> externer Datenschutzbeauftragter > Datenschutz IT-Systeme > Statt Payback, Daten weg! – Wie Phishing Datenschutzrisiken hervorruft

Statt Payback, Daten weg! – Wie Phishing Datenschutzrisiken hervorruft

Phishing DatenschutzrisikenDas Thema „Phishing Datenschutz“ beschäftigt, wenn neue Phishing-Attacken „die Runde machen“, nicht nur die Betroffenen selbst, sondern auch Datenschützer und Datenschutzbeauftragte.

Der Begriff „Phishing“ ist ein Kunstwort und setzt sich aus den englischen Wörtern „Password“ sowie „Fishing“ zusammen. Das Ziel der Täter ist es mittels gefälschter E-Mails, SMS und Webseiten an Datensätze, wie Passwörter und Kreditkartennummern, zu gelangen.

Ihr externer Datenschutzbeauftragter hat die wiederkehrenden Phishing-Attacken, ob auf Payback- oder Amazon-Kunden, gutgläubige „Gewinnspielteilnehmer“, denen Gutscheine von Saturn oder Ikea versprochen worden sind, oder Betroffene, die in der Hoffnung auf Steuerrückzahlungen auf die Phishing-Attacken reingefallen sind, zum Anlass genommen, um Sie über die Gefahren zu informieren und das Thema „Phishing Datenschutzrisiken“ näher zu durchleuchten.

Wieso Phishing Datenschutzrisiken für Payback-Nutzer verursacht hat

In den vergangenen Wochen hörte man vermehrt über neue Phishing-Attacken, die verstärkt auf Kunden, wie Payback- oder Amazon-Kunden ausgerichtet waren. Im Fall von Payback versendeten die Täter  E-Mails, die die Kunden über den 15. Geburtstag von Payback informierten und Payback-Nutzern die Verdopplung ihrer Payback-Punkte versprachen, dabei sollten Kunden einen Link anklicken. Diese E-Mails waren so gut gefälscht, dass nur den wenigsten Kunden auffiel, dass Payback bereits den 15. Geburtstag ein Jahr zuvor gefeiert hat. Folgte man nun dem Link, so wurde man auf eine gefälschte Webseite geführt, die sich ebenfalls kaum von der Originalen unterschied und wurde aufgefordert, seine Benutzerdaten einzugeben, die direkt in die Hände der Täter fielen.

Trotz der Mühe der Täter, die E-Mail möglichst echt aussehen zu lassen, sollte kritischen Nutzern unter anderem auffallen, dass sie, wie bei Phishing-Mails üblich, nicht persönlich angesprochen werden. Möchten Sie sich über weitere Anzeichen für gefälschte E-Mails, Webseiten und SMS informieren, dann lesen sich unseren Beitrag „Angriffe in Facebook, E-Mails & Co. – Wenn Phishing Datenschutz – Probleme hervorruft“.

Wer von Phishing-Attacken bis jetzt verschont geblieben ist, sollte sich dennoch mit dieser Thematik befassen, da die Täter nicht nur gefälschte Newsletter verschicken, sondern in sämtlichen Bereichen sowohl für Privatpersonen als auch für „verantwortliche Stellen“ eine Gefahr darstellen. Dies wurde in den vergangenen Wochen und Monaten deutlich, denn neben den gefälschten Payback-E-Mails tauchten vermeintliche E-Mails vom Finanzamt und von der Telekom auf. Die gefälschten E-Mails vom Finanzamt lockten die Betroffenen mit Steuerrückerstattungen. Während die Telekom angeblich vor einem vollen Speicher warnte. Genauso wie bei den Payback-E-Mails führte man die Betroffenen auf eine gefälschte Webseite und forderte zur Eingabe der E-Mail-Adresse und des Passwortes sowie weiterer Daten, z. B. Bankdaten, auf. Ähnlich von der Vorgehensweise, allerdings unter einem anderen Vorwand, sollten Amazon-Kunden ihre Daten zur Bekämpfung von Terrorismus überprüfen lassen.

Neben Privatpersonen und „verantwortlichen Stellen“ wurden in den letzten Monaten auch Politiker „Opfer“ von Spear-Phishing-Mails. Bezieht sich der Phishing-Angriff auf eine bestimmte Personengruppe und ist nicht breit gestreut, wie die Payback-Attacken, so ist die Rede von einem Spear-Phishing-Angriff. Der in der E-Mail eingebettete Link sollte die Politiker auf eine Malware verseuchte Webseite führen. Möchten Sie mehr zu den Gefahren durch Malware erfahren, dann lesen Sie unseren Beitrag „Verschlüsselungs-Trojaner „Locky“ – Die unerwünschte Verschlüsselung im Datenschutz“.

Die zahlreichen Fälle zeigen, dass die Kreativität der Täter keine Grenzen kennt und sich nicht nur Privatpersonen, sondern auch „verantwortliche Stellen“ mit dem Thema „Phishing Datenschutz“ auseinandersetzen sollten.

Wieso Phishing Datenschutzrisiken für „verantwortliche Stellen“ hervorrufen

DatenpannePhishing-Attacken, insbesondere, wenn Kreditkarten- und Bankdaten ausgespäht worden sind, führen für Betroffene häufig zu viel Stress und können zu einem hohen finanziellen Schaden führen, allerdings sind die Auswirkungen für „verantwortliche Stellen“ wesentlich schlimmer.

Der Grund ist, dass verantwortliche Stellen über weitaus mehr personenbezogene Daten verfügen, wodurch das Datenschutzgesetz klare Regelungen für derartige Datenpannen getroffen hat. Laut § 42 a Bundesdatenschutzgesetz (BDSG) sind verantwortliche Stellen bei sogenannten Datenpannen dazu verpflichtet, Betroffene und die Aufsichtsbehörde über den Verlust der Daten zu informieren. Dieser Informationspflicht muss insbesondere bei besonderen Angaben personenbezogener Daten (z. B. Beispiel Gesundheitsdaten) sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Solche Datenpannen führen zu hohen Bußgeldern und einem erheblichen Imageverlust.

Verantwortlichen Stellen, wie Unternehmen und Vereinen, ist deshalb dringend anzuraten, sich mit dem Thema „Phishing Datenschutzrisiken“ auseinanderzusetzen sowie die Mitarbeiter ausreichend zu schulen. Eine weitere Maßnahme, die ergriffen werden sollte, ist der Einsatz von Spam- und Phishing-Filtern, die gefälschte E-Mails und Webseiten erkennen und blockieren sollen.

Möchten Sie mehr zu dem Thema „Phishing Datenschutz“ erfahren oder wünschen Sie Datenschutz-Schulungen, um Ihre Mitarbeiter ausreichend zu sensibilisieren? Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.