Kategorien
Neueste Beiträge
Vom Phishing-Angriff zur Datenpanne
Alle Stellen, die personenbezogene Daten verarbeiten, sind verpflichtet, diese Daten vor unberechtigtem Zugriff zu schützen und entsprechende technische und organisatorische Maßnahmen zu ergreifen (siehe Art. 5 Abs. 1 lit. f) DSGVO, Art. 32 DSGVO). Dies umfasst auch die Pflicht, sich vor Phishing-Angriffen zu schützen. Dennoch ist der Weg vom Phishing-Angriff zur Datenpanne bei erfolgreichen Angriffen sehr kurz. In welcher Weise treten Phishing-Angriffe aber auf? Was können die Folgen solcher Angriffe sein? Und: Wie können Unternehmen, Arztpraxen, Vereine, Behörden etc. sich davor schützen?
Was ist Phishing?
Phishing als Unterbegriff des Social-Engineerings ist ein neu geschaffenes Wort, was sich zusammensetzt aus den englischen Wörtern „Password Harvesting“ (auf Deutsch: Ernten von Passwörtern) und „Fishing“ (auf Deutsch: Angeln). Ziel von Phishing-Angriffen ist meist, an die Login-Daten von beispielsweise Bank- oder Online-Shopping-Konten, Passwort-Managern, Administratorprofilen etc. zu gelangen. Zusammengefasst ist das Ziel eines Phishing-Angriffes die für einen schädlichen Angriff notwendigen persönlichen Daten zu erhalten.
Social-Engineering bedeutet, dass der Angreifer keine technische, sondern eine menschliche Schwäche ausnutzt. Beim Social-Engineering besteht die Schwäche in Leichtgläubig-, Vertrauensselig- und Unaufmerksamkeit oder sogar Hilfsbereitschaft.
Mögliche Formen von Phishing-Angriffen
Phishing-Angriffe gibt es in vielen Varianten. Manche Angreifer nehmen sich länger Zeit, um für den eigentlichen Angriff vorzuarbeiten. Bei den einfachen Angriffen, die potentielle Opfer per E-Mail erhalten, agieren die E-Mail-Empfänger womöglich mit dem Angreifer (lange) unwissentlich im Voraus. In diesem Fall wird eine E-Mail an eine hohe Zahl an Empfängern gesendet mit der Erwartung, dass es ein paar unvorsichtige Personen geben könnte, die in die Falle tappen.
Beispiel: Angriff per E-Mail
Wir kennen sie alle: Diese E-Mails, die wir erhalten, in denen wir darüber informiert werden, dass ein bestimmtes Online-Shopping-Konto oder der Online-Banking-Zugang aufgrund einer merkwürdigen Aktivität gesperrt worden ist. Um es zu entsperren, brauchen wir einfach nur auf einen Link klicken und unsere Login-Informationen eingeben.
Beispiel: Angriff per Anruf
Eine andere Möglichkeit ist der Anruf des vermeintlichen IT-Administrators, der uns eine neue Software-Aktualisierung auf dem Laptop installieren muss und dafür mal soeben Zugriff auf unser Gerät benötigt und hierzu um unser Passwort selbst bittet. Um dabei glaubwürdig zu wirken, können sich die Angreifer der künstlichen Intelligenz in Form von Deep-Fakes bedienen. Mithilfe dieser Methode klingen die Angreifer dann wie der echte IT-Administrator. Bei einem Videoanruf sehen sie auch wie er aus.
Hierbei handelt es sich um allgemeine Beispiele. Möglichkeiten für Phishing-Angriffe sind natürlich weitaus vielfältiger und nicht selten auf das jeweilige Opfer angepasst.
Angreifer kombinieren die Angriffsformen auch. Ein bekanntes Beispiel sind die sogenannten CEO-Fraud- oder Fake-President-Angriffe. In solchen Fällen möchte der angebliche Vorgesetzte eine geheim zu haltende Transaktion abschließen und benötigt dafür Geld, was an eine per E-Mail mitgeteilte Bankverbindung unter hoher Geheimhaltung schnellstens zu überweisen ist. Damit wird dann auch die übliche Sicherheitsvorkehrung des 4-Augen-Prinzips umgangen.
Begünstigende Voraussetzungen für Phishing-Angriffe
Angreifer nutzen bei einem Phishing-Angriff für gewöhnlich organisatorische Einfallstore aus. Die Schwachstelle hierbei ist dann meist der Mensch. Auch dabei sind die Möglichkeiten zahlreich. Am gefährlichsten ist möglicherweise eine fehlende oder nicht ausreichende Sensibilisierung der Mitarbeiter. Fehlt die Sensibilität für Phishing-Angriffe, klicken die Mitarbeiter eventuell ohne Zögern auf einen Link in einer E-Mail und geben ihre Login-Informationen ein. Telefonisch geben sie eventuell ein Passwort an einen vermeintlichen Administrator des Unternehmens weiter.
Vermeidung von Phishing-Angriffen
Die möglicherweise wichtigste Maßnahme besteht darin, sicherzustellen, dass die Mitarbeiter wissen, dass es Phishing-Angriffe gibt, wie sie gestaltet und formuliert sein können und wie sie sich bei einem etwaigen Phishing-Angriff verhalten sollen und was zu tun ist. Nicht zu unterschätzen sind auch technische Sicherheitsmaßnahmen. Hier kann beispielsweise ein entsprechendes System helfen, welches eine korrupte Webseite erkennt. Kommt es doch mal dazu, dass ein Angreifer sensible Daten erhält, ist es wichtig, den Angriff selbst schnellstens zu erkennen und aufzuhalten.
Weiterführende Folgeschäden
Bei einem erfolgreichen Phishing-Angriff handelt es sich im engeren Sinn um einen IT-Sicherheitsvorfall. Dieser kann, sofern personenbezogene Daten betroffen sind, auch zu einem meldepflichtigen Datenschutzvorfall werden. Dies gilt dann, wenn der Angreifer personenbezogenen Daten einsehen, kopieren, verschlüsseln oder in sonstiger Weise verarbeiten (siehe Art. 4 Nr. 2 DSGVO) kann. In solch einem Fall ist es dann unabdinglich, ein funktionierendes Datenschutz-Management-System implementiert zu haben. Speziell im Fall eines Datenschutzvorfalls (umgangssprachlich: Datenpanne) muss ein Unternehmen, eine Arztpraxis, ein Verein, ein Krankenhaus, eine Kanzlei o. A. wissen, welche Schritte einzuleiten sind, auch um die bußgeldbewährte Meldepflicht binnen 72 Stunden zu erfüllen. – Mehr zum Thema Datenpannen finden Sie hier. –
Fazit
Das A und O ist die Prävention gegen Phishing-Angriffe. Ein wesentlicher Baustein ist die Sensibilisierung der Mitarbeiter hierfür, sodass sie sich solcher Praktiken bewusst sind. Erreichen lässt sich dies durch Schulungsmaßnahmen, ggf. auch in Kombination mit Testangriffen. Noch immer erleben wir, dass nicht jede Einrichtung weiß, was im Fall eines Datenschutzvorfalls zu beachten und zu unternehmen ist. Aber auch hierfür gibt es eine Lösung: Kontaktieren Sie uns, sodass wir Sie zum Datenschutzvorfall speziell und zum Datenschutz mit allen relevanten Themen und Dokumentationen beraten und unterstützen können. Im Zuge dessen helfen wir Ihnen bei der Erstellung und Umsetzung eines Konzeptes zur Sensibilisierung und Schulung Ihrer Mitarbeiter.