Prüfung der Aufsicht: Wie sicher sind die E-Mail-Accounts von Unternehmen?

Cyberkriminalität: Immer mehr Unternehmen sind betroffen

„Dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) werden häufig erfolgreiche Angriffe auf E-Mail-Accounts bayerischer Unternehmen gemeldet“, erklärt Michael Will, der Präsident des BayLDA in einer Pressemitteilung. „E-Mail-Accounts sind immer noch die verwundbarste Stelle vieler Unternehmen, die Cyberkriminelle gerne nutzen.“

Hohes Risiko auch für kleine und mittlere Unternehmen

Das Risiko ist laut Will hoch – und das nicht nur bei „großen, prominenten Unternehmen“, sondern gerade auch bei kleinen und mittleren Unternehmen: „Immer besser organsierte und ausgestattete kriminelle Organisationen nutzen allzu zielgenau aus, dass gerade kleinere und mittelständische Betriebe bei der Absicherung ihrer eigenen Systeme oft noch viel zu sorglos vorgehen.“

Die Datenschutzbehörde will Verantwortliche sensibilisieren und konkrete Hilfestellungen zum Schutz gegen diese Form von Cyberkriminalität aufzeigen.

BayLDA prüft präventiv

Deshalb startete die Stabsstelle Prüfverfahren des BayLDA im Mai – im Rahmen seiner Strategie anlassloser Stichproben-Prüfungen – eine großflächige Präventionsprüfung zur Absicherung von E-Mail-Accounts und hat einen Brief an etliche Unternehmen geschickt.

„Unsere Stichprobenprüfung ist auch für diejenigen Unternehmen, die wir dieses Mal nicht näher kontrollieren, ein wichtiger Impuls, ihre Schutzmaßnahmen zu überprüfen und zu aktualisieren“, ist sich Will sicher. Sie können auch ohne Aufforderung den Prüfbogen zur Absicherung von E-Mail-Accounts auf der Website der Behörde ausfüllen.

Personal sensibilisieren

„Die mit Abstand wichtigste Maßnahme zum aktiven Schutz vor solchen Cyberattacken stellt die Sensibilisierung des eigenen Personals dar“, betont der Präsident des BayLDA. Denn bei den Mitarbeitern landen die kriminellen E-Mails, die oft „sorgfältig aufbereitet“ sind, „um die Angeschriebenen zu bestimmten Handlungen zu verleiten“.

Anweisungen in E-Mails ignorieren

Für die Empfänger solcher E-Mails hat Will vor allem einen Tipp: Niemals den Anweisungen in der Nachricht folgen!

Andernfalls drohen ganz unterschiedliche datenschutzrechtliche und wirtschaftliche Schäden:

• Durch die Manipulation von Zahlungsdaten kann Geld an falsche Empfänger überwiesen werden.
• Durch die Abfrage eines Passworts können Cyberkriminelle auf alle Informationen des gesamten E-Mail-Account zugreifen und
• durch Identitätsdiebstahl im Namen des Opfers gezielt Nachrichten an alle Kontakte verschicken.
• Durch Schadcodes kann sich Ransomware einnisten, die eine Verschlüsselung von Daten vornimmt und – zur Erhöhung des Erpressungspotenzials – auch auf Server der Angreifer kopiert (wir berichteten).

Informationen für Unternehmen

Damit Unternehmen gut informiert sind, hat das BayLDA auf seiner Webseite

• eine Handreichung zum Prüfbogen
• und das Informationsblatt „Absicherung von E-Mail-Accounts zum Schutz vor Phishing und Cyberattacken“

veröffentlicht.

Sie enthalten Tipps rund um Phishing-Awareness und Sicherheitsbewusstsein, Passwörter, Zwei-Faktor-Authentifizierung und Benutzerverwaltung, Pflege und Konfiguration der Accounts, Überprüfung des Datenverkehrs sowie Device- und Patch-Management einschließlich Backup-Konzept.

Die Veröffentlichungen im Überblick:

• Pressemitteilung des BayLDA vom 2. Juni 2022: https://www.lda.bayern.de/media/pm/pm2022_02.pdf
• Anschreiben des BayLDA an Unternehmen: https://www.lda.bayern.de/media/pruefungen/Mail_Account_Praevention_Anschreiben.pdf
• Prüfbogen des BayLDA zur Absicherung von E-Mail-Accounts: https://www.lda.bayern.de/de/datenschutzkontrolle_mail.html
• Handreichung zum Prüfbogen: https://www.lda.bayern.de/media/pruefungen/Mail_Account_Praevention_Handreichung.pdf
• Antwortbogen zum Prüfbogen: https://www.lda.bayern.de/media/pruefungen/Mail_Account_Praevention_Pruefbogen.pdf
• Informationsblatt „Absicherung von E-Mail-Accounts zum Schutz vor Phishing und Cyberattacken“: https://www.lda.bayern.de/media/pruefungen/Mail_Account_Praevention_Informationsblatt.pdf