Zum Inhalt springen
Menü
Technische Universität München
Technische Universität München

An wen verschicken Sie vertrauliche Daten?

Angenommen Sie erhalten von Ihrem Chef eine Mail wie die Folgende:

Von: Hans Pongratz <HansPongrats@gmx.de>
An: Max Mustermann <max.mustermann@tum.de>
Betreff: Eilig: Mitarbeiterliste benötigt

 

Sehr geehrter Herr Mustermann,

der Präsident bat um eine Zusammenstellung über die Mitarbeiter des Campus-Management-Teams.

Leider habe ich von meinem Urlaubsort nur beschränkten Zugriff auf die Systeme der TUM, deshalb bitte ich Sie mir eine Liste dieser Mitarbeiter mit Namen, Mitarbeiternummer, Telefonnummer, Mailadresse, Eingruppierung und Vertragsende zu übermittelt.

Wie üblich ist die Sache dringend, so dass ich Sie bitten muss, mir die Daten noch heute zuzuschicken.

 

Besten Dank,
Hans Pongratz
--
Dipl.-Inf. Hans Pongratz
Vizepräsident IT-Systeme & Dienstleistungen (CIO) der Technischen Universität

Was tun Sie?

Besorgen Sie die Daten und antworten Sie auf diese Mail oder sind Sie eher misstrauisch?

Ein Angreifer findet alle Fakten, die obiger Mail Authentizität verleihen, sehr schnell im Internet. Probieren Sie es aus.
Suchen Sie nach "Hans Pongratz" und sehen Sie sich seine Vita an. Relativ einfach findet man sogar ein wahrscheinlich passendes Empfänger-Opfer, wenn man z.B. nach dem Campus-Management-Team der TUM sucht. Herr Mustermann oben ist natürlich fiktiv.

Ist Ihnen aufgefallen...?

Ist Ihnen aufgefallen, dass die Mail zwar von Hans Pongratz zu kommen scheint, aber von einem "gmx.de"-Account geschickt wurde? Noch dazu hat sich ein kleiner Schreibfehler in den Namen eingeschlichen.
Leider prüft gmx.de nicht, ob der Name und die Mailadresse zur Person passt und sicher nicht, ob es DER Hans Pongratz ist. Jeder könnte sich so eine Adresse zulegen!

Wozu der Aufwand?

In obigen Fall hätte ein Angreifer, der sein Opfer so überlistet, eine Liste mit sensiblen Daten von Mitarbeitern eines sehr zentralen IT-Projekts.
Was könnte er nun damit anfangen?

  • Ein Bestechungsversuch bei jemanden, der eher niedrig eingruppiert ist oder dessen Vertrag ausläuft?
  • Ein Abwerbeversuch anderer Universitäten die dringend fachkundiges Personal für die Einführung von Campus-Online benötigen?
  • Oder der Angreifer geht einen Schritt weiter, erstellt ein Profil auf Facebook/Xing/LinkedIn (eventuell auch im Namen von Hans Pogratz, falls dieser dort noch nicht vertreten ist) oder ähnliches und versucht sich mit Mitarbeitern anzufreunden. Schon viele vertrauliche Daten wurden über soziale Netzwerke "ausgeplaudert", weil man sich dort privat fühlt.

Was also tun, wenn man in eine ähnliche Situation kommt?

  • Zunächst, nehmen Sie sich Zeit um zu überlegen, ob die Situation plausibel ist. Ist der Chef tatsächlich im Urlaub und von den TUM-Systemen abgeschnitten?
  • Sind Sie im Zweifel, rufen Sie den Absender an und erkundigen sich, ob die Mail von ihm stammt.
  • Verschicken Sie vertrauliche Daten nur an Empfänger, denen Sie vertrauen:
    also
    • Empfänger, deren Mailadressen Sie bereits kennen. Misstrauen Sie unbekannten Mailadressen, auch wenn Sie plausibel wirken.
    • Verschicken Sie vertrauliche Daten am Besten nur an Mailadressen, die auf ".tum.de", "@tum.de" oder "@mytum.de" enden und möglichst nicht an Privatadressen. Jedes Mitglied der TUM kann sich eine Mailadresse @tum.de einrichten und z.B. über das Webfrontend (https://mail.tum.de) die E-Mailadresse von überall auf der Welt abfragen, auch über ein Smartphone! Wer eine web.de, gmx.de, google-mail.com-Mailadresse abfragen kann, kann auch eine @tum.de-Adresse abfragen.
    • Falls möglich, packen Sie die Daten in eine passwortgeschützte ZIP-Datei und übermitteln Sie das Passwort per Telefon.
  • Und wenn Sie auf "Antworten" klicken: prüfen Sie die E-Mailadresse des Empfängers in der Antwort. In E-Mails kann man die Adresse, an die eine Antwort gehen soll, unabhängig von der Absendeadresse einstellen. Eine E-Mail könnte also als Absender pongratz@tum.de zeigen und gleichzeitig als Antwortadresse HansPongrats@gmx.de eingetragen haben.
To top