von Dr. Nikolaus Braun
Sehr geehrte Damen und Herren,
Spam und Phishing Mails sind in den letzten zwei, drei Jahren deutlich besser, sprich deutlich gefährlicher geworden.
Ja, ich bekomme immer noch E-Mails mit vermeintlichen Erbschaften aus den USA, Philanthropen, die mir mehrere Millionen zum Spenden anvertrauen wollen, und einsamen Herzen, die mich den Rest ihres Lebens begleiten wollen. Meist inklusive allermöglichen Rechtschreib- und Logikfehler.
Phising und Scam Mails werden immer besser
Aber neben diesen ganz offensichtlichen Versuchen, bei denen ich immer vermute, die seien extra so schlecht gemacht, damit der Scammer sichergehen kann, dass sich nur die Allerdümmsten melden, erleben wir zunehmend professionellere Angriffe.
- Eine täuschend echte E-Mail der Schule meiner Tochter in England mit der besorgten Frage, ob ich denn die „early bird offer“ fürs nächste Jahr bekommen hätte. Im ersten Aufschlag nur als Köder ohne irgendeinen Link; inklusive aller korrekten Daten meiner Tochter; mit der privaten E-Mail meiner Frau in cc. Gefolgt von einem freundlichen Telefonat ein paar Tage später …
- Eine E-Mail von der offiziellen E-Mail-Adresse eines bestehenden Mandanten mit der Bitte, sich eine PowerPoint-Präsentation anzusehen. Dasselbe zwei Wochen später von einem weiteren Mandanten: wieder vom offiziellen Account der Person.
- Eine Mandantin, die einen täuschend echten Brief – vorgeblich von Ihrer Bank – erhalten hat, inklusive korrektem Briefkopf und üblichem Look and Feel mit der Bitte, sich über einen QR-Code anzumelden und das Passwort zu ändern.
KI und Social Engineering erlauben passgenaue Angriffe
KI und sogenanntes Social Engineering – also das Sammeln von möglichst vielen persönlichen Daten über Social Media – machen es möglich, dass Phishing Mails immer personalisierter, besser und präziser werden. Entsprechend spricht man hier auch von Spear Phishing. Relativ neu ist auch, dass Online-Angriffe durch flankierende Offline-Methoden wie Briefe oder Anrufe flankiert werden.
Auch die eigenen Accounts und Daten werden durch immer bessere Methoden, Passwörter zu knacken, immer angreifbarer. Auch wenn es gar nicht Ihnen passiert, ist das immer noch brandgefährlich: Denn das ermöglicht – wie in all den oben genannten Fällen – dem Angreifer, sich mit zielgenauen Informationen Ihnen gegenüber als die gehackte Adresse auszugeben.
Grund genug, Ihnen – sofern Sie das nicht längst gemacht haben – ein paar dringende Sicherheitshinweise zu geben.
I. Passwörter
- Verwenden Sie keine Passwörter doppelt. Die Zeiten, in denen man alle seine Zugänge mit Nina1972 oder einem ähnlich leicht zu erratenden Passwort schützen konnte, hat es nie gegeben. Im heutigen Umfeld ist das schlicht verrückt.
- Namen aus der Familie, Geburtsdaten oder ein sachlicher Bezug zum Portal sind ebenfalls – schon immer – eine Einladung zum Betrug. MeineKohle etwa ist so ziemlich das schlechteste Passwort für einen PayPal-Account, das Sie sich ausdenken können.
- Passwörter im Handy, in einer Worddatei oder sonst wo elektronisch zu speichern, ist ebenfalls tabu. Auch wenn Sie glauben, Sie seien der Erste, der auf die Idee gekommen ist, diese als Telefonnummern zu tarnen.
- Nutzen Sie am besten einen Passwortmanager. Das schützt nicht nur ihre Daten, es macht Ihnen auch das Leben erheblich einfacher. 1Password und Bitwarden gelten hier als seriöse Anbieter.
- Nutzen Sie überall dort, wo es angeboten wird, eine Zwei-Faktor-Authentifizierung. Sprich: Wenn ein Account von Ihnen geknackt wurde, kommt der Angreifer nicht weiter, solange er nicht – beispielsweise – auch den sechsstelligen zeitlich begrenzten Code einer Authentifizierungs-App (z. B. Google Authenticator) auf Ihrem Handy hat.
- Wenn Sie unser Mandant sind und etwa Ihren Zugang bei MyWealth, der Plattform der Deutschen Wertpapiertreuhand, noch nicht entsprechend geschützt haben, dann melden Sie sich dringend bei uns und buchen sich hier einen fünfzehnminütigen Termin dazu. Wir helfen Ihnen gerne weiter.
II. Verhalten
- Sperren Sie Ihren Bildschirm, wenn Sie den Arbeitsplatz verlassen.
- Reagieren Sie nie spontan und erregt auf angebliche Alarm-Mails wie „Ihr Account wurde soeben gehackt, bitte aktualisieren Sie Ihre Passwörter.“ Lassen Sie sich nie unter Druck setzen.
- Wenn Sie Zweifel an der Legitimität einer Nachricht haben, involvieren Sie eine zweite Person Ihres Vertrauens, die eine gewisse Digitalkompetenz besitzt.
- Kontaktieren Sie den Absender der (vermeintlichen) Nachricht über einen anderen Kanal (WhatsApp, SMS, Telefon) und fragen Sie lieber einmal zu viel als zu wenig nach. So haben wir etwa durch einen Anruf in der Kanzlei die beiden angeblichen Mails unserer Mandanten enttarnt.
- Schauen Sie sich die URL oder E-Mail-Adresse des Absenders genau an – im Falle der täuschend echten Schul-Mail etwa hatte die gefälschte URL der Schule eine minimale Abweichung xyz-schools.com statt xyz-school.com.
- Klicken Sie nicht auf Links und Anhänge, ohne die Legitimität im Vorfeld zweifelsfrei geklärt zu haben, und füllen Sie NIE irgendwelche persönlichen Daten oder gar Passwörter auf den Seiten aus, auf die man Sie führt.
- Informieren Sie Kollegen und machen Sie auch in persönlichen Gesprächen Angriffsversuche zum Thema, damit Sie ständig dazulernen und auch von anderen lernen können.
Diese Hinweise sind sicher alles andere als vollständig. Auch gibt es keine hundertprozentige Sicherheit und wird es nie geben. Aber wenn Sie das alles konsequent umsetzen, sind Sie danach bestimmt ein deutliches Stück sicherer.
Ihnen alles Liebe
Ihr
Nikolaus Braun
Neunundvierzig Honorarberatung
P. S.: Wir freuen uns über Anregungen, Kritik und Ergänzung unter (E-Mail: nachdenken@neunundvierzig.com text: nachdenken@neunundvierzig.com).
Hier drei unserer Lieblingsblogs zu unserem Geschäftsmodell:
- Honorarberatung ist mehr als ein faires Preismodell
- Honorarberatung: Nicht für Sie?
- Banking is necessary. Banks are not. (Bill Gates 1994)
18/10/2024