Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI MV) verzeichnet zunehmend Datenpannen, bei denen es Kriminelle auf sensible Daten von Bürgerinnen und Bürgern abgesehen haben, die bei Behörden gespeichert werden. „Erfolgreiche Angriffe können für die betroffenen Personen mit erheblichen Risiken verbunden sein“, warnt Sebastian Schmidt, der LfDI MV. Daher ruft Schmidt Behörden zum Handeln auf.

In den meisten Vorfällen werden Beschäftigte durch Social-Engineering-Angriffe gezielt manipuliert, um sensible Informationen preiszugeben. Kriminelle geben sich am Telefon als Mitarbeitende einer anderen Behörde oder der Polizei aus und fragen Informationen ab, die sie angeblich dringend für ein eigenes Verfahren benötigen würden. Um das Vertrauen zu gewinnen, werden bekannte, aus öffentlichen Quellen oder sozialen Netzwerken abrufbare Daten mitgeteilt. Zusätzlich werden auch die Telefonnummern des Anrufers gefälscht, indem die tatsächliche Nummer der vermeintlich anfragenden Behörde eingeblendet wird. Zur Vortäuschung weiterer Authentizität wird durch die Täter häufig mitgeteilt, dass ihnen bewusst sei, dass vertrauliche Informationen nicht einfach am Telefon übermittelt werden könnten. Insoweit kündigen die Täter in derartigen Fällen an, dass eine formale Anfrage per E-Mail folgt. Bei darauffolgenden E-Mails wird sodann die E-Mail-Adresse des vermeintlichen Absenders nur leicht verfälscht, indem einzelne Buchstaben oder Wörter ausgetauscht werden; der Anzeigename des Absenders wird häufig vollständig korrekt vorgetäuscht.

„Es wird immer schwerer, solche Anrufe und E-Mails als Angriffe zu identifizieren“, erklärt Schmidt. Das belegen leider auch die beim LfDI MV eingehenden Meldungen über Verletzungen des Schutzes personenbezogener Daten. Immer mehr Beschäftigte fallen auf dieses Vorgehen herein. Im schlimmsten Fall können dadurch Daten von Bürgerinnen und Bürgern für Identitätsdiebstähle oder sonstige kriminelle Zwecke genutzt werden.

„Alle Verantwortlichen sollten ihre Beschäftigten bezüglich derartiger Angriffe sensibilisieren“, rät Schmidt. Dies sollte sowohl anlassbezogen als auch in regelmäßigen Schulungen der Mitarbeitenden erfolgen. Darüber hinaus sollten Beschäftige auch entsprechend unterwiesen werden, personenbezogenen Daten oder sensible Informationen nur über sichere Kommunikations- und Übertragungswege zu übermitteln. Jegliche Informationsbegehren anderer Stellen sollten kritisch geprüft werden. „Ein Aufwand, der sich lohnt und für die Sicherheit der Daten von Bürgerinnen und Bürgern erforderlich ist! Diese Schulungen helfen nicht nur, sensible Daten sowie Amts- und Geschäftsgeheimnisse zu schützen, sondern stärken Mitarbeitenden auch den Rücken, wenn sie unter Druck gesetzt werden, Auskünfte zu erteilen“, erläutert Schmidt.

Unter www.datenschutz-mv.de veröffentlicht der LfDI MV weitere Informationen zum Thema. „Zusätzlich werden wir gezielt öffentliche Stellen anschreiben und an die notwendigen Schulungen der Beschäftigten erinnern“, kündigt Schmidt an.

Weitere Informationen zum Social-Engineering stellt auch das Bundesamt für Sicherheit in der Informationstechnik bereit: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Social-Engineering/social-engineering_node.html


Kontakt: presse@datenschutz-mv.de
Telefon:     0385 59494-56