Phishing Mails an der HSG

Die jüngste Welle von Phishing- Mails hat viele Studenten und Studentinnen verunsichert. Das Prisma hat sich deshalb an den Leiter der Serversysteme Stefan Heggli gewandt, um mit ihm über Ursachen und Gefahren zu sprechen.

Breits im Sommer 2018 gab es ein IT Leck mit Phishing Attacken an der HSG, was ist dieses Mal der Grund? Weshalb ist die HSG erneut betroffen und wie kommt es dazu, dass Betrüger auf den Verteiler mit den Universitätsmails zugreifen können.?
Ursache sind in beiden Fällen Phishing-Attacken (nicht zu verwechseln mit einem IT Leck). Die Angreifer versuchen dadurch von aussen ein Benutzerkonto einer Organisationenzu übernehmen. Der Benutzer wird dabei auf eine gefälschte Webseite gelockt und soll dort Benutzername und Passwort eingeben. Gelingt dies, werden über das E-Mail-Konto des betroffenen Benutzers weitere Phishing E-Mails innerhalb der Organisation versendet. Da es sich dann um eine interne Absender-Adresse handelt, wird es schwieriger für die Empfänger, das E-Mail als Phishing zu identifizieren. Bei über 17’000 Postfächern überrascht es leider nicht, dass einzelne auf solche E-Mails reinfallen. So steigen die Erfolgschance der Angreifer weitere Konten zu übernehmen. Sobald das erste Benutzerkonto übernommen wurde, haben die Angreifer wie ein normaler Benutzer Zugriff auf das E-Mail-Adressbuch der Organisation.

Wessen Schuld ist es, dass die HSG mit solchen Problemen zu kämpfen hat?
Phishing-Attacken sind ein globales Problem und nicht HSG-spezifisch.

Sind studentische Informationen und Daten in Gefahr?
Wenn durch Phishing die Angreifer an Benutzername und Passwort einer Person kommen, dann haben sie Zugriff auf alle Daten, auf welche die betroffene Person Zugriff hat. Wie die betroffene Person auch, haben die Angreifer so aber noch keinen Zugriff auf Daten anderer Benutzer.

Was passiert, wenn ich auf einen Link in der Spam Email geklickt habe? Wie sollte ich mich jetzt Verhalten?
Haben es die Angreifer nur auf Benutzername und Passwort abgesehen, ist noch kein Schaden entstanden, solange auf der Webseite diese Informationen nicht eingegeben wurden. Es ist jedoch auch möglich, dass die Webseite zusätzlich versucht, den PC mit Schadsoftware zu infizieren. Zur Sicherheit sollte der PC danach einer vollständigen Prüfung durch eine aktuelle Antivirus/-Malware Software unterzogen werden.

Weshalb ist die HSG nicht in der Lage dieses Problem in den Griff zu bekommen?
Das Erkennen von Phishing-E-Mail ist für technische Lösungen äusserst schwierig, da die Nachrichten selbst keine Schadsoftware enthalten und die böse Absicht dahinter schwer zu erkennen ist. Die HSG setzt in diesem Bereich modernste Technik ein, um die Benutzer so gut es geht vor solchen E-Mails zu schützen. 2018 haben diese Massnahmen 77% aller verarbeiteten E-Mails gefiltert und so dem Benutzer nicht zugestellt. Da die Angreifer immer raffinierter werden, kann es ab und zu dennoch vorkommen, dass trotz dieser Massnahmen ein solches E-Mail bis zum Empfänger gelangt.

Welche Möglichkeiten sehen Sie, damit in Zukunft so etwas nicht passiert?
Nebst den technischen Massnahmen, die immer wieder aktualisiert werden, ist es zudem äusserst wichtig, die Benutzer zu schulen und zu sensibilisieren, damit sie E-Mails kritisch hinterfragen und Phishing erkennen können. Die HSG hat für die Mitarbeitenden bereits im vergangenen Jahr eine Awareness-Kampagne zu diesen Themen gestartet. Diese hat unter anderem Informationsveranstaltungen, ein Live-Hacking-Event und eine unangekündigte Phishing-Simulation beinhaltet. Eine Erweiterung des Benutzerkreises auf die Studierenden ist aktuell nicht konkret geplant, wird aber nicht ausgeschlossen.

Wir möchten Sie in diesem Zusammenhang noch mit weiteren Informationen zum Thema versorgen:

o    An der HSG gibt es ein Meldestelle für solche Fälle: sende Sie ein E-Mail an abuse@unisg.ch

o    Schweizer Melde- und Analysestelle Informationssicherung MELANI

o    Schweizer Meldestelle für Phishing

o    Meldestelle für Phishing von SWITCH

o    Artikel zu Phishing auf heise.de


Leave a Reply

Your email address will not be published. Required fields are marked *

*

*

*