Spear-Phishing: BSI warnt vor gezielten Cyberangriffen auf Politik und Wirtschaft

Gegenwärtig gibt es gezielte Angriffsversuche auf private E-Mail-Konten hoher Vertreter aus Politik und Wirtschaft. Davor warnt zumindest das BSI und empfiehlt gleichzeitig eine ganze Reihe von Gegenmaßnahmen.

In Pocket speichern vorlesen Druckansicht 12 Kommentare lesen
Spear-Phishing: BSI warnt vor gezielten Cyberangriffen auf Politik und Wirtschaft
Lesezeit: 2 Min.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor professionellen Cyberangriffen auf private E-Mail-Konten hochrangiger Vertreter der Wirtschaft und Verwaltung. Wie die Behörde mitteilte, wurde eine Kampagne beobachtet, in der täuschend echte Spearphishing-Mails an "ausgewähltes Spitzenpersonal" verschickt wurden.

Mit Behauptungen wie jener über Auffälligkeiten im Postfach würden die Empfänger dazu verleitet, auf einen Link zu klicken. Auf der danach erscheinenden Website sollen sie ihr Passwort eingeben. Das landet damit in den Händen der Angreifer, die nun Zugriff auf das Mail-Konto haben. Die dabei verwendete Infrastruktur ähnele der, die bei Angriffen auf die Demokratische Partei in den USA und Mitarbeiter des französischen Präsidenten Emmanuel Macron zum Einsatz kam, schreibt das BSI. Diese Angriffe waren danach Russland zugeordnet worden.

Wie das BSI weiter erläutert, sei schon 2016 beobachtet worden, dass Webseiten registriert wurden, die sich für Angriffe auf E-Mail-Konten bei web.de und gmx.de eignen. Aktuell würden die aber nicht eingesetzt.

Wie BSI-Präsident Schönbohm ergänzt, wurde auch bereits ein Angriff in Regierungsnetzen abgewehrt, dort könne man diese mit hoher Wahrscheinlichkeit entdecken. Private Postfächer seien aber außerhalb der Zuständigkeit, so wie auch Parteien und Organisationen. Deshalb seien dies attraktive Angriffsziele, deswegen müssten Privatpersonen hier selbst tätig werden. Das BSI habe angesichts der anstehenden Bundestagswahl auch schon Parteien und Stiftungen beraten.

Um den Angriffen zu entgegnen, hat das BSI eine Reihe von Maßnahmen gesammelt, die nicht nur Spitzenpersonal vor Spearphishing schützen sollen. So sollten geschäftliche Inhalte nicht über private E-Mails verschickt werden. Außerdem sei es sinnvoll, private E-Mails zu verschlüsseln und die Konten durch Zwei-Faktor-Authentifizierung zu schützen. Passwörter sollten nur auf Internetseiten eingegeben werden, deren Adresse selbst eingegeben wurde, beziehungsweise die geprüft wurde. E-Mails, die auf einen gezielten Angriff hindeuten, sollten am besten dem IT-Personal des Arbeitgebers gezeigt werden. (mho)