Wir bekommen alle ständig SMS oder Mails, in denen wir aufgefordert werden auf einen Link zu klicken. Das Anliegen ist immer dringlich und die Formulierung oft schlecht. Am Arbeitsplatz hingegen, ist es manchmal durchaus schwieriger Phishing zu erkennen. Laut Bitkom sind 9 von 10 Unternehmen in Deutschland von digitalem Datendiebstahl, Spionage und Sabotage betroffen. Der finanzielle Schaden ist immens. Wie machen die Diebe das und wie können wir uns effektiv schützen? Um diese Fragen zu beantworten, habe ich die Datenschutzbeauftrage Christel Rüter eingeladen.
Hallo Frau Rüter. Was machen Sie eigentlich beruflich?
Ich bin seit 2001 Datenschutzbeauftragte in der GKV SC GmbH. Die GKV SC GmbH ist Systemanbieter und zertifiziertes Rechenzentrum im Umfeld der gesetzlichen Krankenkassen und hat dadurch mit sensiblen Gesundheitsdaten zu tun, die einen besonderen Schutz erfordern. Meine Kernaufgabe ist die Überwachung der Einhaltung der jeweils geltenden datenschutzrechtlichen Vorschriften. Da kommt in einem Rechenzentrum einiges zusammen, weshalb eine fortlaufende Schulung und Information der Mitarbeiter sehr wichtig ist. Die Kollegen müssen die neusten Vorgaben und Anforderungen kennen, um sie bei ihrer täglichen Arbeit berücksichtigen zu können. Aus diesem Grund werden sie regelmäßig hinsichtlich genereller und neuer Gefahren, z. B. aus dem Internet, sensibilisiert.
Das hört sich nach viel Verantwortung an. Bitkom führte 2023 eine Umfrage unter Verantwortlichen für Wirtschaftsschutz in Unternehmen durch, die finanzielle Schäden von ca. 205,9 Millionen Euro im letzten Jahr aufzeigt, obwohl wir alle leistungsfähige Schutzsoftware einsetzen. Ihrer Meinung nach, was ist unsere größte Sicherheitslücke?
Eine sehr interessante Untersuchung, die von ca. 72 % der Verursachung von Schäden durch Cyberattacken ausgeht, in Kombination mit der Schätzung aus Fachkreisen, dass 90 % einer erfolgreichen Cyberattacke mit dem Klick auf eine Phishing-Mail beginnen, bekommt der Faktor Mensch einen sehr hohen Stellenwert. Er ist demnach die größte Schwachstelle, aber für mich auch die größte Chance.
Das ist spannend. Welche effektiven Schutzmaßnahmen können wir besonders einfach umsetzen?
Informiert bleiben! Hierzu kann ich besonders die Webseiten des BSI, dem Bundesamt für Sicherheit in der Informationstechnik, empfehlen. Zu vielen IT-Sicherheitsthemen findet man Erklärungen und hilfreiche Hinweise. Außerdem kann man sich für einen Newsletter anmelden, um auf dem Laufenden in Sachen Cybersicherheit zu bleiben. Wichtig ist auch, seine Geräte immer aktuell zu halten – also Updates zeitnah einzuspielen, damit bekannte Sicherheitslücken schnell geschlossen werden.
Doch selbst mit den neusten Updates sind andere, subtile Gefahren wie Phishing-Mails, die sensible Daten stehlen wollen, allgegenwärtig. Wie erkennt und unterscheidet man diese von seriösen Nachrichten?
Früher konnte man Phishing-Mails häufig am schlechten Deutsch erkennen. Das ist heute allerdings nicht mehr so. Besonders wachsam sollte man sein, wenn man Mails mit dringendem Handlungsbedarf oder Drohungen, wie Kontosperrungen, erhält oder zur Eingabe vertraulicher Daten wie die PIN für den eigenen Online-Bankzugang oder seine Kreditkartennummer aufgefordert wird, um nur einige Beispiele zu nennen. Zudem versuchen Cyberkriminelle häufig, menschliche Charaktereigenschaften wie Neugierde – beispielsweise durch süße Katzenbabys, Gewinne oder einen günstigen Möbelkauf – und Hilfsbereitschaft – zum Beispiel durch Spendenaufrufe – auszunutzen. Wer technisch etwas versierter ist, kann zudem einen mitgeschickten Link oder die Absenderadresse auf Auffälligkeiten untersuchen.
Das kenne ich. Ich habe kürzlich privat mehrere SMS von unterschiedlichen Banken bekommen, bei denen ich keine Konten habe. Die angegebenen Links sahen sehr dubios aus. Woher haben die Versender dieser Mails denn unsere Telefonnummern oder E-Mail-Adressen?
Diese Nachrichten erhalte ich in der letzten Zeit auch vermehrt. Scheint ein neuer Trend zu sein. Wen wundert es, beim sogenannten Smishing, also Phishing per SMS, soll im Vergleich zu einem Angriff per E-Mail die durchschnittliche Klickrate noch höher sein. Hier ist also besondere Vorsicht geboten. Laut Verbraucherzentrale Niedersachsen kommen die Handynummern z. B. aus gehackten Datenbanken, unseriösem Adresshandel oder schädlichen Apps auf Smartphones. Es könnte sich jedoch auch um eine quasi blinde Sendung handeln, sozusagen auf gut Glück von Computern verschickt. Vor dem Erhalt von Smishing kann man sich also leider momentan kaum schützen.
Wie reagiere ich denn am besten auf solche SMS oder Mails?
Grundsätzlich sollten solche Nachrichten unbeantwortet gelöscht werden. Um andere zu warnen, können Phishing-Versuche aber auch beim Phishing-Radar der Verbraucherzentrale gemeldet werden.
Vielen Dank für die hilfreichen Tipps und dass Sie sich die Zeit genommen haben, das große und wichtige Thema der Datensicherheit komprimiert und für den beruflichen und privaten Alltag anwendbar zu erklären!
Quellen
[1] Bitkom e.V. (2021, August 4). Angriffsziel deutsche Wirtschaft: Mehr als 220 Milliarden Euro Schaden pro Jahr | Presseinformation | Bitkom e. V. [2] GKV SC. (2024). Rechenzentrum [3] Schnaack, G. (2023). bitkom. Wirtschaftsschutz 2023 [Umfrage zum Wirtschaftsschutz] [4] BSI. (2024, März 18). Bundesamt für Sicherheit in der Informationstechnik. Bundesamt für Sicherheit in der Informationstechnik [5] Verbraucherzentrale. (2024a). Smishing: Gefälschte Paketankündigungen per SMS und Sprachnachricht. Verbraucherzentrale Niedersachsen [6] Verbraucherzentrale. (2024b). Phishing-Radar: Aktuelle Warnungen. Verbraucherzentrale.deBild
„Datendiebstahl“; eigene Darstellung; erstellt mit Chat GPT
