Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 31.05.2022

Dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) werden häufig erfolgreiche Angriffe auf E-Mail-Accounts bayerischer Unternehmen gemeldet. Das BayLDA hat daher im Mai 2022 im Rahmen seiner Strategie anlassloser Stichprobenprüfungen eine weitere Präventionsprüfung eingeleitet, um Verantwortliche zu sensibilisieren und konkrete Hilfestellungen zum Schutz gegen diese Form von Cyberkriminalität aufzuzeigen.

BayLDA-Präsident Will erläutert die Zielsetzung: „E-Mail-Accounts sind immer noch die verwundbarste Stelle vieler Unternehmen, die Cyberkriminelle gerne nutzen. Ihre Absicherung gelingt nur, wenn zeitgemäße technische Schutzmaßnahmen vorliegen und zugleich ein hohes Maß an Aufklärung und Sensibilisierung der Nutzerinnen und Nutzer sichergestellt werden. Unsere Stichprobenprüfung ist auch für diejenigen Unternehmen, die wir dieses Mal nicht näher kontrollieren, ein wichtiger Impuls, ihre Schutzmaßnahmen zu überprüfen und zu aktualisieren.“

Cyberangriffe auf E-Mail-Accounts

E-Mail-Kommunikation zählt in der Mehrzahl der Unternehmen nach wie vor zu den zentralen Schnittstellen der geschäftlichen Kommunikation mit internen und externen Partnern. Aufgrund der Vielzahl elektronischer Nachrichten nutzen Kriminelle E-Mail-Dienste häufig für Cyberattacken mittels sorgfältig aufbereiteter E-Mails aus, um die Angeschriebenen zu bestimmten Handlungen zu verleiten, zum Beispiel geänderte Zahlungsdaten zu berücksichtigen, enthaltene Links anzuklicken oder einen Dateianhang zu öffnen.

Schäden einer Cyberattacke per E-Mail

Folgen die Empfänger den Anweisungen aus solchen E-Mails, drohen ganz unterschiedliche Schäden. Ein weit verbreitetes Phänomen ist die Manipulation von Zahlungsdaten, sodass etwa bei Bestellungen das Geld nicht an den richtigen Adressaten überwiesen wird. Weiterhin gängig sind auch klassische Phishing-Angriffe, bei denen zunächst das Passwort des Angeschriebenen erhalten werden soll, um Zugriff auf den E-Mail-Account zu gewinnen. Damit können nicht nur alle enthaltenen Informationen abgegriffen werden, sondern auch im Namen des Opfers durch Identitätsdiebstahl gezielt Nachrichten an alle Kontakte gesendet werden. Schadcodes verbreiten sich dadurch rasend schnell. So kann sich letztendlich auch Ransomware einnisten, die eine Verschlüsselung von Daten vornimmt und zunehmend vorher zur Erhöhung des Erpressungspotentials auch auf Server der Angreifer kopiert. Für die Betriebe, die Opfer eines solchen Schadcode-Befalls werden, sind die datenschutzrechtlichen und wirtschaftlichen Schäden besonders hoch.

Prävention durch Datenschutzkontrollen

Die mit Abstand wichtigste Maßnahme zum aktiven Schutz vor solchen Cyberattacken stellt die Sensibilisierung des eigenen Personals dar. Die Stabsstelle Prüfverfahren des BayLDA hat sich daher aufgrund der akuten Bedrohungslage im Cyberraum entschieden, nach dem Bereich Ransomware nun auch die Absicherung von E-Mail-Accounts großflächig im Bayern zu kontrollieren. Im Rahmen der Präventionsprüfung werden grundlegende Sicherheitsmaßnahmen bei den geprüften Betrieben abgefragt. Zugleich werden ihnen wie auch den nicht beteiligten Unternehmen in Bayern Informationsmaterialien bereit gestellt, die eine eigenverantwortliche Kontrolle der maßgeblichen Bausteine eines Sicherheitskonzepts erleichtern, etwa eine Checkliste zu den wichtigsten Handlungsfeldern Phishing-Awareness und Sicherheitsbewusstsein, Passwörter, Zwei-Faktor-Authentifizierung und Benutzerverwaltung, Pflege und Konfiguration der Accounts, Überprüfung des Datenverkehrs sowie Device- und Patch Management einschließlich Backup-Konzept.

Will, Präsident des BayLDA, appelliert gerade an kleine und mittlere Unternehmen, diese neuen Informationsangebote zu Datenschutz und Cybersicherheit sorgfältig für sich auszuwerten: „Cyberbedrohungen sind längst nicht mehr nur ein Risiko der großen, prominenten Unternehmen. Immer besser organsierte und ausgestattete kriminelle Organisationen nutzen allzu zielgenau aus, dass gerade kleinere und mittelständische Betriebe bei der Absicherung ihrer eigenen Systeme oft noch viel zu sorglos vorgehen – das spiegeln die aktuellen Meldungen von Datenschutzverletzungen bei uns wider. Wir haben uns daher vorgenommen, den Präventionsaspekt unserer Datenschutzkontrollen weiter auszubauen und durch gezielte Angebote zu verbreitern.“

Quelle: E-Mail-Accounts im Visier von Cyberkriminellen