BSI: Cyber-Angrif­fe auf pri­va­te E-Mail-Post­fä­cher von Funk­ti­ons­trä­gern

Bonn, 23.06.2017

Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) beob­ach­tet der­zeit pro­fes­sio­nel­le Cyber-Angrif­fe auf pri­va­te E-Mail-Post­fä­cher von Funk­ti­ons­trä­gern aus Wirt­schaft und Ver­wal­tung. Bei die­ser Angriffs­kam­pa­gne wer­den täu­schend echt erschei­nen­de Spear­phis­hing-Mails an aus­ge­wähl­tes Spit­zen­per­so­nal gesandt. Die Angrei­fer geben bei­spiels­wei­se vor, Auf­fäl­lig­kei­ten bei der Nut­zung des Post­fachs beob­ach­tet zu haben oder neue Sicher­heits­funk­tio­na­li­tä­ten anbie­ten zu wol­len. Der Nut­zer wird auf­ge­for­dert, einen Link anzu­klicken und auf der sich öff­nen­den Web­sei­te sein Pass­wort anzu­ge­ben. Durch die Preis­ga­be des Pass­worts erhal­ten die Täter Zugriff auf das per­sön­li­che E-Mail-Post­fach und des­sen Inhal­te. Die aktu­ell beob­ach­te­te Kam­pa­gne rich­tet sich gegen Yahoo- und Gmail-Kon­ten. Die ver­wen­de­te Angriffs­in­fra­struk­tur hat Ähn­lich­kei­ten mit der­je­ni­gen, die bei den Angrif­fen und anschlie­ßen­den Leaks gegen die Demo­kra­ti­sche Par­tei in den USA und gegen die fran­zö­si­sche En Mar­che-Bewe­gung ein­ge­setzt wur­de.

Bereits 2016 konn­te das BSI beob­ach­ten, dass Web­sei­ten regi­striert wur­den, die sich für Spear­phis­hing-Angrif­fe gegen Kun­den der deut­schen Web­mail-Dienst­lei­ster gmx​.de und web​.de eig­nen und die Ähn­lich­kei­ten mit der aktu­el­len Angriffs­in­fra­struk­tur haben. Zwar sind die­se Domains in der aktu­el­len Angriffs­kam­pa­gne noch nicht beob­ach­tet wor­den, es zeigt aber, dass die Täter die­se Mail­pro­vi­der auch als mög­li­chen Angriffs­weg iden­ti­fi­ziert haben.

Dazu erklärt BSI-Prä­si­dent Schön­bohm: “Auch in den Regie­rungs­net­zen hat das BSI bereits einen Angriff der aktu­el­len Kam­pa­gne abge­wehrt. Grund­sätz­lich kön­nen wir sol­che Phis­hing-Mails mit einer sehr hohen Wahr­schein­lich­keit detek­tie­ren. Pri­va­te E-Mail-Post­fä­cher aller­dings sind außer­halb der Zustän­dig­keit des BSI. Auch die Par­tei­en und Orga­ni­sa­tio­nen haben nur begrenz­ten Ein­fluss dar­auf. Dies macht pri­va­te Post­fä­cher für die Angrei­fer zu einem attrak­ti­ven Angriffs­ziel. Funk­ti­ons­trä­ger in Ver­wal­tung und Wirt­schaft soll­ten daher dafür sor­gen, dass auch ihre pri­va­ten Mail-Accounts abge­si­chert sind. Dies ist wich­ti­ger Teil des digi­ta­len Per­sön­lich­keits­schut­zes.”

Das BSI hat im Rah­men sei­ner Bera­tungs­tä­tig­kei­ten zu Fra­gen der IT-Sicher­heit vor dem Hin­ter­grund der dies­jäh­ri­gen Bun­des­tags­wahl auch Par­tei­en und par­tei­na­he Stif­tun­gen über die­se Mög­lich­keit von Angrif­fen infor­miert und Maß­nah­men zum digi­ta­len Per­sön­lich­keits­schutz emp­foh­len. Digi­ta­ler Per­sön­lich­keits­schutz ist die Absi­che­rung der Akti­vi­tä­ten rele­van­ter par­la­men­ta­ri­scher und staat­li­cher Funk­ti­ons­trä­ger im digi­ta­len Raum. Dazu gehö­ren neben dem Schutz pri­va­ter E-Mail-Post­fä­cher auch Maß­nah­men wie die Veri­fi­zie­rung von Twit­ter- und Face­book-Accounts. Das BSI berät zudem zur siche­ren und ggf. anony­men Nut­zung des Inter­nets und der Sozia­len Netz­wer­ke, bei­spiels­wei­se über Ein­stel­lun­gen bzgl. Pri­vat­sphä­re und Sicher­heit.

Die fol­gen­den wei­te­ren Maß­nah­men­emp­feh­lun­gen schüt­zen nicht nur gegen geziel­te Spear­phis­hing-Angrif­fe auf Spit­zen­per­so­nal, son­dern sind auch sinn­voll gegen groß­flä­chi­ge, weni­ger pro­fes­sio­nel­le kri­mi­nel­le Phis­hing-Angrif­fe:

  • Geschäft­li­che Inhal­te soll­ten nicht über pri­va­te Post­fä­cher kom­mu­ni­ziert und bear­bei­tet wer­den.
  • Es ist sinn­voll, E-Mail-Kom­mu­ni­ka­ti­on zu ver­schlüs­seln.
  • Ver­wen­dung einer Zwei-Fak­tor-Authen­ti­fi­zie­rung, bei der das Ein­log­gen nicht allein durch die Ein­ga­be von Benut­zer­na­me und Pass­wort erfolgt, son­dern auch den Besitz eines Hard­ware-Tokens oder Smart­pho­nes erfor­dert. Man­che Web­mail-Dienst­lei­ster bie­ten die­se Funk­tio­na­li­tät bereits an.
  • Pass­wör­ter soll­ten grund­sätz­lich nicht auf Web­sei­ten ein­ge­ge­ben wer­den, die aus Mails her­aus ver­linkt wur­den. Siche­rer ist die Ein­ga­be eines Pass­wor­tes, wenn die Adres­se der Web­sei­te selbst im Brow­ser ein­ge­ge­ben oder der Auf­ruf aus einem eige­nen Lese­zei­chen her­aus erfolg­te.
  • Bei der Ein­ga­be eines Pass­wor­tes soll­te die Navigationszeile/​Adresszeile des Brow­sers geprüft wer­den: Garan­tiert der Brow­ser eine ver­schlüs­sel­te Sit­zung? Ist die Domain bekannt, also der Teil der Adres­se zwi­schen „https://“ und erstem Schräg­strich?
  • Mails, die auf einen geziel­ten Angriff gegen die geschäft­li­che Funk­ti­on hin­deu­ten, soll­ten nicht gelöscht, son­dern dem IT-Per­so­nal der Orga­ni­sa­ti­on gezeigt wer­den.
  • Wenn das Pass­wort auf einer nicht-ver­trau­ens­wür­di­gen Sei­te ein­ge­ge­ben wur­de, soll­te es im Zwei­fels­fall auf der Ori­gi­nal-Sei­te geän­dert wer­den.
  • Es ist sinn­voll, nach dem Ein­log­gen in das Mail-Account zu prü­fen, wann die letz­te Akti­vi­tät erfolg­te, falls der Anbie­ter dies anzeigt.