13.01.2020 11:58

IT-Sicherheit

Wenn Persönliches in falsche Hände gerät

Von: Katrin Koster

Kriminelle lieben soziale Netzwerke. Hier ist es kinderleicht, Fotos oder vertrauliche Informationen auszuspionieren. Je mehr dieser wertvollen Informationen die Datendiebe zusammentragen, desto größer ist die Gefahr für Organisationen. Um alle Angehörigen der Heinrich-Heine-Universität Düsseldorf (HHU) vor bösen Überraschungen zu schützen, einige hilfreiche Tipps.

Informationen gehen heute schnell online – doch immer sollten IT-Sicherheitsaspekte mitgedacht werden. (HHU/Ivo Mayr)

Wer die Maschen der Cyberbetrüger kennt, ist gewappnet. Vier-Augen-Checks und klare Freigabeprozesse sorgen in der Buchhaltung für Sicherheit. Doch wie sieht es mit Forschungsergebnissen oder Zugangsdaten aus? Vorsicht und Zurückhaltung sind in Influencerzeiten zwar ungewöhnlich, aber ratsam.

Ein Selfie im Büro? Keine gute Idee. Mitunter sind im Hintergrund vertrauliche Notizen zu sehen oder andere interessante Dinge. Bilder, Videos und andere Inhalte, die einmal im Netz sind, können immer in falsche Hände geraten – auch wenn sie zunächst nur im kleinen Kreis geteilt werden.

Namen, Arbeitgeber oder Geburtsdatum – damit können Kriminelle viel anfangen. Sie geben sich damit beispielsweise in einer E-Mail als jemand aus dem Bekannten- oder Kollegenkreis aus, um an geheime Informationen zu gelangen: etwa Zugangsdaten zu einem Server, den Entwurf eines Patentantrags oder ein anderes Dokument, das interessantes geistiges Eigentum enthält.

Ein Beispiel aus dem HHU-Alltag
Wie schnell E-Mail-Adressen und Namen gefälscht und Informationen missbraucht werden, zeigt dieses aktuelle Beispiel: Wenige Tage, nachdem auf der HHU Homepage die Meldung „Pharmazeut Prof. Dr. Dr. h.c. Peter Kleinebudde neuer Dekan“ erschien, bekamen zahlreiche Mitglieder der Universität eine E-Mail. Aus der auf Webseiten der HHU einsehbaren Adresse des Dekans der Mathematisch-Naturwissenschaftliche Fakultät »dekanmnf@hhu.de« wurde »dekanmnf.hhu.de@gmail.com« – eine Veränderung, die nicht direkt auffällt. Mit dem veränderten Absender »dekanmnf.hhu.de@gmail.com« wurde die E-Mail versendet. Der Inhalt einer tatsächlich erfolgten Kommunikation in Ausschnitten:

 

Von: Prof. Dr. Dr. hc Peter Kleinebudde <dekanmnf.hhu.de@gmail.com>
Datum: Fr., 20. Dez. 2019, 3:30 PM
Betreff:
An: Vorname Nachname <Vorname.Nachname@hhu.de>

Hallo, bist du verfügbar?
--
Prof. Dr. Dr. hc Peter Kleinebudde
Dean Professor Faculty of Mathematics and Natural Sciences
Heinrich Heine University Düsseldorf
Universitätsstr. 1
building: 25.32 floor / room: 00.30
40225 Düsseldorf


Von: Vorname Nachname <Vorname.Nachname@hhu.de>
Datum: Fr., 20. Dez. 2019, 15:33
Betreff: Re:
An: Prof. Dr. Dr. hc Peter Kleinebudde <dekanmnf.hhu.de@gmail.com>

Wofür denn? Ich habe eigentlich Urlaub


Von: Prof. Dr. Dr. hc Peter Kleinebudde <dekanmnf.hhu.de@gmail.com>
Datum: Fr., 20. Dez. 2019, 5:36 PM
Betreff: Re:
An: Vorname Nachname <Vorname.Nachname@hhu.de>

Ich bin in einem Seminar und deshalb kontaktiere ich Sie hier. Ich hätte Sie anrufen sollen, aber ich kann während des Seminars keine Anrufe entgegennehmen. Ich weiß nicht, wann das Seminar stattfinden wird. Und ich möchte, dass Sie mir bei etwas sehr Wichtigem helfen. Danke


Von: Vorname Nachname <Vorname.Nachname@hhu.de>
Datum: Fr., 20. Dez. 2019, 17:36
Betreff: Re:
An: Prof. Dr. Dr. hc Peter Kleinebudde <dekanmnf.hhu.de@gmail.com>

Worum geht es?


Von: Prof. Dr. Dr. hc Peter Kleinebudde <dekanmnf.hhu.de@gmail.com>
Datum: Fr., 20. Dez. 2019, 7:19 PM
Betreff: Re:
An: Vorname Nachname <Vorname.Nachname@hhu.de>

Mein Zeitplan ist sehr eng und Sie müssen mir dringend helfen. Können Sie mir helfen, eine iTunes-Geschenkkarte im Laden zu bekommen? Ich bin noch am Seminar und werde es Ihnen erstatten, wenn ich im Büro bin. Ich muss es meiner Neice schicken, die heute ihren Geburtstag feiert. Können Sie mir dabei helfen?


Auch wenn es nur um eine iTunes-Karte geht und der Vorgang eher belustigend als bedrohlich wirkt, so wird doch deutlich, wie in der schnellen Kommunikation zunächst geantwortet wird und der unpassende Stil der E-Mail erst später stutzig macht. Um wieviel wirkungsvoller wäre die Täuschung erst gewesen, wenn der Absender wirklich etwas über das persönliche Verhältnis der angeschriebenen Personen und dem Dekan der Mathematisch-Naturwissenschaftlichen Fakultät gewusst hätte?

Das Beispiel zeigt, wie wichtig es ist, vor jedem „Ins-Netz-Stellen“ einer Information sehr gründlich zu überlegen, wem diese bekannt werden darf und ob sie wirklich veröffentlicht werden muss – weniger veröffentlichte Information bedeutet mehr Sicherheit! Das gilt erst recht für Plattformen, in denen oft sehr persönliche Daten frei zugänglich gemacht werden. Damit diese wenigstens nicht für jeden sichtbar sind, müssen die Privatsphäre-Einstellungen für Online-Profile sehr sorgfältig geprüft werden.


Weitere Informationen:
Mehr zum Thema Phishing-Mails: https://www.mitarbeiter.hhu.de/intranet-aktuell/aktuelle-meldungen-intranet/news-detail/article/gefaehrliche-mails-ein-klick-zuviel.html

Informationen des Bundesamts für Sicherheit in der Informationstechnik (BSI):
www.allianz-fuer-cybersicherheit.de/ACS/DE/Informationspool/Awareness/awareness_wertvolles_motiv_node

Ansprechpartnerin bei Fragen:
IT-Sicherheitsbeauftragte Dr. Ursula Hilgers, hilgers(at)hhu.de, Tel. 0211/81-13060

Verantwortlich für den Inhalt: E-Mail sendenStabsstelle Presse und Kommunikation