BSI: Cyberangriffe auf Regierung und Stromnetze
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet derzeit professionelle Cyber-Angriffe auf private E-Mail-Postfächer von Funktionsträgern aus Wirtschaft und Verwaltung, hat das Amt am Wochenende, 23.Juni, bestätigt. Zuvor hatte das BSI auf Fragen von Umwelt- und Energie-Report erklärt, es sei mit
Cyberangriffen auf die Stromnetze zu rechen. (s. unten) Die aktuell beobachtete Kampagne richtet sich, laut BSI, gegen Yahoo- und Gmail-Konten. Die verwendete Angriffsinfra-struktur hat Ähnlichkeiten mit derjenigen, die bei den Angriffen und anschließenden Leaks gegen die Demokratische Partei in den USA und gegen die französische En Marche-Bewegung eingesetzt wurde, warnt das Bundesamt.
Aktuell habe das Amt auch Angriffe auf die Regierungsnetze registriert und sie abwehren können, heißt es. Im Blick auf die bevorstehende Bundestagswahl hat das BSI, nach eigenen Angaben, auch Parteien und parteinahe Stiftungen über diese Möglichkeit von Angriffen informiert und Maßnahmen zum digitalen Persönlichkeitsschutz empfohlen.
Bei dieser Angriffskampagne werden täuschend echt erscheinende, gut vorbereitete, sogenannte Spearphishing-Mails an sorgfältig ausgewähltes Spitzenpersonal gesandt. Die Angreifer geben
demnach beispielsweise vor, Auffälligkeiten bei der Nutzung des Postfachs beobachtet zu haben oder neue Sicherheitsfunktio-nalitäten anbieten zu wollen. Der Nutzer wird aufgefordert, einen Link anzuklicken und auf der sich öffnenden Webseite sein Passwort anzugeben. Durch die Preisgabe des Passworts erhalten die Täter Zugriff auf das persönliche E-Mail-Postfach und dessen Inhalte.
Dazu erklärt BSI-Präsident Schönbohm:
“ Funktionsträger in Verwaltung und Wirtschaft sollten daher dafür sorgen, dass auch ihre privaten Mail-Accounts abgesichert sind. Dies ist wichtiger Teil des digitalen Persönlichkeitsschutzes.”
Die folgenden weiteren Maßnahmenempfehlungen des BSI sollen nicht nur gegen gezielte Spearphishing-Angriffe auf Spitzenpersonal schützen, sondern seien auch sinnvoll gegen großflächige, weniger professionelle kriminelle Phishing-Angriffe:
- Geschäftliche Inhalte sollten nicht über private Postfächer kommuniziert und bearbeitet werden.
- Es ist sinnvoll, E-Mail-Kommunikation zu verschlüsseln.
- Verwendung einer Zwei-Faktor-Authentifizierung, bei der das Einloggen nicht allein durch die Eingabe von Benutzername und Passwort erfolgt, sondern auch den Besitz eines Hardware-Tokens oder Smartphones erfordert. Manche Webmail-Dienstleister bieten diese Funktionalität bereits an.
- Passwörter sollten grundsätzlich nicht auf Webseiten eingegeben werden, die aus Mails heraus verlinkt wurden. Sicherer ist die Eingabe eines Passwortes, wenn die Adresse der Webseite selbst im Browser eingegeben oder der Aufruf aus einem eigenen Lesezeichen heraus erfolgte.
- Bei der Eingabe eines Passwortes sollte die Navigationszeile/Adresszeile des Browsers geprüft werden: Garantiert der Browser eine verschlüsselte Sitzung? Ist die Domain bekannt, also der Teil der Adresse zwischen „https://“ und erstem Schrägstrich?
- Mails, die auf einen gezielten Angriff gegen die geschäftliche Funktion hindeuten, sollten nicht gelöscht, sondern dem IT-Personal der Organisation gezeigt werden.
- Wenn das Passwort auf einer nicht-vertrauenswürdigen Seite eingegeben wurde, sollte es im Zweifelsfall auf der Original-Seite geändert werden.
- Es ist sinnvoll, nach dem Einloggen in das Mail-Account zu prüfen, wann die letzte Aktivität erfolgte, falls der Anbieter dies anzeigt.
Schreibe einen Kommentar