Bonn, 23. Juni 2017. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet
derzeit professionelle Cyber-Angriffe auf private E-Mail-Postfächer von Funktionsträgern aus
Wirtschaft und Verwaltung.
Bei dieser Angriffskampagne werden täuschend echt erscheinende Spearphishing-Mails an ausgewähltes Spitzenpersonal gesandt. Die Angreifer geben beispielsweise vor, Auffälligkeiten bei der Nutzung des Postfachs beobachtet zu haben oder neue Sicherheitsfunktionalitäten anbieten zu wollen. Der Nutzer wird aufgefordert, einen Link anzuklicken und auf der sich öffnenden Webseite sein Passwort anzugeben. Durch die Preisgabe des Passworts erhalten die Täter Zugriff auf das persönliche E-Mail-Postfach und dessen Inhalte. Die aktuell beobachtete Kampagne richtet sich gegen Yahoo- und Gmail-Konten. Die verwendete
Angriffsinfrastruktur hat Ähnlichkeiten mit derjenigen, die bei den Angriffen und anschließenden Leaks gegen die Demokratische Partei in den USA und gegen die französische En Marche-Bewegung eingesetzt wurde.
Bereits 2016 konnte das BSI beobachten, dass Webseiten registriert wurden, die sich für
Spearphishing-Angriffe gegen Kunden der deutschen Webmail-Dienstleister gmx.de und web.de eignen
und die Ähnlichkeiten mit der aktuellen Angriffsinfrastruktur haben. Zwar sind diese Domains in der
aktuellen Angriffskampagne noch nicht beobachtet worden, es zeigt aber, dass die Täter diese
Mailprovider auch als möglichen Angriffsweg identifiziert haben.
Dazu erklärt BSI-Präsident Schönbohm: "Auch in den Regierungsnetzen hat das BSI bereits einen
Angriff der aktuellen Kampagne abgewehrt. Grundsätzlich können wir solche Phishing-Mails mit einer
sehr hohen Wahrscheinlichkeit detektieren. Private E-Mail-Postfächer allerdings sind außerhalb der
Zuständigkeit des BSI. Auch die Parteien und Organisationen haben nur begrenzten Einfluss darauf.
Dies macht private Postfächer für die Angreifer zu einem attraktiven Angriffsziel. Funktionsträger
in Verwaltung und Wirtschaft sollten daher dafür sorgen, dass auch ihre privaten Mail-Accounts
abgesichert sind. Dies ist wichtiger Teil des digitalen Persönlichkeitsschutzes."
Das BSI hat im Rahmen seiner Beratungstätigkeiten zu Fragen der IT-Sicherheit vor dem Hintergrund
der diesjährigen Bundestagswahl auch Parteien und parteinahe Stiftungen über diese Möglichkeit von
Angriffen informiert und Maßnahmen zum digitalen Persönlichkeitsschutz empfohlen. Digitaler
Persönlichkeitsschutz ist die Absicherung der Aktivitäten relevanter parlamentarischer und
staatlicher Funktionsträger im digitalen Raum. Dazu gehören neben dem Schutz privater
E-Mail-Postfächer auch Maßnahmen wie die Verifizierung von Twitter- und Facebook-Accounts. Das BSI
berät zudem zur sicheren und ggf. anonymen Nutzung des Internets und der Sozialen Netzwerke,
beispielsweise über Einstellungen bzgl. Privatsphäre und Sicherheit.
Die folgenden weiteren Maßnahmenempfehlungen schützen nicht nur gegen gezielte
Spearphishing-Angriffe auf Spitzenpersonal, sondern sind auch sinnvoll gegen großflächige, weniger
professionelle kriminelle Phishing-Angriffe:
- Geschäftliche Inhalte sollten nicht über private Postfächer kommuniziert und bearbeitet werden.
- Es ist sinnvoll, E-Mail-Kommunikation zu verschlüsseln.
- Verwendung einer Zwei-Faktor-Authentifizierung, bei der das Einloggen nicht allein durch die
Eingabe von Benutzername und Passwort erfolgt, sondern auch den Besitz eines Hardware-Tokens oder
Smartphones erfordert. Manche Webmail-Dienstleister bieten diese Funktionalität bereits an.
- Passwörter sollten grundsätzlich nicht auf Webseiten eingegeben werden, die aus Mails heraus
verlinkt wurden. Sicherer ist die Eingabe eines Passwortes, wenn die Adresse der Webseite selbst im
Browser eingegeben oder der Aufruf aus einem eigenen Lesezeichen heraus erfolgte.
- Bei der Eingabe eines Passwortes sollte die Navigationszeile/Adresszeile des Browsers geprüft
werden: Garantiert der Browser eine verschlüsselte Sitzung? Ist die Domain bekannt, also der Teil
der Adresse zwischen "https://" und erstem Schrägstrich?
- Mails, die auf einen gezielten Angriff gegen die geschäftliche Funktion hindeuten, sollten nicht
gelöscht, sondern dem IT-Personal der Organisation gezeigt werden.
- Wenn das Passwort auf einer nicht-vertrauenswürdigen Seite eingegeben wurde, sollte es im
Zweifelsfall auf der Original-Seite geändert werden.
- Es ist sinnvoll, nach dem Einloggen in das Mail-Account zu prüfen, wann die letzte Aktivität
erfolgte, falls der Anbieter dies anzeigt.