Der Gebrauch von Cookies erlaubt uns Ihre Erfahrung auf dieser Website zu optimieren. Wir verwenden Cookies zu Statistikzwecken und zur Qualitätssicherung. Durch Fortfahren auf unserer Website stimmen Sie dieser Verwendung zu.

Erfahren Sie mehr

17.10.2018 Phishing-Attacken: Online-Zugangsdaten im Fokus

Symbolbild

In den letzten Monaten erfolgten zahlreiche Phishing-Angriffe, um über gefälschte Online Datenaustausch- und Kollaborationsplattformen an firmeninterne Online-Zugangsdaten zu gelangen.

In vielen Unternehmen haben Mitarbeiterinnen und Mitarbeiter sowie oft auch externe Geschäftspartnerinnen und -partner über eine Online-Plattform Zugriff auf betriebseigene Dokumente und Daten.

Dies bietet kriminellen Personen derzeit einen großen Anreiz, sich die Zugangsdaten betrügerisch anzueignen, um an relevante Firmeninterna heranzukommen und diese für Betrugsversuche zu verwenden oder sogar im Rahmen der Wirtschaftsspionage zu veräußern.

So werden E-Mail-Empfängerinnen und -Empfänger auf nachgebaute Anmelde-Webseiten von Plattformen – wie zum Beispiel Microsoft Office 365 oder OneDrive –  über Links weitergeleitet, um dort Name und Passwort einzugeben. Ziel ist es, zur Lösung eines vorgetäuschten Problems oder mit dem Ersuchen, sich ein geteiltes Dokument anzusehen, die Anmeldung auf dieser Phishing-Seite zu erreichen. Je besser die inhaltliche Qualität des E-Mails ist, desto eher schnappt die Falle auch zu.

Es wird daher dringend empfohlen, neben den technischen Maßnahmen auch alle Mitarbeiterinnen und Mitarbeiter für dieses Thema zu sensibilisieren, um das Unternehmen vor beträchtlichem Schaden zu bewahren.

Die Melde- und Analysestelle Informationssicherung „MELANI“ hat dazu folgende Empfehlungen ausgegeben:

Technische Maßnahmen:

  • Führen Sie nach Möglichkeit überall eine Zwei-Faktor-Authentifizierung ein.
  • Wählen Sie Dienste aus, die genügend Logging Funktionalität bieten und die Logs in geeigneter Form für Kundinnen und Kunden zur Verfügung stellen.
  • Suchen Sie nach anormalen Aktionen bei den Konten der Mitarbeitenden
    (Zugang von ungewöhnlichen Orten oder zu unüblichen Zeiten, Hinzufügen von E-Mail-Weiterleitungen etc.).
  • E-Mails sollten intern stets digital signiert und die Mitarbeitenden dafür sensibilisiert werden, E-Mails ohne eine entsprechende Signatur besonders vorsichtig zu behandeln.
  • Beim Versand von legitimen E-Mails mit hohem Missbrauchspotential für Phishing - wie zum Beispiel der elektronische Versand von Rechnungen - sollte stets darauf geachtet werden, dass Links nicht hinter HTML-Text verborgen sind und diese E-Mails und/oder Dokumente digital signiert sind.
  • Damit die eigene Domain nicht so einfach für Phishing-Versuche missbraucht werden kann, sollten SPF-, DKIM- und DMARC-Protokolle eingerichtet werden. Dies ist bei den meisten Kollaborations-Providern - wie zum Beispiel bei Microsoft Office365 - möglich.

Organisatorische Maßnahmen:

  • Die beste Methode zur Phishing-Bekämpfung ist, die Mitarbeitenden bezüglich Phishing zu sensibilisieren. Es ist unerlässlich, dass die Mitarbeitenden in der Erkennung und dem Umgang mit suspekten und betrügerischen E-Mails geschult werden. Dadurch ist allen Nutzenden bewusst, dass es bei E-Mails dieser Art weder Links noch Anhänge geöffnet werden dürfen, sondern umgehend die Führungskraft beziehungsweise die oder der IT-Verantwortliche zu informieren ist.
  • Die vom Unternehmen definierten Prozesse und risikominimierenden Maßnahmen sind stets einzuhalten. Insbesondere sollten sämtliche Prozesse, die den Zahlungsverkehr betreffen, firmenintern klar geregelt sein und von den Mitarbeitenden befolgt werden (z. B. Vier-Augen-Prinzip, Unterschrift kollektiv zu zweien, Prozesse gemäß internem Kontrollsystem etc.).
  • Die Phishing-Versuche können auf der Seite www.antiphishing.ch gemeldet werden. Dies erlaubt MELANI, schnelle Maßnahmen zu treffen, um andere Benutzerinnen und Benutzer zu schützen.

Weitere Informationen

Datum der Veröffentlichung: 17.10.2018

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria