Hätten Sie den Phish gerochen?

Immer öfter kommt es vor, dass sich Kriminelle Zugriff auf digitale Systeme verschaffen. Ihr Ziel ist es, gezielt Daten abzugreifen und diese für illegale Zwecke zu nutzen. Die Hacker versuchen, vertrauliche digitale Informationen zu stehlen und erpressen Betroffene mit Geldforderungen oder blockieren ihre Systeme. Auch der Kanton ist mit solchen Cyberattacken konfrontiert. Lesen Sie, wie er sich aufstellt, um solche Angriffe abzuwehren und nehmen Sie dabei auch gleich nützliche Informationen für Ihren privaten Alltag mit.

Sie haben sich letzte Woche bei Amazon ein neues Gartentischchen für den Balkon bestellt und freuen sich schon auf den Donnerstag, denn da wird es ausgeliefert. Frühling! Der Sommer steht vor der Tür! Am Mittwoch kommt dann dieses E-Mail von versandbestaetigung@amzon.com, das Ihnen mitteilt, dass etwas mit der Bezahlung nicht funktioniert hat und Sie bitte die Überweisung des geschuldeten Betrags nochmals vornehmen sollen, sonst wird nichts aus dem netten Tischlein und Ihre Balkon-Party am Freitagabend fällt aus. Natürlich überweisen Sie den Betrag schnell, denn es kann ja mal passieren, dass wir im E-Banking das letzte «OK» vergessen oder ein Häkchen nicht angekreuzt haben. Das Tischchen kommt wie geplant am Donnerstag. Und der Ärger dann am Sonntag, als Sie feststellen, dass diese E-Mail von Amzon eben nicht von Amazon war. 

«So etwas ist ganz typisch», sagt Sarah Schmidt, Informationsbeauftrage und zuständig für das Thema Sensibilisierung und Phishing bei der ZI, «wir denken alle, dass wir so ein Phishing-Mail auf jeden Fall erkennen, schliesslich haben wir alle schon von derartigen Betrugsversuchen gehört. Tatsache ist aber, dass die Methoden der Betrüger immer ausgeklügelter werden und das Erkennen von Betrugs-Mails zum Teil sogar Fachleuten Mühe macht.» Haben Sie das Problem mit der Versandbestätigung von Amazon erkannt? Genau, im Firmennamen fehlt ein «a», da steht «Amzon» anstatt «Amazon». Kleinste Orthografiefehler sind eine beliebte Methode bei Phishing-Mails. Kommt dazu: Unser Gehirn ist darauf trainiert, fehlende Buchstaben zu ersetzen, sodass man beim raschen Überfliegen des Absenders möglicherweise gar nicht merkt, dass hier ein Buchstabe fehlt. Da das Mail auch im Design von Amazon ist und damit scheinbar von dem Unternehmen, bei dem wir bestellt haben, denken wir uns prima vista nichts dabei und bezahlen.

Das Wort Phishing setzt sich aus den englischen Begriffen «Password», «Harvesting» (dt. ernten) und «Fishing» (dt. fischen) zusammen. Wie der Name bereits andeutet, ist Phishing eine Technik, um an vertrauliche Daten von ahnungslosen Internet-Nutzerinnen und -Nutzern zu gelangen. Dabei kann es sich zum Beispiel um die Zugangsdaten von E-Mail-, Post-, E-Banking- oder Online-Auktionsanbieter-Konten handeln. Phishing-Angriffe können von organisierten Banden, aber auch von Einzelpersonen ausgehen und finden über E-Mail, Webseiten, Internet-Telefonie (VoIP) oder SMS statt.Weitere Informationen dazu gibt es bei der Schweizerischen Kriminalprävention (SKP).​

Phishing-Mail – was heisst das genau?
Das Wort Phishing setzt sich aus den englischen Begriffen «Password», «Harvesting» (dt. ernten) und «Fishing» (dt. fischen) zusammen. Wie der Name bereits andeutet, ist Phishing eine Technik, um an vertrauliche Daten von ahnungslosen Internet-Nutzerinnen und -Nutzern zu gelangen. Dabei kann es sich zum Beispiel um die Zugangsdaten von E-Mail-, Post-, E-Banking- oder Online-Auktionsanbieter-Konten handeln. Phishing-Angriffe können von organisierten Banden, aber auch von Einzelpersonen ausgehen und finden über E-Mail, Webseiten, Internet-Telefonie (VoIP) oder SMS statt.
Weitere Informationen dazu gibt es bei der Schweizerischen Kriminalprävention (SKP).

In der kantonalen Verwaltung arbeiten wir mit vielen sensiblen Daten. Unsere Arbeit schliesst politische Geschäfte ebenso ein wie Informationen über Mitarbeitende, die Bevölkerung oder Unternehmen. Solche sensiblen Informationen müssen ihrem Schutzbedarf entsprechend angemessen behandelt und geschützt werden. Ganz besonderes gilt das natürlich für Personendaten.

Bescheid wissen

Es muss sichergestellt werden, dass Cyberattacken möglichst keine Chance haben. Daher ist es von grösster Wichtigkeit, dass alle Mitarbeitenden gut über Cyberkriminalität Bescheid wissen, sodass sie allfällige Attacken abwehren können. Sie haben ein seltsames E-Mail erhalten? Oder auf eine .exe-Datei geklickt, die sich komisch verhält? «Rufen Sie in solchen Situationen immer den Helpdesk an, und versuchen Sie nicht, das Problem alleine zu lösen», empfiehlt Sarah Schmidt. «Wenn Sie unsicher sind oder wirklich einmal etwas passiert ist, müssen unsere Spezialistinnen und Spezialisten umgehend informiert werden, damit sie das Problem angehen und lösen können.» Es kann nämlich auch sein, dass die Phishing-Mail eine Malware – das ist eine Schad-Software – auf Ihrem Computer installiert. Der kann so beispielsweise komplett verschlüsselt werden und die Schad-Software breitet sich anschliessend im Netzwerk aus. Je schneller ein Vorfall erkannt und gemeldet wird, desto schneller kann reagiert werden. 

Schulungen zu Cyberkriminalität

Damit solche Dinge gar nicht erst passieren, hat der Bereich Informationssicherheit der zentralen Informatik ein Schulungsprogramm erarbeitet, das nach den Sommerferien starten wird. «Alle Mitarbeitenden werden regelmässig einen Link mit einer Einladung zu einer kurzen Informatik-Sicherheits-Schulung erhalten», erklärt Sarah Schmidt. «Ausserdem können Dienststellen auch Kontakt mit ihren jeweiligen direktionalen Informatik-Sicherheitsbeauftragten (DIT-SIBE) aufnehmen, wenn sie mehr zu einem Thema erfahren möchten», fügt sie an. Übrigens werden auch Phishing-Checks durchgeführt werden. Das funktioniert so, dass simulierte Phishing-Nachrichten an Mitarbeitende verschickt werden. Dank der vorgängigen Schulungen sind diese E-Mails als «verdächtig» erkennbar und damit ist klar, wie sich die Empfängerinnen und Empfänger verhalten müssen. Öffnet jemand trotzdem eine Phishing-Check-Nachricht, folgt eine erneute Schulung.

«Die Schulungen sind nicht nur nützlich für Situationen am Arbeitsplatz», so Sarah Schmidt, «sie unterstützen Sie auch dabei, im privaten Bereich nicht Opfer eines Cyberbetrugs zu werden.» Ausserdem rät sie: «Sprechen Sie über das Thema, mit Kolleginnen und Kollegen oder im Team, denn im Austausch mit anderen können Sie ebenfalls mehr lernen über mögliche Attacken. Und wie gesagt, melden Sie sich besser einmal zu viel beim Helpdesk, als dass Sie zögern oder nicht rechtzeitig Bescheid geben. Die täuschend echten Phishing-Mails sind für alle eine Herausforderung.» Obwohl sie auf das Thema spezialisiert ist, hat auch Sarah Schmidt schon zweimal hinschauen müssen, um zu erkennen, ob ein Mail echt ist oder nicht.

Informationen im Intranet beachten

Wann geht es los mit den Schulungen? Schauen Sie auf jeden Fall ins Intranet und nutzen Sie den InfobBlits. Dort können Sie regelmässig Informationen zum Thema ICT-Sicherheit aufrufen. Die Einladung an die Schulungen erfolgt per Mail und geht an alle Mitarbeitenden mit einem @bl.ch-Konto. Nehmen Sie sich die paar Minuten Zeit, um diese obligatorischen Trainings zu erledigen und bleiben Sie wachsam, wenn Sie seltsame Mails erhalten. A propos …schauen Sie mal kurz in Ihre Inbox …diese E-Mail da, in der Sie aufgefordert werden, sofort ihre Kreditkarte zu aktivieren und eine Bestätigung umgehend an XY@xyz. com zu schicken. Bitte schnell erledigen! Spätestens nach der Schulung wissen Sie: diese Aufforderung ist verdächtig. Wenn wir dazu gedrängt werden, etwas rasch zu tun, wenn Druck ausgeübt wird, stimmt möglicherweise etwas nicht und wir sollten uns in so einer Situation umso mehr Zeit nehmen. Rufen Sie im Zweifelsfall beim Helpdesk an, um mit den Fachpersonen abzuklären, was zu tun ist und nutzen Sie wie immer auch den InfoBlits. 

Text: Martina Rupp, Generalsekretariat, Finanz- und Kirchendirektion