header-placeholder


image header
image
binary 2170630 960 720

Cyber-Angriffe auf private E-Mail-Postfächer von Funktionsträgern

Bonn, 23. Juni 2017. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet 
derzeit professionelle Cyber-Angriffe auf private E-Mail-Postfächer von Funktionsträgern aus 
Wirtschaft und Verwaltung. 

Bei dieser Angriffskampagne werden täuschend echt erscheinende  Spearphishing-Mails an ausgewähltes Spitzenpersonal gesandt. Die Angreifer geben beispielsweise  vor, Auffälligkeiten bei der Nutzung des Postfachs beobachtet zu haben oder neue  Sicherheitsfunktionalitäten anbieten zu wollen. Der Nutzer wird aufgefordert, einen Link anzuklicken und auf der sich öffnenden Webseite sein Passwort anzugeben. Durch die Preisgabe des  Passworts erhalten die Täter Zugriff auf das persönliche E-Mail-Postfach und dessen Inhalte. Die  aktuell beobachtete Kampagne richtet sich gegen Yahoo- und Gmail-Konten. Die verwendete 
Angriffsinfrastruktur hat Ähnlichkeiten mit derjenigen, die bei den Angriffen und anschließenden  Leaks gegen die Demokratische Partei in den USA und gegen die französische En Marche-Bewegung  eingesetzt wurde.

Bereits 2016 konnte das BSI beobachten, dass Webseiten registriert wurden, die sich für 
Spearphishing-Angriffe gegen Kunden der deutschen Webmail-Dienstleister gmx.de und web.de eignen 
und die Ähnlichkeiten mit der aktuellen Angriffsinfrastruktur haben. Zwar sind diese Domains in der 
aktuellen Angriffskampagne noch nicht beobachtet worden, es zeigt aber, dass die Täter diese 
Mailprovider auch als möglichen Angriffsweg identifiziert haben.

Dazu erklärt BSI-Präsident Schönbohm: "Auch in den Regierungsnetzen hat das BSI bereits einen 
Angriff der aktuellen Kampagne abgewehrt. Grundsätzlich können wir solche Phishing-Mails mit einer 
sehr hohen Wahrscheinlichkeit detektieren. Private E-Mail-Postfächer allerdings sind außerhalb der 
Zuständigkeit des BSI. Auch die Parteien und Organisationen haben nur begrenzten Einfluss darauf. 
Dies macht private Postfächer für die Angreifer zu einem attraktiven Angriffsziel. Funktionsträger 
in Verwaltung und Wirtschaft sollten daher dafür sorgen, dass auch ihre privaten Mail-Accounts 
abgesichert sind. Dies ist wichtiger Teil des digitalen Persönlichkeitsschutzes."

Das BSI hat im Rahmen seiner Beratungstätigkeiten zu Fragen der IT-Sicherheit vor dem Hintergrund 
der diesjährigen Bundestagswahl auch Parteien und parteinahe Stiftungen über diese Möglichkeit von 
Angriffen informiert und Maßnahmen zum digitalen Persönlichkeitsschutz empfohlen. Digitaler 
Persönlichkeitsschutz ist die Absicherung der Aktivitäten relevanter parlamentarischer und 
staatlicher Funktionsträger im digitalen Raum. Dazu gehören neben dem Schutz privater 
E-Mail-Postfächer auch Maßnahmen wie die Verifizierung von Twitter- und Facebook-Accounts. Das BSI 
berät zudem zur sicheren und ggf. anonymen Nutzung des Internets und der Sozialen Netzwerke, 
beispielsweise über Einstellungen bzgl. Privatsphäre und Sicherheit.

Die folgenden weiteren Maßnahmenempfehlungen schützen nicht nur gegen gezielte 
Spearphishing-Angriffe auf Spitzenpersonal, sondern sind auch sinnvoll gegen großflächige, weniger 
professionelle kriminelle Phishing-Angriffe:

- Geschäftliche Inhalte sollten nicht über private Postfächer kommuniziert und bearbeitet werden.

- Es ist sinnvoll, E-Mail-Kommunikation zu verschlüsseln.

- Verwendung einer Zwei-Faktor-Authentifizierung, bei der das Einloggen nicht allein durch die 
Eingabe von Benutzername und Passwort erfolgt, sondern auch den Besitz eines Hardware-Tokens oder 
Smartphones erfordert. Manche Webmail-Dienstleister bieten diese Funktionalität bereits an.

- Passwörter sollten grundsätzlich nicht auf Webseiten eingegeben werden, die aus Mails heraus 
verlinkt wurden. Sicherer ist die Eingabe eines Passwortes, wenn die Adresse der Webseite selbst im 
Browser eingegeben oder der Aufruf aus einem eigenen Lesezeichen heraus erfolgte.

- Bei der Eingabe eines Passwortes sollte die Navigationszeile/Adresszeile des Browsers geprüft 
werden: Garantiert der Browser eine verschlüsselte Sitzung? Ist die Domain bekannt, also der Teil 
der Adresse zwischen "https://" und erstem Schrägstrich?

- Mails, die auf einen gezielten Angriff gegen die geschäftliche Funktion hindeuten, sollten nicht 
gelöscht, sondern dem IT-Personal der Organisation gezeigt werden.

- Wenn das Passwort auf einer nicht-vertrauenswürdigen Seite eingegeben wurde, sollte es im 
Zweifelsfall auf der Original-Seite geändert werden.

- Es ist sinnvoll, nach dem Einloggen in das Mail-Account zu prüfen, wann die letzte Aktivität 
erfolgte, falls der Anbieter dies anzeigt.