Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet derzeit professionelle Cyber-Angriffe auf private E-Mail-Postfächer von Funktionsträgern aus Wirtschaft und Verwaltung, hat das Amt am Wochenende, 23.Juni, bestätigt. Zuvor hatte das BSI auf Fragen von Umwelt- und Energie-Report erklärt, es sei mit

Ob aus
Ob aus

Cyberangriffen auf die Stromnetze zu rechen. (s. unten) Die aktuell beobachtete Kampagne richtet sich, laut BSI, gegen Yahoo- und Gmail-Konten. Die verwendete Angriffsinfra-struktur hat Ähnlichkeiten mit derjenigen, die bei den Angriffen und anschließenden Leaks gegen die Demokratische Partei in den USA und gegen die französische En Marche-Bewegung eingesetzt wurde,  warnt das Bundesamt.

Aktuell habe das Amt auch Angriffe auf die  Regierungsnetze registriert und sie  abwehren können, heißt es. Im Blick auf die bevorstehende  Bundestagswahl hat das BSI, nach eigenen Angaben,  auch Parteien und parteinahe Stiftungen über diese Möglichkeit von Angriffen informiert und Maßnahmen zum digitalen Persönlichkeitsschutz empfohlen.

Bei dieser Angriffskampagne werden täuschend echt erscheinende, gut vorbereitete, sogenannte Spearphishing-Mails an sorgfältig ausgewähltes Spitzenpersonal gesandt. Die Angreifer geben

Das Bundeskabinett beschloss gestern, Mittwoch, 23.September, den Gesetzentwurf zur KWK-Novelle, bild bundesreg.
Aktuelle Angriffe auf Regierungsnetze wurden abgewehrt; Bundeskabinett  bild bundesreg.

demnach beispielsweise vor, Auffälligkeiten bei der Nutzung des Postfachs beobachtet zu haben oder neue Sicherheitsfunktio-nalitäten anbieten zu wollen. Der Nutzer wird aufgefordert, einen Link anzuklicken und auf der sich öffnenden Webseite sein Passwort anzugeben. Durch die Preisgabe des Passworts erhalten die Täter Zugriff auf das persönliche E-Mail-Postfach und dessen Inhalte.

Dazu erklärt BSI-Präsident Schönbohm:

Arne Schönbohm: Halte ich für Quatsch
Arne Schönbohm: Private Mail-Accounts absichern …

Funktionsträger in Verwaltung und Wirtschaft sollten daher dafür sorgen, dass auch ihre privaten Mail-Accounts abgesichert sind. Dies ist wichtiger Teil des digitalen Persönlichkeitsschutzes.”

 25.03.16 Pfeil für TextDie folgenden weiteren Maßnahmenempfehlungen  des BSI sollen nicht nur gegen gezielte Spearphishing-Angriffe auf Spitzenpersonal schützen, sondern seien auch  sinnvoll gegen großflächige, weniger professionelle kriminelle Phishing-Angriffe:

  • Geschäftliche Inhalte sollten nicht über private Postfächer kommuniziert und bearbeitet werden.
  • Es ist sinnvoll, E-Mail-Kommunikation zu verschlüsseln.
  • Verwendung einer Zwei-Faktor-Authentifizierung, bei der das Einloggen nicht allein durch die Eingabe von Benutzername und Passwort erfolgt, sondern auch den Besitz eines Hardware-Tokens oder Smartphones erfordert. Manche Webmail-Dienstleister bieten diese Funktionalität bereits an.
  • Passwörter sollten grundsätzlich nicht auf Webseiten eingegeben werden, die aus Mails heraus verlinkt wurden. Sicherer ist die Eingabe eines Passwortes, wenn die Adresse der Webseite selbst im Browser eingegeben oder der Aufruf aus einem eigenen Lesezeichen heraus erfolgte.
  • Bei der Eingabe eines Passwortes sollte die Navigationszeile/Adresszeile des Browsers geprüft werden: Garantiert der Browser eine verschlüsselte Sitzung? Ist die Domain bekannt, also der Teil der Adresse zwischen „https://“ und erstem Schrägstrich?
  • Mails, die auf einen gezielten Angriff gegen die geschäftliche Funktion hindeuten, sollten nicht gelöscht, sondern dem IT-Personal der Organisation gezeigt werden.
  • Wenn das Passwort auf einer nicht-vertrauenswürdigen Seite eingegeben wurde, sollte es im Zweifelsfall auf der Original-Seite geändert werden.
  • Es ist sinnvoll, nach dem Einloggen in das Mail-Account zu prüfen, wann die letzte Aktivität erfolgte, falls der Anbieter dies anzeigt.