Für die meisten Internet-Nutzer dürfte die Information, dass im World Wide Web (WWW) zahlreiche Gefahren lauern, nicht neu sein. Zu den Bedrohungen zählen unter anderem Schadprogramme, wie Viren, Trojaner, Spyware und Phishing-Angriffe.

Der Begriff „Phishing“ setzt sich aus den englischen Wörtern „Password“ und „Fishing“ zusammen, die bereits bestens beschreiben, welches Ziel mit Phishing-Angriffen verfolgt wird. Betrüger versuchen zumeist, mittels gefälschter E-Mails und Webseiten, an Zugangsdaten, Passwörter, Kreditkartennummern oder sonstige vermeintlich wertvolle Datensätze zu gelangen.  Die gefälschten E-Mails und Webseiten können auf den ersten Blick sehr professionell wirken, sodass häufig zahlreiche Personen auf die Phishing-Attacken reinfallen.

Brands Consulting, Ihr externer Datenschutzbeauftragter, informiert Sie über die Auswirkungen einer Phishing-Attacke auf den Datenschutz und wie Sie sich vor Phishing-Angriffen schützen können.

Auf welchem Weg erfolgen Phishing-Angriffe?

Die Täter versuchen in den meisten Fällen über gefälschte E-Mails und Webseiten an sensible Daten zu gelangen. Phishing-Attacken über andere Kommunikationskanäle, wie SMS oder Anrufe, können allerdings nicht ausgeschlossen werden. Meistens geben sich die Täter als Banken, Online-Shops oder andere Firmen aus, die aufgrund von abgelaufen Kreditkarten, zu aktualisierenden Kontoeinstellungen, nicht gezahlter Rechnungen etc. den Kontakt zu den Betroffenen suchen. In den gefälschten E-Mails befinden sich meistens Verlinkungen zu gefälschten Webseiten, die einem Anmeldeportal ähneln und die Betroffenen zur Eingabe der Zugangsdaten, Passwörter etc. verleihen sollen. Das Ausspähen von Zugangsdaten im Bereich der sozialen Medien, wie Facebook, Twitter etc. ist ebenfalls keine Seltenheit mehr.

Ähnlich aussehende Domainnamen sind weitere Methoden, die Betroffene auf gefälschte Seiten führen sollen. Möglichkeiten, die sich den Tätern bieten, sind zum Beispiel die Buchstaben „ä“, „ö“ und „ü“ oder die Verwendung von kyrillischen Buchstaben, die sich beispielsweise beim „a“ nicht unterscheiden. Wird die Beispiel-Adresse: http//:www.ihr-externer-datenschutzbeauftragte-baender.com/ gefälscht und heißt nun http//:www.ihr-externer-datenschutzbeauftragte-bänder.com/, wird dies den wenigstens Betroffenen auffallen.

Eine weitere Möglichkeit um Zugangsdaten auszuspähen, ist der Einsatz von Trojanern. Der Betroffene besucht eine infizierte Webseite oder erhält eine E-Mail bzw. eine SMS mit einem Link oder einem Anhang. Beim Öffnen installiert sich der Betroffene ein Schadprogramm auf sein Endgerät. Das trojanische Pferd läuft, ohne Wissen des Betroffenen im Hintergrund und kann sämtliche Zugangsdaten ausspionieren.

Welche Auswirkungen haben Phishing-Angriffe auf den Datenschutz?

Das Ausspähen von Daten bei Privatpersonen, insbesondere von Kreditkarten- und Kontodaten, kann für die betroffenen Personen zu einem hohen finanziellen Schaden führen, wobei eine Phishing-Attacke bei Unternehmen, Behörden, Vereinen etc., neben einem beträchtlichen finanziellen Schaden, zu einem hohen Imageverlust führen kann.

Bei einer Phishing-Attacke werden in der Regel, wie bereits erläutert, Benutzerkennungen, Kreditkartenummer oder sonstige, teilweise sensible, Datensätze ausgespäht. Bei diesen Daten bzw. Informationen handelt es sich um personenbezogene Daten, die vom Datenschutzrecht geschützt werden sollen. Besteht beispielsweise die Gefahr, dass personenbezogene Daten der Mitarbeiter, Kunden oder Lieferanten ausgespäht worden sind, ist die „Verantwortliche Stelle“ laut § 42 a BDSG bei sogenannten Datenpannen dazu verpflichtet, Betroffene und die Aufsichtsbehörde zu informieren. Dieser Informationspflicht muss vor allem bei besonderen personenbezogenen Daten (z. B. Beispiel Gesundheitsdaten) sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Neben Bußgeldern führen Datenpannen zu einem erheblichen Imageverlust. Oder möchten Sie etwa Ihre persönlichen Daten einem Unternehmen anvertrauen, das diese verliert?

Neben den personenbezogenen Daten sollte, jeder „verantwortlichen Stelle“ (wir erinnern uns: sogenannte „verantwortliche Stellen“ können z. B.: Behörden, Unternehmen, Vereine oder Stiftungen sein) der Schutz von weiteren sensiblen Daten, wie Betriebsgeheimnissen, am Herzen liegen.

Wie kann ich mich vor Phishing-Attacken schützen?

Die Internet-Kriminalität hat sich mit der Technik weiterentwickelt, wodurch Betroffenen die Unterscheidung zwischen gefälschten und originalen Webseiten, SMS sowie E-Mails erschwert wird. Nichtsdestotrotz lassen sich zahlreiche Maßnahmen ergreifen, um das Risiko, „Opfer“ einer Phishing-Attacke zu werden, drastisch zu minimieren.

Eine dieser Maßnahmen ist der Einsatz von Spam- und Phishing-Filtern, die gefälschte E-Mails und Webseiten erkennen und blockieren sollen. Privatpersonen und verantwortliche Stellen sollten sich allerdings nicht ausschließlich auf die Filter-Programme verlassen, da die Täter regelmäßig Änderungen vornehmen, wodurch die Filter-Programme umgangen werden können.

Der Faktor Mensch spielt bei Phishing-Attacken eine erheblich große Rolle. Um so wichtiger ist es, dass feste Mitarbeiter, aber insbesondere auch Praktikanten, Freiberufler, ehrenamtliche Hilfskräfte oder sonstige Aushilfen geschult bzw. sensibilisiert werden.

Anzeichen für gefälschte SMS, E-Mails und Webseiten können sein:

• Nachrichten in fremder Sprache oder in schlechtem Deutsch (Grammatikfehler, fehlende Umlaute, kyrillische Buchstaben, fehlende Sonderzeichen),
• Absender, die nicht zugeordnet werden können (z.B. die Rechnung eines Online-Shops, den man nicht kennt),
• Unpersönliche Anrede (z.B. „Sehr geehrte Damen und Herren“, „Sehr geehrter Kunde“ oder besonders kreativ „Hallo“),
• Die Aufforderung, eine Datei zu öffnen oder einem Link zu folgen,
• Link-Adresse und anzuzeigender Text verweisen auf verschiedene Webseiten siehe Beispiel 3 (Um die tatsächliche Adresse zu sehen, kann mit dem Cursor über über den Link fahren. Nicht anklicken!),
• Die Aufforderung, personenbezogene Daten, wie PIN, TAN, Passwörter etc. anzugeben,
• Die Drohung mit Konsequenzen, wenn eine, meist sehr knapp bemessene, Frist nicht eingehalten wird (z.B. „Wir bitten Sie schnellstmöglich unserer Forderung nachzukommen, ansonsten sind wir gezwungen ein Inkassobüro zu beauftragen“, „Falls Sie der Zahlung bis XXX nicht nachkommen, werden wir Ihnen weitere Kosten des Mahnverfahrens und der Verzugszinsen in Rechnung stellen“ oder die verlockende und weniger ermahnende Variante„Sie haben gewonnen! Nur Heute!“)
• Die Absenderadressen sind gefälscht,
• Das Kürzel https:// fehlt.

Beispiel 1

Beispiel 2

Beispiel 3

Auf Phishing-Angriff reingefallen – Wie gehen Sie vor?

Sollten Sie auf einen Angriff reingefallen sein und einen Link geöffnet bzw. sensible Daten übermittelt haben, dann sollten Sie schnell reagieren. Zum einen sollten Sie, wenn Sie Mitarbeiter in einem Unternehmen, einer Behörde etc. sind, die IT-Abteilung unverzüglich informieren, damit diese den Rechner auf Schadprogramme untersuchen kann. Wurden Benutzerkennungen und Passwörter eingegeben, so sollten diese UNVERZÜGLICH —-> also SOFORT geändert werden.

Den „Opfern“ einer Phishing-Attacke ist zudem anzuraten, eine Strafanzeige bei der Polizei zu erstatten. „Verantwortliche Stelle“ sollten des Weiteren prüfen, ob die Täter Zugriff auf Informationen / Daten der „verantwortlichen Stellen“ hatten. Kann nicht ausgeschlossen werden, dass Unbefugte auf Informationen zugreifen konnten, so sollte geprüft werden, um welche Art der Daten es sich handelt. Gelangen personenbezogene Daten an Unbefugte, so sollten, wie bereits erläutert, Betroffene und die Aufsichtsbehörde über die Datenpanne informiert werden. Dieser Informationspflicht muss insbesondere bei besonderen personenbezogenen Daten (z. B. Gesundheitsdaten) sowie bei personenbezogenen Daten zu Bank- und Kreditkonten und zwar UNVERZÜGLICH (ohne schuldhaftes Zögern) nachgegangen werden.

Ob und inwieweit dieser Informationspflicht nachgegangen werden muss, hängt dabei von den einzelnen Gegebenheiten ab und kann nicht pauschal beantwortet werden.