---

@vogtsburger  schrieb:

 

... da mir der zeitliche und finanzielle Aufwand zu hoch war

---

... wie hoch ist der zeitliche und finanzielle Aufwand oder auch "der Schaden", wenn der falsche Klick das gesamte Unternehmen verschlüsselt?

MMn lässt sich das Risiko eines falschen Klicks nicht ausmerzen. Und wenn es die Bewegung selbst ist, die einem versehentlich passiert.

Die Anzahl an Vorfällen in der Branche, selbst aufgrund trivialer Phishing-Mails und Beiträge dieser Art beschreiben exzellent, warum es in Deutschland nicht gut um die IT-Sicherheit bestellt ist. Gönnen Sie Ihrem IT-Dienstleister die paar Kröten und testen Sie es doch mal im Alltag. 😉 Es gibt keine bessere didaktische Methode als "Learning by doing".

Abgesehen davon fordern die Cyber-Versicherer entsprechende Maßnahmen zur Risikominimierung im Bereich Security-Awareness.

Unsere IT hat selbst mal einen Phishing-Test durchführen lassen.

Über einen externen Anbieter wurde eine angebliche von der IT-Leitung versandte E-Mail an die MA geschickt, worin sie aufgrund einer Telefonanlageneinrichtung einmalig ihre Zugangsdaten eingeben sollten damit die Verbindung als SSO zum LDAP funktioniert.

Das erschreckende Ergebnis: 25% der Mitarbeiter haben geklickt und die geforderten Daten eingegeben.

Seitdem werden wir 2x im Jahr geschult und 1x Monat darauf hingewiesen achtsam zu sein.

---

@ChrisW  schrieb:

 

 

Seitdem werden wir 2x im Jahr geschult und 1x Monat darauf hingewiesen achtsam zu sein.

 

---

Man kann sowas nicht oft genug durchführen. Man muss sich über die Naivität der Anwender/Anwenderinnen nicht mehr wundern. Man sieht es ja schon an einfachen Mails, denen überwiegend "getraut" wird.

100% Sicherheit gibt es allerdings nicht...

Wenn man sich diese Meldung(en) ansieht, ist es doch total praktisch, dass SecurePoint hier auch (optional) noch einen Darkweb Scan mitliefert, der die eigene E-Mail-Adresse auf Vorhandensein in solchen Leaks prüft: 16 Milliarden Zugangsdaten: Kein neuer Leak, viele alte Daten | heise online

Im Moment treffen besser gemachte E-Mails ein, bei denen man etwas länger nachdenken muss. Neulich war es eine E-Mail angeblich von einem Inkassounternehmen wegen offener Amazon-Posten, nun angeblich von einer Berufsgenossenschaft. In beiden Fällen lautete der Name des Anhangs "Informationsblatt-und-Rechnung.pdf". Gedroht wird mit Zwangsvollstreckung und einem angeblich vorhandenen Vollstreckungstitel. Überwiesen werden sollten um die 500 € auf ein Konto in Italien. Dokumente sind in allen Fällen ziemlich gut gefälscht, in diesem Fall wurde wohl das Rechnungsformular der DGUV (bis auf die Kontonummer) relativ gut gefälscht.

Erkennungsmerkmale: Absender-E-Mail-Adresse "merkwürdig" (Weiterleitung auf wirkliche Webseite der DGUV ist aber eingerichtet), die BU ist (in unserem Falle) nicht die richige, auf der "Rechnung" ist nur unser Firmenname ohne Adresse, Drohgebärde mit Zwangsvollstreckung (Drohung ist immer ein Merkmal!), Zeitdruck ("nur drei Tage") ebenso.

Drohungen und Zeitdruck sind keine guten bzw. keine 'sicheren' Erkennungsmerkmale für Fake-Nachrichten und gefälschte Zahlungsaufforderungen.

In jedem beliebigen Behördenschreiben wird mit Konsequenzen und empfindlichen Gebühren bei nicht rechtzeitiger Zahlung gedroht 😎

Das sehe ich anders. Drohung inkl. Zeitdruck sollte immer ein Warnsignal sein und dafür sorgen, dass wir cool statt panisch reagieren und fünf Minuten länger nachdenken sollten.

Ein Bekannter hatte jetzt mehrere SMS von (vorgeblich) Google bekommen, dass versucht würde sich in seinen Account einzuloggen und er möge bitte auf goo.gl/<Zahl> gehen und das dort überprüfen. goo.gl ist der Google-eigene Link-Shortener, den bspw. auch Google Maps verwendet. Der Link führte dann jeweils auf eine sites.google.com-Seite, auf der er das Google Login-Formular (nachgebaut, natürlich) präsentiert bekam.

Das war schon echt gut gemacht, zumal zu dem Zeitpunkt wirklich jemand versuchte, sich Zugriff auf seinen Account zu verschaffen. Er hatte das Glück, dass er als IT-ler weiß, dass sites.google.com deren Hosting-Angebot ist und von Google selbst nicht genutzt wird. Und dass Google nicht nochmal zum Login auffordert, wenn man schon eingeloggt ist. Fishy war auch, dass SMS und Login-Seite auf Englisch waren.

Aber technisch weniger versierte Nutzerïnnen können darauf voll reinfallen. Und das ist auch einer der Gründe, warum Google das öffentliche Angebot des goo.gl-Shorteners im August einstellt und ihn nur noch für eigene Dienste nutzt.

gerade eben erhalten , sieht aus meiner Sicht alles gut aus. Stutzig gemacht hat mich die DGUV und ihre Rechnung in einem Dokument. 

Genau das habe ich heute auch erhalten.