Software-Unternehmen lockt eigene Mitarbeiter in Phishing-Falle

Phishing-Mails, mit denen Betrüger Daten abgreifen, sind mehr oder weniger gut gemacht, können aber immer immensen Schaden verursachen und gehören zu den größten Gefahren im Web. Daher wollen sich Unternehmen so gut es geht davor schützen – das hatte auch die Software-Firma Gitlab vor, wie der Stern berichtet. Gitlabs Software wird unter anderem von IBM, Expedia, der NASA und der Forschungsorganisation CERN benutzt.

Gitlab testet Mitarbeiter mit Fake-Phishing-Mail 

Das Unternehmen wollte die Sicherheitskompetenz seiner Software-Experten testen und entwarf daher eine eigene Phishing-Mail – mit einem besonderen Köder: In der mit Hinweisen gespickten Fake-Mail sollte ein vermeintlicher neuer Apple-Laptop von der eigenen IT-Abteilung die 50 getesteten Mitarbeiter zum Klicken eines Links verführen. Auf einer eigens errichteten Webseite sollten sich die Gitlab-Angestellten dann mit ihrem Firmen-Account einloggen, um das begehrte Gerät zu bekommen.

In einem Software-Unternehmen sollten doch Profis arbeiten, die derartige Attacken erkennen und ihnen ausweichen können, könnte man denken – Pustekuchen. Denn das Ergebnis des Tests ist bitter für das Unternehmen: Jeder fünfte Mitarbeiter fiel auf die fingierte Phishing-Falle herein. Von den 50 Personen, die die Test-Mail bekamen, klickten 17 auf den Link, zehn gaben sogar ihre Account-Daten ein. Nur sechs Angestellte meldeten die obskure Mail bei der eigenen IT-Abteilung. Statt eines echten Datendiebstahls hatten die betroffenen Mitarbeiter dann aber Glück: Nach der Angabe ihrer Daten wurden sie zum internen Gitlab-Handbuch mit den Sicherheitsrichtlinien weitergeleitet. 

Wie kann man sich gegen Phishing schützen?

Phishing gehört mittlerweile zu den wichtigsten Angriffsmethoden im Web, um Zugang zu relevanten persönlichen Informationen zu bekommen. Das Bundesamt für Sicherheit in der Informationstechnik zeigt, worauf Nutzer bei verdächtigen Mails achten sollten:

• Überprüfen Sie stets die Adressleiste in Ihrem Browser. Am besten tragen Sie die Adressen zu häufig besuchten Login-Seiten in die Favoritenliste Ihres Browsers ein.
  
  
• Klicken Sie niemals auf Links in einer dubiosen E-Mail. Versuchen Sie im Zweifelsfall stattdessen, die im E-Mail-Text genannte Seite über die Startseite der betreffenden Organisation zu erreichen – also ohne den angegebenen Link in die Adresszeile des Browsers einzutippen.
  
  
• Wenn Sie sich nicht sicher sind, ob eine E-Mail vielleicht berechtigter Weise nach vertraulichen Daten fragt, fragen Sie am besten telefonisch bei dem genannten Anbieter nach.
  
  
• Geben Sie keinesfalls persönliche Daten wie Passwörter, Kreditkarten- oder Transaktionsnummern via E-Mail preis – egal, wie vertrauenserweckend die betreffende E-Mail erscheint.
  
  
• Geben Sie persönliche Informationen nur in der gewohnten Weise etwa auf der Online-Banking-Website ein. Sobald Ihnen irgendetwas seltsam vorkommt, beenden Sie die Verbindung sofort und kontaktieren Sie den regulären Website-Betreiber.
  
  
• Geben Sie niemals persönliche Daten auf Webseiten mit unverschlüsselter Verbindung ein. Ob eine Website verschlüsselt mit Ihrem Browser kommuniziert, erkennen Sie an der Abkürzung "https://" in der Adresszeile sowie an dem kleinen Vorhängeschloss-Symbol neben der Adresszeile des Browsers.
  
  
• Starten Sie niemals einen Download-Link direkt aus einer E-Mail heraus, auf deren Echtheit Sie sich nicht hundertprozentig verlassen können. Starten Sie, wenn möglich, einen Download stets direkt von der Anbieter-Website.
  
  
• Öffnen Sie insbesondere niemals Dateien im Anhang einer verdächtigen E-Mail.
  
  
• Beenden Sie jede Online-Session durch einen regulären Log-out – statt einfach nur das Browserfenster zu schließen.
  
  
• Kontrollieren Sie regelmäßig den Saldo Ihres Bankkontos sowie Umsätze zum Beispiel von Internetzahlungsdienstleistern. So können Sie bei unbefugten Abbuchungen schneller reagieren.