«Phishing ist in der Öffentlichkeit ein Thema geworden»

Sie werden immer raffinierter und damit immer gefährlicher: Jean-Luc Nottaris, Leiter ICT-Risikomanagement & Informationssicherheit, erklärt, wie sich die Post gegen Phishing-Angriffe schützt.

15.03.2016
Interview: Lea Freiburghaus; Fotos: Yoshiko Kusano; Illustrator: Dennis Oswald, Branders
Jean-Luc Nottaris, Leiter ICT-Risikomanagement & Informationssicherheit

Jean-Luc Nottaris, Leiter ICT-Risikomanagement & Informationssicherheit

80 Prozent der Mitarbeitenden, die an der Umfrage teilgenommen haben, wurden noch nie Opfer einer Phishing-Attacke. Überrascht Sie das Ergebnis?

Nein, denn wir haben nach Phishing-Attacken bei der Arbeit gefragt. Hätten wir die Frage generell formuliert, wären weit mehr Mitarbeitende betroffen gewesen.

Was versteht man unter einer Phishing-Attacke? Oder anders gefragt: Wann wird man Opfer?

Unter Phishing versteht man Versuche, über gefälschte Websites, E-Mails oder SMS an Daten eines Internetbenutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Dabei wird die Gutgläubigkeit und Hilfsbereitschaft der Empfänger ausgenutzt. Zum Opfer wird man streng genommen erst dann, wenn man hereingefallen ist und Daten von sich preisgegeben hat.

Ist jede Phishing-Attacke auch gleich geschäftsschädigend?

Das Ziel jeder Phishing-Attacke ist ein wirtschaftlicher Nutzen. Das heisst, der Angreifer will damit Geld verdienen.

Wer steckt hinter den Phishing-Attacken?

Die organisierte Kriminalität, die meist aus dem Ausland operiert und in der Schweiz nur über Mittelsmänner verfügt. In seltenen Fällen sind es auch staatliche Organisationen wie Geheimdienste, die Phishing-Mails als Werkzeug einsetzen.

Gibt es noch andere Phishing-Attacken ausser per E-Mail?

Ja, solche Attacken können auch via Telefon erfolgen, zum Beispiel getarnt als Anrufe von angeblichen Microsoft-Mitarbeitenden. Oder eine Kombination aus E-Mail und vorgängigem Telefonanruf, um so die Quote derer, die auf den Link klicken, zu erhöhen. Und es gibt sogar Phishing-Angriffe per Brief.

Stichwort «CEO Fraud», also E-Mails im Namen von Konzernleitungsmitgliedern: Ist das ein Thema bei der Post?

Ja, wir konnten solche E-Mails bereits mehrmals abfangen. Zurzeit sind sie noch einfach zu erkennen.

Was sind die neusten Trends in Sachen Phishing?

Einerseits Massenmails, die für die Urheber offensichtlich rentabel sind. Denn es reicht schon, wenn nur ein paar wenige darauf hereinfallen. Andererseits werden gezielte Phishing-Mails verschickt, die so gut formuliert und gestaltet sind, dass sie kaum verräterische Merkmale aufweisen. Vor allem letztere können für die Post gefährlich werden.

Die Post führt regelmässig Sensibilisierungsaktionen zum Thema Phishing durch. Wie beurteilen Sie die Wirkung dieser Aktionen?

Sie ist schwierig zu messen, weil die Klickrate bei Phishing-Aktionen von sehr vielen Faktoren abhängig ist. Dass im Vergleich zur letzten Phishing-Aktion dieses Jahr nur noch halb so viele Mitarbeitende hereingefallen sind, liegt bestimmt auch daran, dass nicht nur die Post, sondern auch Banken, Onlinehändler und weitere Organisationen im privaten Umfeld vor Phishing warnen. Phishing ist in der Öffentlichkeit ein Thema geworden. Das hilft uns.

Was tut die Post sonst noch, um sich zu schützen?

Technisch gesehen gibt es drei Stellen, an denen die Post aktiv werden kann. Erstens am Übergang vom Postnetz zum Internet, wo Phishing-Mails blockiert und unliebsame Websites gesperrt werden. Zweitens am PC: Dort sorgen Virenschutzsoftware, Personal Firewall und weitere Sicherheitsprogramme dafür, dass der Computer sauber bleibt. Und drittens im Internet, wo IT Post aufgrund von Hinweisen die zuständigen Internet-Dienstanbieter auffordert, die jeweiligen Phishing-Sites vom Netz zu nehmen.

Was sollten Postmitarbeitende tun, wenn sie eine Phishing-Mail bekommen?

Sie sollen sie sofort löschen. Falls sie sich versichern möchten, ob es sich tatsächlich um einen Phishing-Angriff handelt, können sie sich an das User Help Desk (UHD) wenden.

Intranet

Informationssicherheit Konzern (nur DE) pww.post.ch/security

PostConnect-Blog: pww.post.ch/LDNK

User Help Desk, UHD: pww.post.ch/uhd

CISOs der Bereiche (IT-Sicherheitsbeauftrage): pww.post.ch/cmsservices/file/id/60238/d

Internet

Melde- und Analysestelle Informationssicherung MELANI: www.melani.admin.ch/melani/de/home/themen/phishing.html

Meldeseite für Phishing-Versuche von MELANI: www.antiphishing.ch

Tipps von PostFinance zur Sicherheit und Datenschutz: https://www.postfinance.ch/de/cust/secure/onlinesec/

Ergebnisse der Februar-Umfrage

«Wurden Sie geschäftlich schon Opfer einer Phishing-Attacke?»