TEIL 10 – Umstellung auf MS 365: E-Mail-Security – von Spam bis Schadsoftware

Geschrieben am 27.06.2023 von:

Team MORGENSTERN

MORGENSTERN: Innovativ in Datenschutz, IT-Sicherheit und Digitalisierung.
zum Profil

Kontaktiere mich:

+49 (0) 6232 – 100119 44
E-Mail senden

Junk, Spam, Scam, Phishing, Schadsoftware oder Virus sind nur einige Begriffe, die uns im Zusammenhang mit einkommenden E-Mails begegnen. Die Wege, uns Werbung aufzudrücken oder betrügerische Absichten durchzusetzen, sind vielfältig. Und die Gefahr, dass gerade in der oft hektischen Geschäftswelt ein*e Mitarbeiter*in auf eine E-Mail reinfällt, ist nicht zu vernachlässigen. In diesem Blogbeitrag klären wir die häufigsten und wichtigsten Begriffe und geben dir Tipps und Don’ts für den Umgang mit verdächtigen E-Mails oder E-Mail-Anhängen.

Spam“ und „Junk“ – zu Deutsch „Müll“ – sind Synonyme und in den meisten Fällen die harmloseste Variante der ungewollten E-Mails. Hierbei handelt es sich um unerwünschte Werbung, die ungefragt zugesendet wird. Allgemeine E-Mail-Postfächer wie info@meine-firma.de oder auch E-Mail-Adressen, die auf der eigenen Webseite öffentlich auffindbar sind, werden oft am stärksten mit Spam belastet. Davon abgrenzen muss man E-Mail-Newsletter, zu denen man sich meist gewollt – oder zumindest mit einem gedanklichen „na gut“ – angemeldet hat. Von Newslettern seriöser Anbieter*innen kann man sich in der Regel problemlos wieder abmelden.

Unter „Scam“ oder „Scamming“ versteht man eine Art „Betrug“ oder „Abzocke“. Im deutschsprachigen Raum wird der Begriff seit den 2010er Jahren mit Internetbetrug in Verbindung gebracht. Ein klassischer Fall ist, dass via Telefon behauptet wird, dass der eigene PC bereits von einem Virus befallen sei und man das Problem beheben müsse. Befolgt man dann die Anweisungen des*der Anrufer*in, fängt man sich den Virus ein. Aber auch Betrugsversuche, die ganz anders aussehen, können als Scamming bezeichnet werden. Ein Betrugsversuch kann auch per E-Mail erfolgen.

Als „Fishing“ – zu Deutsch „fischen, angeln“ – bezeichnet man den Versuch, vertrauliche Informationen von einer Person zu bekommen. Dies können Zugangsdaten zu einem E-Mail-Account oder auch Bankdaten oder Kreditkarteninformationen sein. Über eine zugesendete E-Mail, die gut gefälscht so aussieht, als würde sie von einem großen bekannten Unternehmen kommen, versucht man, auf ein ebenfalls gefälschtes Formular zu leiten und hofft, dass der*die Empfänger*in nichtsahnend sensible Informationen einträgt. Auch unseriöse Angebote, die uns auf Webshops locken und erstmal nur wie Spam aussehen, können zu Fishing-Fallen werden. Wer zum Beispiel ungefragt auf Medikamente oder Solaranlagen in Kombination mit ausgeprägten Rabatten aufmerksam gemacht wird, sollte skeptisch werden. Gerne werden auch aktuelle Themen aus Politik und Wirtschaft aufgegriffen, um auf angeblich gute Angebote aufmerksam zu machen.

Virus – so werden kleine Programme genannt, die unbemerkt auf dem PC oder auch Laptop installiert werden. Dies kann über viele Wege passieren: Durch das Öffnen einer manipulierten Word- oder auch Excel-Datei, die zum Beispiel als E-Mail-Anhang verschickt oder über einen Link heruntergeladen wurde. Auch kann ein Virus als „Beiwerk“ durch das Installieren von gewollter Software unseriöser Webseiten mitinstalliert werden.

Das „Trojanische Pferd“– kurz Trojaner genannt – ist in der Softwarewelt eine besonders hinterlistige Art von Schadsoftware. Eine Software, die als nützliches Tool getarnt ist und vielleicht sogar einen echten Nutzen hat, verbirgt in sich Programmteile, die unbemerkt im Hintergrund unerwünschte Befehle ausführen.

Solche Viren und Trojaner – zusammenfassend Schadsoftware genannt – haben meist den Zweck, Daten auf dem PC auszulesen, zum Beispiel im Browser gespeicherte Passwörter oder Kreditkarteninformationen, um diese dann an den*die Programmierer*in der Schadsoftware zu senden.

In den letzten Jahren kam es auch vermehrt dazu, dass sogenannte Verschlüsselungstrojaner, die sich unbemerkt in den PC eingenistet haben, anfangen, die auf dem PC vorhandenen Daten zu verschlüsseln, sodass man mit den Daten nichts mehr anfangen kann. Die Daten sind dann so unbrauchbar, als hätte man sie gelöscht. Das Gefährlich daran ist, dass der Verschlüsselungstrojaner sich nicht auf den infizierten PC beschränkt, sondern sich über das Netzwerk verbreiten kann und so auch andere PCs und sogar wichtigere Server angreift und auch diese verschlüsselt. Die Gefahr für das komplette Servernetzwerk ist sehr groß. In dem Zusammenhang wird dann eine Art Lösegeld für die Entschlüsselung und Wiederherstellung der Daten gefordert. Auf das Versprechen sollte man sich aber nicht einlassen.

Wir sehen, Spam- und Schad-E-Mails sind nicht nur nervig, sondern auch potenziell gefährlich. Und die Varianten der Betrugsversuche sind ebenso vielseitig wie kreativ.

Nachfolgende einige Tipps und Don’ts im Umgang mit verdächtigen E-Mails:

Tipps:

  • E-Mails werden in einen Spam- oder Junk-Ordner verschoben, unter Quarantäne gestellt oder als Spam markiert.
  • Aber Vorsicht: Kein System ist perfekt und die Erkennung von Spam und schädlichen E-Mails kann auch mal versagen. Die Schulung alle Mitarbeiter*innen über gängige Tricks und Betrugsversuche ist daher besonders wichtig.
  • Bekommt man eine E-Mail, die verdächtig aussieht, am besten so belassen oder in den Papierkorb verschieben. Klicke keine Links in der E-Mail an und öffne keine E-Mail-Anhänge.
  • Verdächtige E-Mails oder E-Mail-Anhänge sollten niemals an Kolleg*innen weitergeleitet oder an öffentlichen Orten abgespeichert werden. Schnell ist es passiert, dass der*die Empfänger*in die Begleitfrage „Ist das für dich verdächtig?“ übersieht und auf einen schädlichen Link klickt oder eine schädliche Datei öffnet.
  • Stelle deinen Mitarbeiter*innen eine*n IT-Ansprechpartner*in zur Seite, um bei verdächtigen E-Mails Rücksprache halten zu können.

Don’ts:

  • Spare nicht an Mitarbeiter*innen-Schulungen. Lasse allen Mitarbeitenden von Fachreferent*innen erklären, welches die Gefahren sind, welche Maßnahmen jede*r selbst ergreifen und wie man typische Angriffsszenarien erkennen kann, um nicht darauf reinzufallen.
  • Vermeide Schuldzuweisungen. Sollte es tatsächlich mal passieren, dass ein gefährlicher Link angeklickt oder eine verdächtige Datei geöffnet wurde, ist es wichtig, dass IT-Administrator*innen so schnell wie möglich davon erfahren, um den Sachverhalt und das Ausmaß zu untersuchen und gegebenenfalls Gegenmaßnahmen einleiten zu können, bevor ein Problem zu einem großen Problem wird. So wird vermieden, dass ein*e Mitarbeiter*in sich eventuell nicht traut, wichtige Informationen weiterzuleiten oder zu melden. Daher dürfen keine Konsequenzen drohen.

Wir sehen: Spam und Schadsoftware sind ein weites Feld. Im nächsten Blogbeitrag schauen wir uns an, welche technischen Maßnahmen unterstützend ergriffen werden können, um die Gefahren einzudämmen, geben weitere Tipps und gehen auf weitere Don’ts ein.

Du brauchst rechtliche und technische Unterstützung? Wir helfen dir dabei! Erfahre hier, wie wir dich unterstützen können.


Zurück zu den News