[datensicherheit.de, 07.06.2019] Dass sich Cyber-Kriminelle derzeit die Korrektheit der Deutschen zunutze machen und Mahnungen im „GEZ“-Layout (offiziell: ARD ZDF Deutschlandradio Beitragsservice) verschicken, kommentiert Michael Heuer, „VP Central Europe“ bei Mimecast. Der sogenannte GEZ-Trojaner, ein „Windows“-Schädling, wird demnach über gefälschte E-Mails versendet. Dieser Fall zeige noch einmal deutlich, dass ein umfassendes und ineinander greifendes Sicherheitskonzept von der Vorbereitung bis hin zur Nachbereitung vorhanden sein müsse. Unternehmen dürften sich nicht ausschließlich auf die Abwehr von Cyber-Angriffen konzentrieren, sondern müssten Resilienz aufbauen, „um nicht erst zum Opfer zu werden“, sagt Heuer.

Sehr realistisch wirkende Fake-Mails

„Ankündigung der Zwangsvollstreckung – Beitragsservice“ – diese Betreffzeile finde sich aktuell in vielen E-Mail-Posteingängen. Getarnt als Mahnung und Androhung einer Zwangsvollstreckung machten sich Cyber-Kriminelle laut Medienberichten die Korrektheit der deutschen Bürger zunutze und versendeten Nachrichten mit gefährlichem Anhang, berichtet Heuer.
Diese sehr realistisch wirkenden, im Namen der öffentlich-rechtlichen Rundfunksender verschickten Fake-Mails bezichtigten den Empfänger im Zahlungsverzug zu sein und drohten, dass bei ausbleibender Begleichung des Beitrags eine Zwangsvollstreckung drohe.

Unscheinbar wirkendes „Word“-Dokument im Anhang

In der gefälschten E-Mail werde das Opfer darauf hingewiesen, dass im Anhang eine genaue Beschreibung der nächsten Handlungsschritte zu finden sei. Doch dieses unscheinbar wirkende „Word“-Dokument habe es in sich.
Das Öffnen allein sei dabei noch nicht gefährlich. Die Angreifer wiesen aber darauf hin, dass für die vollständige Einsicht des Dokuments die Bearbeitung und der Inhalt aktiviert werden müssten – „sobald dies geschieht, befindet sich der Trojaner auf dem Computer und kann sich von dort theoretisch im kompletten Netzwerk verbreiten“, warnt Heuer.

91% aller Cyber-Attacken mit E-Mail gestartet

Die Gefahr durch diese Art der Angriffe werde häufig unterschätzt – dabei sei es sicherlich kein Zufall, dass 91 Prozent aller Cyber-Attacken mit einer E-Mail starteten. Heuer führt aus: „IT-Experten weisen in diesem Fall darauf hin, dass eine rein reaktive Abwehr oder Erkennung von Viren nicht ausreichend ist.“
Auch der menschliche Faktor spiele gerade in diesem Fall eine große Rolle. Unternehmen müssten deshalb resilient werden, um jederzeit die Handlungsfähigkeit und Robustheit von Prozessen garantieren zu können.

Cyber-Resilienz: Vorbereitung, Verteidigung und Nachbereitung

Ein Ansatz zur Cyber-Resilienz könne sich dabei vereinfacht in drei Bereiche einteilen lassen: Vorbereitung, Verteidigung und Nachbereitung.
„Es ist schon vor einem Angriff wichtig, proaktiv Maßnahmen zu treffen und einen Schutz aufzubauen“, empfiehlt Heuer. Bereits hierbei müsse auch der „Faktor Mensch“ berücksichtigt werden – Schulungen und Trainings sollten fest in den Alltag von Unternehmen integriert sein und regelmäßig stattfinden.

„Business Continuity“ – nahtloser Zugriff auf Back-ups und archivierte Daten

Gängige Schutzmaßnahmen seien während eines Angriffs natürlich immer noch unverzichtbar. Es müsse in dieser Phase allerdings auch die Fähigkeit, den Betrieb weiterhin am Laufen zu halten, berücksichtigt werden – „Business Continuity ist hier das Stichwort“, so Heuer.
Angestellte dürften in ihrer Operationsfähigkeit und Kommunikation nicht eingeschränkt werden – „auch wenn die Unternehmens-IT aufgrund einer erfolgreichen Attacke zeitweise nicht verfügbar ist“. Im Nachgang dürfe es ebenfalls nicht zu Unterbrechungen kommen. Hierzu sei ein nahtloser Zugriff auf Back-ups und archivierte Daten ein Muss.

Bild: Mimecast

Michael Heuer: Umfassendes und ineinander greifendes Sicherheitskonzept von der Vorbereitung bis zur Nachbereitung!

Weitere Informationen zum Thema:

heise online, 05.06.2019
Trojaner-Alarm: Vorsicht vor gefälschten Rundfunkbeitrag-Mails

datensicherheit.de, 03.02.2019
Microsoft 365-Nutzer konnten keine Links mehr öffnen

datensicherheit.de, 18.10.2018
CEO-Fraud: Mittelstand unterschätzt Gefahr des Cheftricks

datensicherheit.de, 04.07.2018
Cyber-Security: Viel höhere Budgets für E-Mail Sicherheit notwendig

[datensicherheit.de, 10.12.2012] Ab dem 1. Januar 2013 gilt der neue Rundfunkbeitrags-Staatsvertrag. Dann wird es keine gerätebezogenen Rundfunkgebühren mehr geben, sondern der Rundfunkbeitrag wird pro Wohnung und zwar unabhängig, ob ein Fernseher, Radio oder ein internetfähiger Computer vorhanden ist, entrichtet. Es fallen für jeden Haushalt 17,98 Euro an. Es wird ein Stichtag festgelegt, an dem Melderegisterdaten, wie der Vor- und Familienname, gegenwärtige und frühere Anschriften, Haupt- und Nebenwohnung, Tag des Ein- oder Auszugs, Familienstand sowie Sterbetag an die GEZ übermittelt werden. Demnach würden sämtliche Melderegister von den Mitarbeitern der staatnahen Institution stärker durchleuchtet. Bereits 2003 erhielt die GEZ den „Big Brother Award“ – einen Negativpreis für die rücksichtslose Eintreibung von Daten. Dabei nutzten die Gebühreneintreiber oft rechtliche Grauzonen und die Unwissenheit der Bürger. Datenschutzexperte Dipl.-Inf. Christian Volkmer, Geschäftsführender Gesellschafter der Projekt 29 GmbH & Co. KG in Regensburg, ist alarmiert und möchte die Verbraucher aufklären. Er gibt Tipps für Haushalte und Unternehmen im Umgang mit personenbezogenen Daten.
Laut einer Studie der Kommission zur Ermittlung des Finanzbedarfs der Rundfunkanstalten (KEF) sorge eine wachsende Zahl von Gebührenbefreiungen sowie eine zurückgehende Zahlungsbereitschaft der Nutzer für jährliche Einnahmeverluste. Die Forderungen der Gebühreneinzugszentrale (GEZ) beliefen sich nach KEF auf 753 Millionen bis 822 Millionen Euro pro Jahr. Eine unausgeglichene Bilanz bei der GEZ verstärke den Zwang, noch hartnäckiger Daten einzutreiben, erläutert Datenschutzexperte Volkmer. Die GEZ könne in Zukunft noch intensiver nach Daten forschen. Die Formulierung der Befugnisse für die Datensammlung sei sehr weit gefasst, was den Datenschutzexperten massiv beunruhige.
Die Datenschutzbeauftragten der Länder befürchteten insbesondere ab dem 1. Januar 2013 eine Ausweitung bei der Geldeintreibung. Volkmer ist in der Gesellschaft für Datenschutz aktiv und kennt sich bestens mit der neuen Regelung aus – „Datenschutz“ und „GEZ“; diese beiden Begriffe hätten noch nie zusammen gepasst. Es sei bisweilen sogar vorgekommen, dass Datenfahnder Karteikarten mit persönlichen Daten verloren hätten, erzählt Volkmer.
Die Methoden der Gebühreneintreiber seien oftmals dreist. Die Institution nutze geschickt die rechtlichen Grauzonen und die Unwissenheit der Bürger mit Drohgebärden, sich hinziehenden Verfahren und Anonymisierungsstrategien zum Erfolg zu kommen. Sie verschicke trotz Widerstand gegen ihre Zahlungsaufforderung weiter Zahlungserinnerungen mit Säumnisgebühren, erschwere die Abmeldungen, fordere Gebühren und verschicke Zwangsanmeldungen ohne ausreichenden Nachweis empfangsbereiter Geräte. Dabei kehre sie gerne die Beweislast um – der Beschuldigte anstatt der GEZ müsse mit einer eidesstattlichen Versicherung beweisen, dass er keine Rundfunkgeräte zum Empfang besitzt. Auch bei Gerichtsverhandlungen habe die GEZ den längeren Atem. Die Gebühreneintreiber hätten einen modernen Verwaltungsapparat, um an die Daten zu kommen. Sich bei unklaren Sachlagen als Bürger richtig zu verhalten, sei nicht einfach. Daher rät Volkmer: „In Fällen zum Umgang mit personenbezogenen Daten im Rahmen des Gebühreneinzugs sollte man einen Datenschutz-Experten kontaktieren und nicht kampflos aufgeben.“