Team Informationssicherheit

Awareness: Phishing - Folgen und Maßnahmen

In dieser Kampagne erklären wir, was im RZ passiert, wenn eine Phishing-Meldung eingeht und wo die Grenzen der Möglichkeiten liegen.

Welche Folgen könnte ein erfolgreicher Phishing-Versuch haben?

  • Die Angreifer haben Zugriff auf eine Hochschulkennung und somit auch auf zahlreiche andere Systeme (Fileserver, VPN-Verbindung, E-Mail-Postfach, Seafile, QIS, ...)
  • Auf dem Rechner könnte eine Schadsoftware installiert worden sein, die zum Beispiel Daten ausspäht, vernichtet oder weiteren Schaden anrichtet (Verschlüsselungstrojaner etc.).
  • Der gekaperte Account kann zum "Spear-Phishing" verwendet werden. So können gezielt Phishing-Angriffe von einem vermeintlich sicheren Hochschulaccount an andere Hochschulangehörige versendet werden.
  • Die Angreifer haben außerdem Zugriff auf die gesamte historische E-Mail-Korrespondenz des übernommen Accounts (Externe Kontakte, Anmeldungen, Bestellungen,...), welche für weitere Angriffe verwendet werden kann.
  • Ein Hochschulpostfach kann zum Versenden von Spam-Mails missbraucht werden. Das hat oft zur Folge, dass der Mailserver der Hochschule auf Blocklisten landet und dadurch zeitweise keine E-Mails von Hochschuladressen mehr an Postfächer anderer Provider zugestellt werden.
  • Durch die Veröffentlichung vertraulicher Dokumente könnte der Hochschule ein großer Schaden und Ansehensverlust entstehen.
  • Ein Angriff auf die Hochschulinfrastruktur könnte diese für längere Zeit lahm legen und damit den Lehr- und Forschungsbetrieb zum Stillstand bringen.

Was tun die Rechenzentren und das Team Informationssicherheit?

  • Mails bei Spamcop melden.
  • interne Spamfilter trainieren, damit eine SPAM-Markierung erfolgen kann.
    Mehr dazu hier: https://www.hochschule-trier.de/rzht/it-dienste-infos/schutz-vor-spam-mails
  • Sperrung von Hochschulkennungen, wenn aus diesen aktuell gespamt wird.
  • Bei besonders auffälligen Phishing-Versuchen schalten wir eine entsprechende Hinweis-News auf den RZ-Seiten.
  • Sensibilisierung der Beschäftigten durch Awareness-Kampagnen, das Schulungsportal und Gespräche.

Was tun die Rechenzentren nicht und warum?

  • Absendeadressen von Phishing-Mails generell blocken.
    Grund: die Absendeadressen sind meist gefälscht. Bei einer Sperrung würden dann die falschen Personen bestraft.
    Die Blockierung von Absendeadressen erfolgt von Hand auf den Servern und muss auch händisch wieder entfernt werden. Der Aufwand übersteigt in den meisten Fällen den Nutzen, weil eine Phishing-Mail oft von verschiedenen gefälschten Absendeadressen versendet wird.
    Außnahme: wenn eine große Phishing-Welle von einer Adresse kommt.
  • Phishing-Mails nach Textmerkmalen filtern.
    Grund: die Gefahr, dass die Filtermerkmale auch auf seriöse E-Mails zutreffen, ist zu groß. Zudem sind inhaltliche Ähnlichkeiten, die ein Mensch leicht erkennt, als automatisierte Filter schwer umsetzbar.

Was kann ich zum Schutz beitragen?

  • Bitte beachten Sie dazu folgende Info-Seite: https://www.hochschule-trier.de/rzht/it-dienste-infos/phishing
  • Begegnen Sie jeder E-Mail, die einen Anhang oder einen Link enthält skeptisch. Sollten Sie auch nur den geringsten Zweifel an der Echtheit der Nachricht haben, kontaktieren Sie den Versender bzw. die Versenderin. Antworten Sie dazu nicht auf die fragliche Mail sondern verfassen Sie eine neue Nachricht mit einer ihnen bekannten Adresse oder fragen Sie telefonisch nach. Alternativ wenden Sie sich gerne an das Team Informationssicherheit.
  • Nutzen Sie zur internen Kommunikation, z.B. in Ihrem Team, das Tool "Mattermost". https://www.hochschule-trier.de/rzht/it-dienste-infos/anleitungen/sonstiges/chat-teams-erstellen-unter-mattermost
    Eine Etablierung von Mattermost an der Hochschule Trier würde viele E-Mails unnötig machen und einen erheblichen Beitrag zum Schutz vor Phishing leisten.

Wird das mit den Phishing-Mails jemals aufhören?

Ganz ehrlich? Wir sind da nicht sehr optimistisch. Solange E-Mail das vorherrschende Kommunikationsmedium ist und es durch Phishing-Versuche gelingt, entweder an viel Geld oder wertvolle Informationen zu gelangen, wird es das Problem weiter geben. Leider bindet diese Thematik inzwischen erhebliche technische und vor allem personelle Ressourcen in den Rechenzentren, die an anderer Stelle fehlen. Jeder erfolgreiche Phishing-Versuch verschlimmert die Situation zusätzlich. Deswegen kommt es auch zukünftig auf Ihre Umsicht und Ihre Mithilfe an.

back-to-top nach oben