[datensicherheit.de, 13.03.2026] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Meike Kamp, lädt nun bereits zum dritten Mal in Kooperation mit dem „Jugendnetz Berlin“ am 25. März 2026 zu einem Fachtag für pädagogische Fachkräfte in Berlin ein. Erörtert werden sollen dabei die Fragen: „Wie können Kinder und Jugendliche in Zeiten von allgegenwärtigen Social-Media-Plattformen, Live-Streaming und KI-Anwendungen für den Schutz ihrer Daten sensibilisiert werden? Wie vermittelt man ihnen die nötigen Kompetenzen?“

© Annette Koroll

Meike Kamp betont: Medienpädagogik bedeutet weit mehr, als digitale „Tools“ zu vermitteln!

3. Fachtag „Datenschutz trifft Medienkompetenz“

Mittwoch, 25.03.2026, 09.00 bis 15.30 Uhr
Haus der Jugend Charlottenburg, Zillestraße 54 in 10585 Berlin
Teilnahme kostenfrei – Online-Anmeldung erforderlich.

• Den oben genannten Themen soll sich der Fachtag im Medienkompetenzzentrum Charlottenburg-Wilmersdorf widmen. Pädagogische Fachkräfte und Vertreter der Kinder- und Jugendarbeit sind demnach eingeladen, sich dort unter anderem über digitale Selbstverteidigung, KI-Werkzeuge im Lernkontext oder Live-Streaming von Kindern auszutauschen.

Auf dem Programm stehen Vorträge, Workshops und „viel Raum für die drängendsten Fragen zu Datenschutz und Medienbildung“. Die Teilnahme ist laut BlnBDI kostenfrei – die Anmeldung über die Website vom „Jugendnetz Berlin“ möglich und erbeten.

Synergetischer Austausch zwischen Fachkräften und Datenschutzaufsicht

Meike Kamp, die BlnBDI, führt aus: „Medienpädagogik bedeutet weit mehr, als digitale ,Tools’ zu vermitteln: Sie fördert kritisches Denken, stärkt Schutzmechanismen und befähigt Kinder und Jugendliche, sich sicher und selbstbestimmt in der digitalen Welt zu bewegen.“

• Der diesjährige Fachtag biete bereits zum dritten Mal Raum für den Austausch zwischen Fachkräften und Datenschutzaufsicht.

„Denn nur wer die Mechanismen hinter den digitalen Medien versteht, kann junge Menschen wirklich dabei unterstützen, souverän und sicher unterwegs zu sein!“, gibt Kamp zu bedenken.

Funktionierender Datenschutz wichtiges Gut einer demokratischen Gesellschaft

Alexander Behrens, Geschäftsführer Jugend- und Familienstiftung des Landes Berlin (jfsb), ergänzt: „Funktionierender Datenschutz ist ein wichtiges Gut in demokratischen Gesellschaften. Mit dem medienpädagogischen Landesprogramm ,jugendnetz.berlin’ sensibilisieren wir Kinder, Jugendliche und Eltern sowie Fachkräfte der Kinder- und Jugendhilfe für das Thema und fördern ihre Expertise für eine gelingende und sichere Teilhabe in der digitalisierten Gesellschaft.“

• Diese Veranstaltung versteht sich als Teil der medienpädagogischen BlnBDI-Arbeit: Auf ihrer Website „data-kids.de“ stellt sie zudem altersgerechte Materialien bereit und informiert Kinder, Eltern und Lehrkräfte zum Thema Datenschutz. Für Berliner Schulen werden ferner kostenlose Workshops zu den Themen „Datenschutz für Kinder“ und „Likes, Fame und deine Daten“ angeboten.

Das Landesprogramm „jugendnetz.berlin“ soll in allen zwölf Berliner Bezirken die Medienkompetenzzentren unterstützen und vernetzen. „Sie sind die zentralen Netzwerkpartner für die Entwicklung und Bereitstellung von zeitgemäßen und an der Lebenswelt von Kindern und Jugendlichen orientierten medienpädagogischen Angeboten in Berlin.“

Weitere Informationen zum Thema und Anmeldung:

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Über uns / Die Beauftragte für Datenschutz und Informationsfreiheit / Am 6. Oktober 2022 wurde Meike Kamp zur Berliner Beauftragten für Datenschutz und Informationsfreiheit gewählt. Seit ihrer Ernennung am 15. November 2022 leitet sie die Behörde.

jugendnetz berlin
über uns: Das Landesprogramm jugendnetz.berlin

jugendnetz berlin
3. Fachtag Datenschutz trifft Medienkompetenz

Datenschutz trifft Medienkompetenz
25. März 2026 – Anmeldung

Data-Kids
Video: Was sind Daten und wer beschützt sie?

jfsb Jugend- und Familienstiftung des Landes Berlin
Geschäftsstelle für alle und alles

datensicherheit.de, 19.02.2026
eco: Digitalen Kinder- und Jugendschutz weiterentwickeln und digitale Teilhabe erhalten / eco-Verband fordert EU-weit einheitliche Lösungsansätze statt nationaler Insellösungen – Vielschichtigkeit der Web-Dienste bei der Weiterentwicklung der Schutzmechanismen sollte konsequent berücksichtigt und technologieoffen gedacht werden

datensicherheit.de, 27.05.2025
Medienkompetenz und digitales Know-how für Kinder werden immer wichtiger / 2024 nutzten bereits über 50 Prozent der sechs- bis siebenjährigen Kinder ein Smartphone – bei den zehn- bis elfjährigen sogar 90 Prozent

[datensicherheit.de, 08.03.2026] Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) lädt zu einer Online-Diskussion im Rahmen ihrer Reihe „Perspektivwechsel“ am 18. März 2026 ein: „Immer mehr Daten für US-Behörden – Wie gläsern werden USA-Reisende?“ Die Veranstaltung wird moderiert von Dr. Alexander Dix, stv. EAID-Vorsitzender.

Immer mehr Daten für US-Behörden – Wie gläsern werden USA-Reisende?

Mittwoch, 18. März 2026, 16.00 bis 17.00 Uhr
Online-Diskussion mit Malte Spitz, Generalsekretär der Gesellschaft für Freiheitsrechte
via „GoTo“
Teilnahme kostenlos, Anmeldung per E-Mail erbeten unter anmeldung_18_03_26@eaid-berlin.de

Nach einem kurzen Impuls des Referenten besteht Gelegenheit zur Diskussion.

US-Einreiseregeln sehen künftig vor, dass Touristen bei visumfreier Einreise zahlreiche persönliche Daten preiszugeben haben

Die von der Trump-Administration geplanten verschärften Einreiseregeln sehen demnach vor, dass die Reisenden bei der visumfreien Einreise im Rahmen der Beantragung einer elektronischen Einreisegenehmigung auch ihre Social-Media-Konten der letzten fünf Jahre (z.B. Benutzername), Telefonnummern, E-Mail-Adressen, Namen und Kontaktinformationen von Familienmitgliedern und andere persönliche Kontakte) offenlegen müssen.

• Darüber hinaus sollen die Herkunftsländer – soweit verfügbar – erweiterte biometrische Angaben über die Reisenden liefern (z.B. Gesichtsdaten, Fingerabdrücke).

„Es ist zweifelhaft, inwieweit diese zusätzlichen Datenerhebungen mit dem deutschen und dem europäischen Recht vereinbar sind. Wir wollen darüber sprechen, ob es Möglichkeiten gibt, den mit Sicherheits-Argumenten begründeten Datenhunger der US-Behörden zu stoppen und wie die Europäische Union und Deutschland darauf reagieren sollten.“

Weitere Informationen zum Thema und Zugang zur Online-DIskussion:

Europäische Akademie für Informationsfreiheit und Datenschutz e.V.
Willkommen auf der Website der Europäischen Akademie für Informationsfreiheit und Datenschutz e.V.

GoTo, Karsten Neumann | EAID e.V.
Datenzugriff von US-Behörden bei Einreiseanträgen

Linkedin
Alexander Dix / Stellvertretender Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz

GFF GESELLSCHAFT FÜR FREIHEITSRECHTE
Wer wir sind

GFF GESELLSCHAFT FÜR FREIHEITSRECHTE
Malte Spitz: „Tag für Tag kämpfen wir für die Verteidigung unserer Grund- und Menschenrechte, wir sind die Rechtsschutzversicherung des Grundgesetzes.“

Handelsblatt, 18.02.2026
Vereinigte Staaten: Unsicherheiten um USA-Einreise: Was Urlauber wissen müssen

tagesschau, 15.02.2026
Neue Visaregeln: Was Reisende in die USA jetzt wissen müssen

datensicherheit.de, 11.04.2025
Eine variable Größe: Wie die USA, China und die EU mit dem Datenschutz umgehen​ / Datenschutz ein wichtiger Indikator für das Werteverständnis eines Landes oder eines Staatenbundes

[datensicherheit.de, 02.02.2026] Nach aktuellen Erkenntnissen der Cybersicherheitsexperten bei Surfshark hat es 2025 einen massiven Anstieg der Verluste durch Deepfake-Betrug gegeben: „Die Zahlen sind auf über 1,1 Milliarden Dollar gestiegen, was einer Verdreifachung gegenüber den 360 Millionen Dollar im Jahr 2024 entspricht – eine beachtliche Steigerung um das Neunfache gegenüber den zwischen 2020 und 2023 verzeichneten 128 Millionen Dollar.“ Social-Media-Plattformen spielten eine zentrale Rolle bei diesen Betrügereien: 83 Prozent aller Verluste durch Deepfakes hatten demnach ihren Ursprung auf diesen Web-Plattformen.

Abbildung: Surfshark

Deepfake-Betrug nimmt zu: Insbesondere „facebook“ im Visier Cyberkrimineller

Die drei am meisten missbrauchten Web-Plattformen für Deepfake-Kampagnen

Diese drei Web-Plattformen seien für 93 Prozent der in Sozialen Medien initiierten Deepfake-Betrugsverluste entscheidend:  „facebook“ habe mit Verlusten von 491 Millionen US-Dollar an der Spitze gelegen – gefolgt von „WhatsApp“ mit 199 Millionen US-Dollar und „Telegram“ mit 167 Millionen US-Dollar.

• Andere Social-Media-Plattformen wie etwa „TikTok“, „Instagram“ und „Threads“ machten fast 36 Millionen US-Dollar an Verlusten aus, während weitere Verluste in Höhe von 31 Millionen US-Dollar auf unbekannten Web-Plattformen entstanden seien.

„Es überrascht kaum, dass Deepfake-Betrug in Sozialen Medien floriert. Die vielen Betrugsfälle auf diesen Plattformen haben wahrscheinlich zwei Hauptgründe: ,facebook’ bleibt die weltweit größte Social-Media-Plattform, was sie für Betrüger statistisch gesehen profitabler und logischer macht, um diesen Kanal zu nutzen“, kommentiert Miguel Fornes, „Information Security Manager“ bei Surfshark.

Beliebte Deepfake-Betrugsmasche: Identitätsdiebstahl prominenter Personen

Andererseits profitierten „WhatsApp“ und „Telegram“ von einem psychologischen Vertrauensvorschuss, da diese Web-Plattformen üblicherweise für enge Freunde und Kollegen gedacht seien – „kurz gesagt, für Menschen, denen wir bereits vertrauen“. Dies führe dazu, dass den über diese Kanäle geteilten Inhalten eher Glauben geschenkt werde.

• Die häufigsten Deepfake-Betrugsmaschen im Jahr 2025 seien Fälle, in denen sich Betrüger als Prominente ausgegeben hätten, um für fiktive Investitionsmöglichkeiten zu werben. „Diese Art von Betrug machte 80 Prozent der gesamten Deepfake-Verluste aus und war für 96 Prozent der Verluste auf Social-Media-Plattformen verantwortlich, was insgesamt 886 Millionen Dollar entspricht.“

Betrüger hätten Deepfake-Videos und -Audiodateien genutzt, um sich überzeugend als Prominente, Unternehmenschefs oder Finanzexperten auszugeben und ihre Opfer dazu zu bringen, ihnen zu vertrauen und in Scheingeschäfte zu investieren. Einer der bekanntesten Fälle betrifft laut Fornes das britische Ingenieurbüro Arup: „Hier nahm ein Finanzmitarbeiter an einer Videokonferenz teil, bei der alle außer dem Opfer Deepfakes waren. Ein mit Deepfake erzeugter CFO brachte ihn dazu, eine Zahlung in Höhe von 25 Millionen US-Dollar zu leisten.“

„Romance Scam“ ebenfalls sehr beliebte Deepfake-Masche

Eine weitere nennenswerte Art des Deepfake-Betrugs sei der sogenannte Liebesbetrug („Romance Scam“), bei dem Kriminelle realistische Videos und Audioaufnahmen nutzten, um gefälschte Liebesbeziehungen zu Opfern aufzubauen. Später forderten sie Geld für angebliche gesundheitliche Notfälle oder überzeugten die Opfer, in betrügerische Geschäfte zu investieren.

• In 57 Prozent der Fälle seien Frauen die Zielgruppe, während Männer 43 Prozent ausmachten. Durch Liebesbetrug seien Verluste in Höhe von schätzungsweise zehn Millionen US-Dollar entstanden.

Ein bemerkenswertes Szenario seien die wiederkehrenden Betrugsfälle unter Missbrauch des Bildes des US-Schauspielers Brad Pitt, wie etwa bei einer Person in Frankreich, welche 850.000 US-Dollar verloren habe, oder zwei Personen in Spanien, welche insgesamt 385.000 US-Dollar verloren hätten.

Deepfake-Abwehrmaßnahmen – es besteht weiter Handlungsbedarf

Laut Fornes haben Unternehmen wie Meta in der Vergangenheit zwar hervorragende Arbeit mit menschlichen Content-Moderatoren verrichtet und setzen diese weiterhin zur Bekämpfung von Deepfakes ein.

• Der vielversprechende C2PA-Standard werde zwar immer mehr eingesetzt, um die Herkunft von Medieninhalten kryptographisch zu überprüfen und Deepfakes zu bekämpfen, aber die traurige Wahrheit sei, dass Unternehmen im Moment viel mehr tun müssten, um das Problem richtig in den Griff zu bekommen.

In der Zwischenzeit sollten sich die Verbraucher dieser Gefahr bewusst sein und sich dieser Entwicklung anpassen, um nicht als „kleiner Fisch“ in den riesigen „Schleppnetzen“ der Deepfake-Betrüger zu enden.

Miguel Fornes gibt Empfehlungen zum Umgang mit potenziellen Deepfake-Atatcken

Surfshark gibt Verbrauchern die folgenden Ratschläge:

Achten Sie auf visuelle Auffälligkeiten!
Erscheinungen wie unnatürliche Beleuchtung oder Inkonsistenzen im Gesicht sowie Audio-Anomalien, wie Unregelmäßigkeiten im Rhythmus oder schlechte Lippensynchronisation.

Die Quelle muss überprüft werden!
Man könne nicht mehr einfach glauben, was man sieht: „Wenn ein Video ein Unternehmen bei einer bahnbrechenden Ankündigung oder einen Prominenten bei einer Verlosung zeigt, sollten Sie das Video ignorieren und stattdessen die offizielle Website besuchen!“

Keine Risiken bei Angeboten von „Prominenten“ eingehen!
Die Tatsache, dass 80 Prozent der Deepfake-Verluste mit für Investitionen werbenden Prominenten in Verbindung stünden, sei das größte Warnsignal.

Seien Sie bei privaten Nachrichten vorsichtig!
„Seien Sie sich darüber im Klaren, dass eine weitergeleitete Nachricht von ,Onkel John’ oder ,Kindergartengruppe’ keine verifizierte Quelle hat. Bleiben Sie auch bei privaten Plattformen immer wachsam!“

Schützen Sie Ihre „Trainingsdaten“!
Deepfakes benötigten Daten (Fotos und Audio), um die Künstliche Intelligenz (KI) zu trainieren. „Überprüfen Sie daher Ihre Datenschutzeinstellungen in den Sozialen Medien und beschränken Sie Ihr Profil nach Möglichkeit auf ,Nur Freunde’. Laden Sie nach Möglichkeit keine Videoclips mit hoher Bildqualität hoch, in denen Sie direkt in die Kamera sprechen!“ Solche Videodateien seien für Betrüger nämlich besonders wertvoll, um die Stimme und das Aussehen des Opfers zu kopieren.

Achten Sie auf die typischen Warnsignale für Betrug!
Deepfakes seien nur eine neue Verpackung für altbekannte Betrugsmethoden. „Seien Sie besonders aufmerksam, wenn Medieninhalte spektakuläre Gewinne versprechen, an Ihre Emotionen appellieren, um Sie von etwas zu überzeugen, oder wenn eine unerwartete Romanze plötzlich eine finanzielle Wendung nimmt. Misstrauen Sie auch ungewöhnlichen Anfragen oder Kommunikation über unerwartete Kanäle!“

Vereinbaren Sie ein „Sicherheitswort“ für die Familie!
„Legen Sie noch heute mit Ihren engsten Familienmitgliedern ein einfaches Sicherheitswort oder eine einfache Sicherheitsfrage fest: Wenn jemand anruft und behauptet, in einer Notlage zu sein (entführt, verhaftet, Krankenhaus) und Geld benötigt, fragen Sie nach dem Sicherheitswort!“

Weitere Informationen zum Thema:

Surfshark
Wir entwickeln die populärsten Sicherheitsprodukte für Menschen in der ganzen Welt / Unser Ziel ist es, Menschen die volle Kontrolle über ihr digitales Leben zu ermöglichen, das Bewusstsein für die sich entwickelnden Online-Bedrohungen zu schärfen, Barrierefreiheit zu fördern und die Zukunft des Internets zu sichern. Wir arbeiten an einer Zukunft, in der das Internet eine offene, integrative und unschätzbare globale Ressource für alle bleibt.

THE ORG
Miguel Fornés – Governance & Compliance Manager

Surfshark, 27.01.2026
Facebook led in deepfake-related fraud in 2025

C2PA Coalition for Content Provenance and Authenticity
Advancing digital content transparency and authenticity / The Coalition for Content Provenance and Authenticity, or C2PA, provides an open technical standard for publishers, creators and consumers to establish the origin and edits of digital content. It’s called Content Credentials, and it ensures content complies with standards as the digital ecosystem evolves.

BBC, Laura Gozzi, 15.01.2025
AI Brad Pitt dupes French woman out of €830,000

The Guardian, 23.09.2024
Spanish police arrest five people over fake Brad Pitt scam / Suspects accused of conning two women out of €325,000 by pretending to be Hollywood star online

CNN Business, Kathleen Magramo, 17.05.2024
British engineering giant Arup revealed as $25 million deepfake scam victim

datensicherheit.de, 19.12.2025
Bekämpfung von KI-gestütztem Social Engineering: KnowBe4 stellt Deepfake-Training bereit / KnowBe4 hat als Anbieter einer weltweit renommierten Plattform, welche sich umfassend mit „Human Risk Management“ und agentenbasierter KI befasst, nun eine Deepfake-Schulung vorgestellt

datensicherheit.de, 08.12.2025
Deepfake-Angriffe: 2025 von quantitativer Zunahme wie qualitativer Raffinesse geprägt / Sowohl quanti- als auch qualitativ haben KI-basierte Betrugsfälle 2025 merklich zugelegt – bei jedem fünften von ihnen wird mittlerweile auf Deepfakes gesetzt

datensicherheit.de, 14.10.2025
KI-basierte Betrugsmethoden: Wenn Deepfakes zur Waffe werden / Künstliche Intelligenz (KI) wird zunehmend zur Waffe in den Händen von Kriminellen. Während wir noch über die Chancen der Digitalisierung diskutieren, nutzen Betrüger bereits hoch entwickelte KI-Tools, um perfekte Fälschungen zu erstellen, die selbst Experten täuschen können und eine Herausforderung für Ermittler und Unternehmen darstellen

datensicherheit.de, 22.09.2025
Deepfakes in Echtzeit ab 30 US-Dollar im Darknet angeboten / Kaspersky-Experten vom „Global Research and Analysis Team“ (GReAT) haben in Untergrundforen Anzeigen entdeckt, die Echtzeit-Deepfakes für Video und Audio günstig anbieten

datensicherheit.de, 17.08.2025
Deepfakes 2025: Zuvor KI-Spielerei und heute bedrohliches Hacker-Tool / Marco Eggerling warnt anhand jüngster Fälle von Cyberangriffen mittels Deepfakes, dass diese auf KI basierene Technologie zum neuen Standardwerkzeug für Hacker geworden ist

[datensicherheit.de, 25.10.2025] Nach aktuellen Erkenntnissen des Branchenverbands Bitkom e.V. sind lokale Web-Communities, „facebook“ und „Instagram“ die beliebtesten Internet-Plattformen bei Handwerksunternehmen – ansonsten werden eigene Websites und Eintragungen in Online-Verzeichnisse genutzt.

Foto: Bitkom e.V.

Nastassja Hofmann: Social-Media-Plattformen bieten dem Handwerk große Chancen zur Adressierung von Kunden sowie Nachwuchs- und Fachkräften

Handwerksunternehmen setzen auf „Nebenan.de“, „Nachbarschaft.net“ sowie „facebook“ u.a.

„Ein Blick hinter die Kulissen auf der Baustelle, in der Bäckerei oder im Friseursalon, Erfahrungsberichte von Azubis oder 360-Grad-Aufnahmen des fertigen Produkts“ – solche Beiträge finden sich laut Bitkom typischerweise auf den Social-Media-Profilen deutscher Handwerksunternehmen.

• „Und das auch immer häufiger, denn inzwischen nutzt bereits mehr als die Hälfte der Unternehmen eine eigene Präsenz oder Werbung in Sozialen Medien, um auf sich aufmerksam zu machen (56%). Vor drei Jahren waren es erst 40 Prozent (2022).“ Dies seien Ergebnisse einer repräsentativen Studie im Auftrag des Digitalverbands Bitkom unter 504 Handwerksunternehmen in Deutschland. Die Befragung habe im Zeitraum der Kalenderwochen 23 bis 29 2025 stattgefunden.

Die Plattformen der Wahl bei den Unternehmen, welche in Sozialen Medien vertreten sind, seien dabei vor allem lokale Web-Communities wie „Nebenan.de“ oder „Nachbarschaft.net“ (65%) sowie „facebook“ (57%). Mit etwas Abstand folgten dann „Instagram“ (38%), „LinkedIn“ (35%) und „Xing“ (33%).

94 Prozent der Handwerksunternehmen mit eigener Website

Plattformen wie „X“ (vormals „twitter, 12%), „TikTok“ (7%) und „YouTube“ (6%) seien bei den Handwerksunternehmen derzeit eher weniger verbreitet. „Social-Media-Plattformen bieten für das Handwerk große Chancen – nicht nur, um neue Kundinnen und Kunden zu gewinnen, sondern auch, um gezielt Nachwuchs- und Fachkräfte anzusprechen“, kommentiert Nastassja Hofmann, Handwerks-Expertin beim Bitkom.

• Neben den Sozialen Medien kämen aber auch noch andere Möglichkeiten des Online-Auftritts im Handwerk zum Einsatz: Fast jedes Unternehmen besitze eine eigene Website (94%); viele hätten sich außerdem in Verzeichnisse wie „GelbeSeiten.de“ oder „DasOertliche.de“ eintragen lassen (88%). Zudem seien auch auf Bewertungsplattformen wie „Yelp“ oder „Trustpilot“ Eintragungen von Handwerksunternehmen keine Seltenheit – vier von zehn deutschen Handwerksunternehmen seien dort zu finden (40%).

Um die eigenen Leistungen zu bewerben, schalte zudem über ein Drittel Werbeanzeigen im Netz (37%), jeweils etwa drei von zehn Unternehmen bedienten sich der Möglichkeit des E-Mail- bzw. Newsletter-Marketings (32%) oder seien auf Online-Plattformen wie „MyHammer“, „Treatwell“ oder „Kleinanzeigen“ vertreten (31 Prozent).

Weitere Informationen zum Thema:

bitkom
Über uns

bitkom
Nastassja Hofmann: Referentin Retail & PropTech Bitkom e.V.

datensicherheit.de, 23.12.2021
Social Media eines der Hauptziele von Hackern / Social Media-Plattformen wachsen ununterbrochen

datensicherheit.de, 20.10.2025
Künftig einfacher und sicherer: Neue C1-Klasse eröffnet Handwerk erweiterte Chancen beim Drohneneinsatz / Wärmebild-Drohnen können fortan einfacher und rechtssicher eingesetzt werden – C1-Klassifizierung senkt Hürden für deren Einsatz zur Dachinspektion, PV-Prüfung und Energieberatung

[datensicherheit.de, 26.08.2025] Nach aktuellen Erkenntnissen des Branchenverbands Bitkom e.V. gilt „facebook“ momentan als die meistgenutzte Social-Media-Plattform von Unternehmen in Deutschland: „48 Prozent sind dort mit einem eigenen Profil vertreten.“ Praktisch gleichauf liege das Unternehmensnetzwerk „XING“, wo 47 Prozent ein Profil hätten sowie „YouTube“ (43%) und „LinkedIn“ (36%) – 35 Prozent der Unternehmen nutzten inzwischen „Instagram“. Grundlage dieser Angaben ist demnach eine Umfrage, die Bitkom Research im Auftrag durchgeführt hat. „Dabei wurden 602 Unternehmen ab 20 Beschäftigten in Deutschland telefonisch befragt. Die Befragung fand im Zeitraum von KW 10 bis KW 16 2025 statt. Die Umfrage ist repräsentativ.“

Foto: Bitkom e.V.

Dr. Bernhard Rohleder warnt: Verwaiste Social-Media-Auftritte schaden dem Image mehr als sie nutzen!

Für Unternehmen ist eine Social-Media-Präsenz heute geradezu zwingend

Insgesamt gäben 80 Prozent der befragten Unternehmen an, über mindestens ein Profil in einem Sozialen Netzwerk zu verfügen – damit verbleibe dieser Anteil auf einem stabil hohen Niveau (2023: 77%).

• „Für Unternehmen ist eine Präsenz in Sozialen Medien geradezu zwingend. Dort erreichen sie ihre Kundinnen und Kunden, neue Mitarbeiterinnen und Mitarbeiter und Geschäftspartner. Entscheidend ist, dass die Profile auch kontinuierlich gepflegt werden – verwaiste Social-Media-Auftritte schaden dem Image mehr als sie nutzen“, kommentiert der Bitkom-Hauptgeschäftsführer, Dr. Bernhard Rohleder.

Eine große Rolle spielten für Unternehmen auch lokale „Communities“ und Plattformen wie beispielsweise „nebenan.de“ – 30 Prozent seien dort vertreten. 27 Prozent hätten ein Profil bei Elon Musks Plattform „X“, vormals „twitter“ – ein Rückgang um fünf Prozentpunkte gegenüber 2023. 22 Prozent der Unternehmen gäben an, über ein Profil bei „TikTok“ zu verfügen.

85% wollen via Social-Media-Präsenz Bekanntheit des eigenen Unternehmens steigern

Der Grund, warum Unternehmen Soziale Medien nutzen: „85 Prozent wollen die Bekanntheit des eigenen Unternehmens steigern und 81 Prozent die Bekanntheit ihrer Marken oder Produkte.“

• Etwas weniger als drei Viertel (72%) gehe es um eine Verbesserung ihres Images und fast ebenso vielen (70%) um einen guten Kundenservice. Auch das Thema „Recruiting“ spiele eine große Rolle: „62 Prozent nutzen Soziale Medien, um potenzielle Mitarbeiterinnen und Mitarbeiter auf sich aufmerksam zu machen.“

37 Prozent der Unternehmen beobachteten über die Netzwerke ihre Wettbewerber und gut ein Drittel (34%) nutze solche Web- Plattformen auch zur besseren internen Kommunikation. „Kein einziges Unternehmen nutzt Soziale Netzwerke planlos ohne konkrete Ziele (0%).“

Weitere Informationen zum Thema:

bitkom
Über uns

bikokm
Dr. Bernhard Rohleder / Hauptgeschäftsführer Bitkom e.V.

datensicherheit.de, 23.12.2021
Social Media eines der Hauptziele von Hackern / Social Media-Plattformen wachsen ununterbrochen

datensicherheit.de, 19.10.2021
Check Point: Warnung vor Social Media als Phishing-Falle / Q3 Brand Phishing Report von Check Point veröffentlicht

datensicherheit.de, 08.07.2019
Social Media: Einfallstor für Cyber-Kriminelle / Für Unternehmen ein ernstzunehmendes Risiko, warnt Markus Kahmen

[datensicherheit.de, 17.01.2024] Aktuell sorge ein gefährlicher „Instagram“-Trend für Schlagzeilen. Nutzer forderten sich demnach gegenseitig auf, sich in mehreren Fragen vorzustellen. Der Trend „Get to know me“ habe inzwischen auch die „TikTok“-Community erfasst. „Für Social-Engineering-Spezialisten hat sich dadurch eine wahre Goldgrube geöffnet“, warnt Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme.

Foto: KnowBe4

Dr. Martin J. Krämer warnt davor, in Sozialen Netzwerken Einblicke in die eigenen Einstellungen, Vorlieben und Gewohnheiten zu geben

Instagram-Trend bereichert OSINT-Quellen für Cyber-Kriminelle

Die von zahlreichen Nutzern geteilten Informationen gehörten zu den Informationen aus sogenannte Open-Source-Intelligence (OSINT). OSINT beziehe sich auf Erkenntnisse, welche durch das Sammeln öffentlich verfügbarer Informationen im Internet gewonnen werden könnten.

Dazu zählten Beiträge und Profile in Sozialen Medien, Nachrichtenartikel, Einträge in Verzeichnissen oder Registern sowie technische Details über die genutzten Geräte, Pendel- und Reisegewohnheiten oder das Surfverhalten einer Person. „Unabhängig davon, ob diese Daten bewusst und freiwillig oder unwissentlich und unbeabsichtigt preisgegeben werden, bieten sie Einblicke in Einstellungen, Vorlieben und Gewohnheiten einer Person“, erläutert Dr. Krämer.

Diese Informationen seien von besonderer Bedeutung, da öffentlich zugängliche Daten Cyber-Angriffe ermöglichen könnten. Persönliche Informationen wie vollständige Namen, E-Mail-Adressen, Telefonnummern oder Bankkontodaten könnten in den Händen von Angreifern erheblichen Schaden anrichten, „indem sie Identitätsdiebstahl und andere Straftaten begehen“.

Instagram-Trend verhilft zu Informationen für Identitätsdiebstahl und zu Antworten auf Sicherheitsfragen

Die übermäßige Verbreitung von Informationen in Sozialen Medien sei ebenfalls besorgniserregend, da Angreifer diese Daten nutzen könnten, um in Konten einzudringen. Informationen wie Haustiernamen aus der Kindheit, Wohnadresse oder Grundschulnamen könnten nicht nur für Identitätsdiebstahl verwendet werden, sondern auch als Antworten auf Sicherheitsfragen dienen.

„Daher ist die zynische Einstellung, dass der Schutz der Privatsphäre Zeitverschwendung sei, falsch und wird von Cyber-Sicherheitsexperten zu Recht kritisiert“, betont Dr. Krämer. Jede preisgegebene Information könne von Kriminellen ausgenutzt werden. Obwohl es nicht immer möglich sei, Informationen online zu vermeiden, sei es wichtig, deren Weitergabe so weit wie möglich einzuschränken.

Besonders beunruhigend sei der neue „Instagram“-Trend, welcher während der Ferienzeit aufgekommen sei. Dieser habe Nutzer ermutigt, persönliche Informationen zu ihrem Werdegang, Vorlieben und Erfahrungen zu teilen. Fragen zu Lieblingsessen, Kindheitshaustieren oder bevorzugten Getränken könnten nicht nur für Identitätsdiebstahl genutzt werden, sondern auch als Antworten auf Sicherheitsfragen dienen.

Es ist ratsam, sich zweimal zu überlegen, bevor man an Social-Media-Trends wie aktuell bei Instagram teilnimmt!

Angreifer könnten alle online geteilten Informationen nutzen, um Menschen zu betrügen, Identitäten zu stehlen oder gezielt Angehörige ins Visier zu nehmen. Daher sei es wichtig, bei der Online-Datenweitergabe stets vorsichtig zu sein.

„Grundsätzlich gilt: Je besser Angreifer eine Person kennen, desto einfacher können sie sie täuschen, sowohl beruflich als auch privat.“

Zum Abschluss gibt Dr. Krämer zu bedenken: „Es ist ratsam, sich zweimal zu überlegen, bevor man an Social-Media-Trends teilnimmt, die zur Weitergabe persönlicher Daten auffordern, egal wie belanglos sie erscheinen mögen.“ Die Förderung eines Sicherheitsbewusstseins und einer Sicherheitskultur sowohl am Arbeitsplatz als auch im Privatleben könne dazu beitragen, Internetkriminalität zu verhindern und Sicherheit zu gewährleisten.

Von unserer Gastautorin Julia Strykova, Streaming Media & Social Projects Manager, Infingate

[datensicherheit.de, 19.12.2023] Täuschend echte Paketzustellungsnachrichten oder dringende E-Mails inklusive Handlungsaufforderung im Namen der Bank – die Betrugsversuche über den E-Mail-Kanal werden immer raffinierter und machen es dem „Otto-Normal-Verbraucher“ immer schwerer, legitime Kommunikation von Phishing-Attacken zu unterscheiden. Doch auch auf Instagram, Linkedin, Facebook und Co. lassen Cyberkriminelle nichts unversucht, um persönliche Daten abzufangen oder die Kontrolle über die Social-Media-Konten ihrer potenziellen Opfer zu erlangen.

Julia Strykova, Streaming Media & Social Projects Manager, Infingate, Bild: Infinigate

Social Media gewinnt an Bedeutung zur Kundengwinnung

Als Marketing-Plattform, Kundengewinnungstools oder Informationskanal gewinnen Plattformen wie Instagram oder Linkedin zunehmend an Bedeutung. Umso attraktiver sind sie daher auch für Betrüger, die in vielen Fällen ihre Netze über Phishing auswerfen. Dabei gehen sie immer perfider vor, wie ein Beispiel der Lazarus-Gruppe aus dem vergangenen Jahr eindrucksvoll zeigte. Die Hacker gaben sich bei dem Angriff auf ein spanisches Luft- und Raumfahrtunternehmen als Recruiter des Facebook-Mutterkonzerns Meta aus und versprachen eine prestigeträchtige Anstellung, insofern die Aspiranten sich bereit erklärten, zwei Coding Challenges auszuführen. Allerdings wussten die angesprochenen Mitarbeiter nicht, dass sie sich bei dieser Aufgabe, die sich als recht simpel herausstellte, Schadprogramme herunterluden.

Doch es geht auch trivialer: Da das Gros der Nutzer in den sozialen Medien meist weniger Misstrauen an den Tag legt, haben die Cyberkriminellen bereits mit gefälschten Online-Rabatten erfolgt. Über augenscheinlich echte Aktionen kostspieliger Marken, die zur Teilnahme die Eingabe persönlicher Informationen erfordern, sammeln sie dann schnell und einfach Nutzerdaten.

Prinzipiell können Phishing-Angriffe diverse Formen annehmen:

Da wäre zum einen der Chat: Treten Nutzer über die Plattform in privaten Austausch mit anderen, könnten Hacker die Gelegenheit ergreifen, sich einzuschalten, um an sensible Daten zu gelangen, indem sie etwa eindringlich bitten, einer Aufforderung ihrerseits zu folgen, etwa Informationen preiszugeben oder einem Link zu folgen.

Ein Phishing-Angriff könnte aber auch ein Post sein, der von einem Hacker oder einem Bot veröffentlicht wird und in dem ein dem Nutzer bekanntes Unternehmen erwähnt wird, das auf eine Pressemitteilung oder andere aktuelle Informationen verweist. Gefälschte Malware holen sich viele Nutzer bereits dann auf ihre Rechner, wenn sie gefälschte Kommentare zu beliebten Beiträgen mit Links zu aufmerksamkeitsstarken Schlagzeilen lesen. Eine häufige Falle ist die Umleitung von einem offiziellen Beitrag zu einem Webinar oder einer Streaming-Veranstaltung mit einer Aufforderung zum Handeln wie „Wir sind jetzt live. Schnell teilnehmen“. Sobald sie diesen anklicken, gelangen sie auf eine Phishing-Webseite oder laden sich direkt die Schadsoftware herunter. Auch mit gefälschten Kundendienstkonten haben Hacker nach wie vor Erfolg.

Schutz vor Phishing-Attacken

Um sich vor Phishing-Attacken in den sozialen Medien adäquat zu schützen, sollten sowohl technische Maßnahmen ergriffen als auch Aufklärungsarbeit betrieben werden. Im Hinblick auf die steigende Anzahl gefälschter Konten gilt es, Vorsicht walten zu lassen, bevor Freundschaftsanfragen vermeintlich beruflicher Kontakte angenommen werden. Augenscheinlich legitime Aufforderungen, die die Aktualisierung persönlicher Daten enthalten, gilt es unbedingt zu überprüfen – im Normal verlangen seriöse Social-Media-Plattformen von ihren Nutzern nicht auf diesem Wege, sensible Informationen preiszugeben. Hier hilft auch ein Blick auf die Support-Seiten. Verdächtige Beiträge, Kommentare oder Links müssen Nutzer an die Betreiber der Plattform bzw. an ihre eigene IT-Abteilung melden. Das Aktivieren der Zwei-Faktor-Authentifizierung, die Installation einer Antiviren-Software und die Verwendung starker Passwörter sowie deren regelmäßiger Wechsel (alphanumerisch, mit Sonderzeichen und mehr als acht Zeichen lang) schützt außerdem vor Phishing und anderen Bedrohungen und kann dazu beitragen, dass unbefugte Dritte keinen Zugang erhalten. Unternehmen, die mit ihren Kunden und Partnern über Social-Media-Kanäle kommunizieren wollen, sollten die Redakteursberechtigung für ihre Firmenkonten auf Social-Media-Plattformen auf so wenige Personen wie möglich beschränken, um das Sicherheitsrisiko möglichst zu minimieren.

Weitere Informationen zum Thema:

datensicherheit.de, 19.10.2021
Check Point: Warnung vor Social Media als Phishing-Falle

[datensicherheit.de, 23.12.2021] Social-Media-Plattformen wüchsen ununterbrochen, so Christine Schönig, „Regional Director Security Engineering CER“, „Office of the CTO“ bei der Check Point Software Technologies GmbH, in ihrer aktuellen Stellungnahme. Dies belegten Zahlen aus dem ersten Halbjahr 2021: 4,2 Milliarden Nutzer weltweit verzeichneten die Websites mittlerweile. „Das bedeutet, dass im Schnitt jedes Jahr 490 Millionen Konten, also 13 Prozent, hinzu kommen. Das sind insgesamt über 53 Prozent der Weltbevölkerung, wenn auf jedes Konto nur ein Nutzer käme.“

Christine Schönig, Bild: Check Point Software Technologies GmbH

Christine Schönig: Plattformen und ihre Konten sehr attraktiv für Cyber-Kriminelle!

Social Media-Missbrauch für Erpressung, Betrug und Diebstahl

Schönig: „Wen wundert es da, dass diese Plattformen und ihre Konten sehr attraktiv für Cyber-Kriminelle sind?“ Die Leute stellten dort teilweise äußerst intime Fotos und Informationen bereit, die sich für Erpressung, Betrug und Diebstahl einfach nutzen ließen. Aus diesem Grund hat Schönig die drei häufigsten Betrugsmaschen zusammengestellt, „um einfach besser gewappnet zu sein“:

1. Gefälschte Web-Seiten
   Eine der häufigsten Methoden sei die Einrichtung von täuschend echt aussehenden, aber gefälschten Web-Seiten. Diese nutzten sogar sehr ähnlich aussehende URLs. „Die Menschen werden über Phishing-E-Mails oder Phishing-SMS und einen darin enthalten Link dorthin gelockt und aufgefordert, Daten einzugeben, die dann an die Hacker gehen.“ Als Betreff werde gerne gewarnt, „dass man sein Passwort ändern solle, weil es zu einem Zwischenfall gekommen sei“.
2. DNS-Hijacking
   „Hier geben sich die Cyber-Kriminellen in einer E-Mail als Absender eines vertrauenswürdigen Sozialen Netzwerks aus.“ So wollten sie an die personenbezogenen Daten des Opfers gelangen. Bei Erfolg würden diese zum Beispiel im „Dark Web“ verkauft und zum Versenden von Massen-Spam-E-Mails missbraucht – oder zur Erpressung.
3. Verseuchte Router
   Gerne infizierten Hacker die Router selbst mit Malware – „nachdem sie in ein damit verbundenes Gerät eingedrungen sind“. Schönig warnt: „Sobald sie den Router geknackt haben, können sie dessen DNS-Adresse so verändern, dass der Nutzer, wenn er versucht, über seinen Browser auf eine bestimmte Web-Seite zuzugreifen, auf eine andere, vom Angreifer ausgewählte, Seite geleitet wird.“

Keine seriöse Firma wird jemals über E-Mail oder SMS nach Zugangsdaten für irgendein Social Media-Konto fragen

Schönig empfiehlt zusammenfassend, dass jeder sehr gut aufpassen sollte, „bevor er auf Links in E-Mails oder SMS klickt – je reißerischer diese verfasst ist, umso mehr“. Die Adresse des Absenders sollte geprüft werden, der Inhalt auf Plausibilität hinterfragt und die Adresse der anvisierten Web-Seite unter die Lupe genommen werden. Auch Rechtschreibfehler oder fehlende Signaturen seien auffällige Zeichen eines Betruges.
Außerdem werde keine seriöse Firma jemals über E-Mail oder SMS nach Zugangsdaten für irgendein Internet-Konto fragen. „All das sollte bedacht werden, um sicher und entspannt durch die Feiertage zu kommen, die traditionell mit dem Beginn der Shopping-Saison einen Anstieg von Cyber-Attacken verzeichnen.“

Weitere Informationen zum Thema:

datensicherheit.de, 19.10.2021
Check Point: Warnung vor Social Media als Phishing-Falle / Q3 Brand Phishing Report von Check Point veröffentlicht

datensicherheit.de, 29.06.2020
Sicherheitstipps zum Social Media Tag / Instagram von steigenden Betrugsversuchen betroffen

datensicherheit.de, 08.07.2019
Social Media: Einfallstor für Cyber-Kriminelle / Für Unternehmen ein ernstzunehmendes Risiko, warnt Markus Kahmen

[datensicherheit.de, 19.10.2021] Check Point Research (CPR), die Sicherheitsforscher der Check Point® Software Technologies Ltd., hat nach eigenen Angaben den „Q3 Brand Phishing Report“ veröffentlicht, welcher demnach die führenden Marken in den Monaten Juli, August und September 2021 aufzeigt, „die von Hackern imitiert wurden, um Menschen zur Preisgabe persönlicher Daten zu verleiten“.

Check Point: amazon hat DHL vom zweiten Platz verdrängt

Im dritten Quartal 2021 sei Microsoft weiterhin die Marke gewesen, welche am häufigsten von Cyber-Kriminellen zur Täuschung genutzt worden sei, wenn auch mit einer etwas geringeren Rate: „29 Prozent aller Marken-Phishing-Versuche bezogen sich auf den Technologieriesen, ein Rückgang gegenüber 45 Prozent im 2. Quartal 2021, da die Betrüger während der ,COVID-19-Pandemie‘ weiterhin auf anfällige, verteilte Belegschaften abzielen.“
amazon habe DHL mit 13 Prozent aller Phishing-Versuche (gegenüber elf Prozent im Vorquartal) vom zweiten Platz verdrängt, da die Kriminellen das Online-Shopping im Vorfeld der Weihnachtszeit ausnutzen wollten. Der Bericht zeige auch, dass „Social Media“ in diesem Jahr – 2021 – zum ersten Mal unter den drei wichtigsten Sektoren gewesen sei, „die bei Phishing-Versuchen nachgeahmt wurden“. Dabei tauchten WhatsApp, LinkedIn und facebook alle in der „Top 10“-Liste der am häufigsten nachgeahmten Marken auf.

Soziale Kanäle laut Check Point eine der drei wichtigsten Kategorien, welche von Cyber-Kriminellen ausgenutzt werden

„Cyber-Kriminelle arbeiten beständig daran, persönliche Daten von Menschen zu stehlen, indem sie sich als führende Marken bzw. Unternehmen ausgeben. Zum ersten Mal in diesem Jahr sind Soziale Kanäle eine der drei wichtigsten Kategorien, die von Cyber-Kriminellen ausgenutzt werden. Sie versuchen, die steigende Anzahl von Menschen, die im Zuge der Pandemie aus der Ferne arbeiten und kommunizieren, für sich einzuspannen“, erläutert Omer Dembinsky, „Data Research Group Manager“ bei Check Point Software.
Leider könnten diese Marken nur sehr wenig zur Bekämpfung von Phishing-Versuchen beitragen. Oft sei es das menschliche Element, das eine falsch geschriebene Domain, ein falsches Datum oder ein anderes verdächtiges Detail in einem Text oder einer E-Mail nicht erkenne. Dembinsky: „Wie immer empfehlen wir unseren Nutzern, bei der Preisgabe ihrer Daten vorsichtig zu sein. Sie sollten zweimal nachdenken, bevor sie E-Mail-Anhänge oder Links öffnen, insbesondere bei E-Mails, die vorgeben, von Unternehmen wie Amazon, Microsoft oder DHL zu stammen. Diese Marken werden am ehesten nachgeahmt. In Anlehnung an die Daten aus dem 3. Quartal möchten wir die Nutzer auch dazu auffordern, bei E-Mails oder anderen Mitteilungen, die scheinbar von Social-Media-Kanälen wie facebook oder WhatsApp stammen, wachsam zu sein.“

Microsoft laut Check Point auf Platz 1

Bei einem Marken-Phishing-Angriff versuchten Kriminelle, die offizielle Website einer bekannten Marke zu imitieren, „indem sie einen ähnlichen Domainnamen oder eine ähnliche URL und ein ähnliches Design wie die echte Website verwenden“. Der Link zur gefälschten Website könne per E-Mail oder Textnachricht an die Zielpersonen geschickt werden, ein Benutzer könne während des Surfens im Internet umgeleitet werden, oder er könne von einer betrügerischen mobilen Anwendung ausgelöst werden. Die gefälschte Website enthalte oft ein Formular, mit dem die Anmeldedaten, Zahlungsdaten oder andere persönliche Informationen der Nutzer gestohlen werden sollten.
Die am häufigsten imitierten Marken im 3. Quartal 2021 (im Folgenden seien die Top-Marken nach ihrem Gesamtauftritt bei Phishing-Versuchen aufgelistet):

• Microsoft (in Verbindung mit 29% aller Phishing-Angriffe weltweit)
• amazon (13%)
• DHL (9%)
• BEST BUY (8%)
• Google (6%)
• WhatsApp (3%)
• NETFLIX (2,6%)
• LinkedIn (2,5%)
• PayPal (2,3%)
• facebook (2,2%)

Weitere Informationen zum Thema:

Check Point SOFTWARE TECHNOLOGIES LTD
Social Now Among Top Three Sectors to be Imitated in Phishing Attempts in Q3 2021

datensicherheit.de, 12.10.2021
Phishing-Attacken: Cyber-Kriminelle missbrauchen Banken als Köder / Christine Schönig warnt vor Phishing-Gefahr durch Smartphones und Unachtsamkeit

datensicherheit.de, 09.12.2020
Cybereason: Neue Malware missbraucht facebook und Dropbox / Bislang unbekannte Malware-Varianten im Nahen Osten für Spionage eingesetzt

datensicherheit.de, 07.12.2020
Missbrauchte Lieferdienste: Phishing-Attacken nutzen Hochkonjunktur des Versandhandels / Kriminelle geben sich in Phishing-E-Mails gerne als DHL aus und locken Nutzer auf ihre gefälschten Webseiten

[datensicherheit.de, 02.03.2021] Phishing hat während der „Corona“-Krise offensichtlich stärker als zuvor zugenommen, meldet die m2solutions EDV-Service GmbH. Kriminelle nutzten die Verunsicherung und die Home-Office-Situation gezielt aus, um an sensible Daten zu kommen, mit denen sie großen Schaden anrichten könnten. „Sehr geehrte Kundinnen und Kunden, Ihre Sicherheit und Gesundheit und auch die unserer Mitarbeiter liegen uns sehr am Herzen.“ – so beginne die E-Mail einer angeblichen Bank, die während der „Pandemie“ ihre kleineren Filialen schließen müsse und sich deshalb nun digital an ihre Kunden wenden könne: „Bitte nehmen Sie sich zwei Minuten Zeit, um Ihre Daten zu überprüfen und zu aktualisieren, um weiterhin eine reibungslose Kommunikation gewährleisten zu können.“ Diese täuschend echt aussehende E-Mail mit dem Link stamme aber eben nicht von jener Bank. Sie sei von Betrügern aufgesetzt worden, um direkt Konto- und Adressdaten von ahnungslosen Nutzern abzugreifen, „die eigentlich dachten, sie tun das genau Richtige“ – ihre Daten in Zeiten erschwerter Kommunikation zu aktualisieren. Dabei appelliere die E-Mail am Ende noch einmal besonders emotional an das Gewissen der Empfänger: „Prävention ist keine Hysterie, und Ignoranz ist auch kein Mut! Wir hoffen sehr auf Ihre Solidarität und Ihr Verständnis!“

Abbildung: m2solutions EDV-Service GmbH

Cyber-Kriminelle nutzen Unsicherheit aus: Phishing in Corona-Zeiten stark zugenommen

Phishing: Per E-Mail, Social Media oder sogar Telefon emotionale Köder ausgeworfen

Beim sogenannten Phishing würden per E-Mail, „Social Media“ oder sogar per Telefon emotionale Köder ausgeworfen – in der Hoffnung, dass jemand „anbeißt“. Dies sei gerade in Ausnahmesituationen wie einer weltweiten „Pandemie“ viel wahrscheinlicher. „Cyber-Kriminelle nutzen die Verunsicherung und das allgemeine Bedürfnis nach Schutz und Informationen gezielt aus“, warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI), welches seit Beginn des vergangenen Jahres, 2020, einen hohen Anstieg an Phishing-Mails mit „Corona“-Bezug verzeichnet habe.
„Unternehmen müssen den Faktor Mensch nun intensiver in Maßnahmen zur Stärkung der IT-Sicherheit miteinbeziehen, um wenig Angriffsfläche zu bieten.“ Das bedeutet: Mitarbeiter müssten gezielt geschult werden!

Phishing-Mails beschwören Angst-Szenarien

Bei Phishing-Attacken helfe eine gute Antiviren-Software nur bedingt weiter. Zwar könne sie beispielsweise auf gefährliche Links und Anhänge in E-Mails hinweisen – doch Phishing ziele tatsächlich gar nicht auf technische Sicherheitslücken ab, sondern auf den Menschen hinter dem Rechner. Damit werde es zur einfachsten Art des Cyber-Angriffs, aber auch zur gefährlichsten. „Bei allen Arten geben die Versender vor, jemand zu sein, der sie nicht sind – eine seriöse Bank, ein Internetanbieter oder ein anderer Dienstleister.“
Erfolg habe das Phishing in der Regel, wenn der Empfänger zufällig einen Bezug zum vermeintlichen Versender habe – „also zum Beispiel, weil er zufällig Kunde bei der Bank ist, von der die E-Mail vermeintlich stammt“. Eine andere Strategie der Cyber-Kriminellen sei auch, den Betreff so zu formulieren, „dass er geradezu nach einer Reaktion schreit“, wie zum Beispiel „Ihr Konto wurde gesperrt“ oder „Ihr System wurde erfolgreich gehackt“. Viele Empfänger öffneten bei so einem angsteinflößenden Szenario die E-Mail und könnten so schneller zum Opfer einer Phishing-Attacke werden, weil sie glaubten, direkt handeln zu müssen.

Spear-Phishing: Gefahren im Home-Office

„Wie schon das Beispiel zu Beginn mit der Bank zeigte, versprechen subtile Phishing-Attacken den Kriminellen in ,Corona‘-Zeiten nicht nur mehr Erfolg, weil sie emotional an das Gewissen der Menschen appellieren und ihre Unsicherheit ausnutzen.“ Ihnen helfe auch, dass auf einmal vieles nur noch digital laufe. Da ein Großteil der Mitarbeiter im sogenannten Home-Office sei, fehle die „Face-to-Face“-Kommunikation – das Meiste laufe per Telefon, Chat oder E-Mail. Gerade dort setze das sogenannte Spear-Phishing an.
Im Gegensatz zu den meisten Phishing-Aktionen, bei denen massenhaft E-Mails, SMS oder Direct Messages in der Hoffnung versendet würden, dass einige Personen anbeißen (sog. „Spray and Pray Phishing“), werde Spear-Phishing ganz gezielt ausgeführt: Bei dieser Attacke suchten die Kriminellen systematisch Informationen von einer Person inklusive ihrer Verbindungen zu anderen Angestellten im Unternehmen (sog. Social Engineering), um auf diese Weise eine besonders glaubwürdige Nachricht eines Kollegen oder Vorgesetzten vorzutäuschen. So gebe sich der Angreifer zum Beispiel als Geschäftsführer des Unternehmens aus und dränge darauf, entweder eine bedeutende Zahlung anzuweisen oder schnell Informationen herauszugeben, auf die er aufgrund der aktuellen Lage angeblich keinen Zugriff habe.

Clone-Phishing als perfide Unterart

Eine ebenso perfide Unterart des Phishings sei das sogenannte Clone-Phishing. Dabei erstellten die Angreifer eine Kopie von einer zuvor gesendeten, echten E-Mail aus dem Unternehmen, welche einen Link oder einen Anhang enthalte. Die Kriminellen ersetzten jedoch Link oder Anhang durch einen bösartigen Ersatz und versendeten sie erneut mit einem täuschend ähnlich aussehenden E-Mail-Kopf:
„Klicken die Empfänger dann darauf, weil sie glauben, die Original-E-Mail vor sich zu haben, kann Malware ins System geraten, die dann weitere Schäden anrichten; z.B. verschlüsselt sie wichtige Daten und macht diese somit unbrauchbar.“ Im schlimmsten Fall erlangten die Angreifer die Fremdkontrolle über das System, wodurch sie Zugriff auf alle Daten erhielten. Ein solcher Angriff sei in der Regel nur möglich, wenn zuvor schon das Postfach gehackt und sich die Phisher so illegal Zugang zu den E-Mails verschafft hätten, um sie als Vorlagen verwenden zu können.

Tipps zum Schutz vor Phishing-Attacken:

Der sicherste Schutz vor Phishing-Attacken sei, alle E-Mails, „in denen Sie zu etwas aufgefordert werden, einmal genauer unter die Lupe zu nehmen – und auf bestimmte Signale zu achten“. Zum Beispiel: „Ist das wirklich die richtige Absenderadresse, oder ist da bei genauerem Hinsehen ein Buchstabendreher zu finden? Wo führen die Links hin? Sind Anrede und Inhalt seltsam allgemein gehalten?“
Wenn nach PINs oder TANs gefragt wird, sei das ebenfalls ein häufiges Anzeichen für einen Phishing-Versuch. Es gebe viele kleine Details, für die auch die Mitarbeiter in Schulungen sensibilisiert werden könnten. Insbesondere Buchhaltungspersonal werde gezielt für das Spear-Fishing ausgewählt und sollte daher im Fall der Fälle wissen, wie es mit mutmaßlichen Phishing-Nachrichten umgehen sollte, um die Attacke abzuwehren – „zum Beispiel, die IT-Kollegen rechtzeitig zu benachrichtigen“. Denn nur so könne gewährleistet werden, dass es in einer sonst technisch einwandfreien IT-Security keine Einfallstore für Cyber-Kriminelle gibt.

Weitere Informationen zum Thema:

datensicherheit.de, 18.12.2020
Corona-Soforthilfe: Warnung vor Phishing-Mails / PSW GROUP empfiehlt stärke Mitarbeiter-Sensibilisierung gegenüber Phishing-Attacken

datensicherheit.de, 07.12.2020
Missbrauchte Lieferdienste: Phishing-Attacken nutzen Hochkonjunktur des Versandhandels / Kriminelle geben sich in Phishing-E-Mails gerne als DHL aus und locken Nutzer auf ihre gefälschten Webseiten

datensicherheit.de, 01.12.2020
Phishing per E-Mail: COVID-19-Impfstoffe als Köder / Cyber-Kriminelle könnten sich aktuelle Nachrichten zu Corona-Impfstoffen zunutze machen