Datenschutzvorfall, hierbei liegt eine Verletzung des Schutzes personenbezogener Daten vor, vgl. Art 4 Nr. 12 DSGVO. Hieraus ergeben sich für das verantwortliche Unternehmen weitgehendere Pflichten als bei einem Informationssicherheitsvorfall. Durch einen Datenschutzvorfall leidet nicht nur das Unternehmen und seine Strukturen selbst, sondern es sind zudem die Rechte von natürlichen Personen betroffen.
Je nachdem welcher Vorfall eingetreten ist, sind unterschiedliche Maßnahmen vorzunehmen. Grundsätzlich liegt jedoch bei jedem Datenschutzvorfall auch stets ein Informationssicherheitsvorfall vor. Für das Vorgehen nach einem Informationssicherheitsvorfall müssen sich Unternehmen insbesondere fragen, ob ein Notfallplan sowie technische und organisatorische Maßnahmen vorliegen, um weitreichende Schäden abwenden zu können. Hierzu zählen beispielsweise das Notbetriebsverfahren, die Einsetzung von geschultem Personal zur Umsetzung und Wiederherstellung von Daten sowie die Neuinstallationen von betroffenen und relevanten Systemen. Darüber hinaus müssen bei einem Datenschutzvorfall essenzielle Mechanismen etabliert sein. Art. 33 Abs. 1 DSGVO fordert eine “unverzügliche” Meldung binnen 72 Stunden an die zuständige Aufsichtsbehörde. Wird dies nicht vom Verantwortlichen eingehalten, liegt aufgrund dessen bereits ein eigener Datenschutzverstoß gem. Art. 84 Abs. 4 lit. a) DSGVO vor. Des Weiteren muss der Verantwortliche die betroffene Person über die Verletzung des Schutzes ihrer personenbezogenen Daten benachrichtigen.
Wie verhindern Sie diese Vorfälle?
Es steht außer Frage, bei Hackerangriffen wie Phishing-Mails handelt es sich um einen Wettlauf gegen die Informationssicherheit. Angriffe auf Unternehmen sind lukrativ und die Ideen der Angreifer werden stets optimiert und auf den aktuellen Stand der Technik, oder sogar darüber hinaus, angepasst. Es lohnt sich also den Angreifern einen Schritt voraus zu sein und die Informationssicherheit im Unternehmen auf einen höchstmöglichen Standard zu halten. Präventionsmaßnahmen sind aufgrund der hohen Schadenssummen in jedem Fall zu empfehlen. Zunächst sollte in jedem Unternehmen individuell festgestellt werden, welche technischen und organisatorischen Maßnahmen für einen ausreichenden Schutz von Information und personenbezogenen Daten vorliegen müssen. Diese Feststellung sollte sodann schnellstmöglich und ohne Umwege umgesetzt werden. Für die strukturierte und vollständige Umsetzung empfiehlt sich außerdem ein ausführliches Informationssicherheitskonzept und entsprechende Sicherheitsrichtlinien. Die organisatorische Umsetzung könnte zudem mithilfe eines Information Security Management Systems (ISMS) sicherer und effektiver erfolgen.
Des Weiteren sollten Mitarbeiter ausreichend und vor allem regelmäßig informiert und geschult werden. Durch das geübte Social Engineering der Angreifer werden sie schnell zur Zielscheibe und ermöglichen, auch ohne es zu wissen oder zu wollen, die Möglichkeit in Unternehmensstrukturen einzudringen. Doch geschulte Mitarbeiter sind ebenso ein effizienter Schutz gegen digitale Angriffe. Dies lässt sich auf den entscheidenden Vorteil zurückführen, dass Menschen einen Computer von einem anderen Menschen unterscheiden können. Konkret bedeutet dies, dass sie in der Lage sind Künstliche Intelligenz zu erkennen und Betrüger so aufzudecken. Außerdem sind Mitarbeiter eine wichtige Ergänzung zu bereits bestehenden technischen Abwehrmechanismen. Diese Vorteile entfalten jedoch nur ihre Wirkung, wenn sie auch entsprechend geschult werden.
Das Experten-Team von Keyed empfiehlt aus diesem Grund die Mitarbeiterschulung zur IT-Sicherheit der Mitarbeiterschule GmbH. Mit dieser Schulung ist es einer Großzahl unserer Kunden gelungen das Sicherheitsbewusstsein so zu steigern, dass Phishing-Mails nicht geöffnet worden sind.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.