E-Mail ist inzwischen auch im Schulalltag angekommen. Durch die große Verbreitung und die einfache Handhabung sind E-Mails aber auch ein beliebtes Angriffsziel für Kriminelle. Vor diesen kriminellen Machenschaften kann sich jeder selbst schützen. Wer seine Mails mit Umsicht bearbeitet, zuerst denkt und erst dann klickt, ist schon eine Spur sicherer.

Leider weiß man bei manchen Mails erst nach dem Öffnen, ob sie eine Gefahr darstellen. Aktuell sind die größten Gefahren Phishing-Attacken oder Ransomware, die über Phishing-Mails verbreitet wird. Im Folgenden gibt's dazu ein paar einfache Tipps:

Phishing ist der Versand gefälschter Mails, die Menschen dazu verleiten sollen, auf einen Betrug hereinzufallen. Phishing-Mails zielen meistens darauf ab, wertvolle Informationen (Zugangsdaten, Finanzinfos, ...) zu erschleichen.

Ein Phishing-Mail richtet sich oft an eine breite Masse von Empfängern. Meist werden dafür Mailadressen aus illegal erworbenen Adressdatenbanken verwendet. Es gibt aber auch Phishing-Angriffe, die gezielt an einzelne Personen gerichtet sind. Diese sind besonders schwer zu erkennen.

Der Mailinhalt sieht oft wie ein legitimes Mail einer bekannten Firma oder Marke aus. Inhaltlich vermitteln die Mails oft ein Gefühl der Dringlichkeit oder einer drohenden Gefahr. Nicht selten warnen Phishing-Mails selbst davor, dass die eigenen Daten gefährdet sind. Das Mail enthält dann immer einen Link auf eine Webseite, der laut dem Mailinhalt unbedingt angeklickt werden muss, um die Gefahr abzuwenden.

Wenn die Versender des Phishing-Mails neben der Mailadresse noch an andere Daten gekommen sind, verwenden diese oft eine persönliche Anrede im E-Mail. Dadurch wirken die Nachrichten authentischer.

Wie erkenne ich aber nun ein Phishing-Mail?

Oftmals erkennt man ein Phishing-Mail bereits am Absender:

• Firmen schreiben immer unter ihrer eigenen Domain (@firmenname.at). Kommt ein offizielles Mail von einem Freemail-Account (@gmx.at, @web.de, @gmail.com), so ist Vorsicht angesagt. So unprofessionell verhält sich normalerweise keine Firma mehr.
• Fortgeschrittene Phisher registrieren Domains mit ähnlich klingendem Namen, oder tauschen Buchstaben aus: @aI.net (statt @a1.net), @mircosoft.de (statt @microsoft.de), usw.
  Da heißt es - genau hinsehen, von wem das Mail kommt.

Hat man das Mail bereits geöffnet:

• Klicke nie auf den Link, der im Mail angezeigt wird. Wenn eine Firma einen Login verlangt, so gib die Adresse direkt im Browser händisch ein - oder verwende ein Lesezeichen, wenn vorhanden.
• Wenn auf den Link geklickt wurde, so wird im günstigsten Fall eine Webseite angezeigt, auf welcher man Daten eingeben soll. Die Webadresse in der Adresszeile verrät, ob man auf einer gefälschten Seite ist, auch wenn sie täuschend echt aussieht. Eine Webseite nachzubauen, ist keine große Kunst.
  Auch bei der Adresse gilt es, genau hinzusehen - die Namen sind oft ähnlich, oder als Teil einer anderen Domain (https://www.microsoft.real.de)
  Auf diesen Webseiten dürfen niemals Daten eingetippt werden.

Mailanhänge sind generell mit Vorsicht zu behandeln. Sie können Schadsoftware enthalten, die im schlimmsten Fall die Daten auf den Datenträgern verschlüsseln oder zerstören (Ransomware).

Wird eine verdächtige Datei nur gespeichert, aber nicht geöffnet oder ausgeführt, passiert noch nichts. Um eine gespeicherte Datei auf Schadsoftware zu prüfen, kann ein kostenloser Online-Virenscanner wie VirusTotal verwendet werden. Dabei muss nicht unbedingt die Datei hochgeladen werden. Jede Datei hat eine eindeutige Signatur, einen Hash. Dieser kann berechnet und anschließend gerpüft werden. Dadurch werden keine Daten übermittelt, die datenschutzrechtlich relevant sein könnten. Aus dem Hash kann die Datei nämlich nicht wieder hergestellt werden.

Wenn es datenschutzrechtlich unbedenklich ist, kann man aber auch die Datei direkt hochladen.

VirusTotal: https://www.virustotal.com/gui/home/upload

• Unter dieser URL kann die Datei hochgeladen werde. Unter SEARCH ist die Angabe eines Hashes möglich.
• Ein Hash wird über die Powershell mit dem Befehl Get-FileHash <dateipfad> errechnet.
• Wenn mehrere Scanner auf VirusTotal Alarm schlagen, so ist die Datei mit großer Sicherheit mit Schadsoftware verseucht und sollte gelöscht werden.

Wurde die Datei bereits geöffnet oder gestartet, so sollte schnell geprüft werden, ob eventuell eine Ransomware im Hintergrund arbeitet. Dass Ransomware am Werk ist, erkennt man daran, dass auf dem Datenträger vermehrt seltsame Dateinamen auftauchen, und teilweise auch Textdateien, die Hinweise auf eine Verschlüsselung oder Erpressung enthalten.

Hat eine Ransomware bereits zugeschlagen, so ist anzuraten, den Computer SOFORT abzuschalten - falls die Ransomware den Abschaltvorgang verhindert, notfalls rabiat, in dem man den Stromstecker zieht. Anschließend ist (an der Schule) der IT-Betreuer darüber zu informieren. Der Computer sollte nur noch von Fachleuten eingeschaltet werden.

https://www.heise.de/hintergrund/Gefahrloser-Umgang-mit-E-Mails-7238154.html

https://www.proofpoint.com/de/threat-reference/phishing

https://www.juraforum.de/lexikon/phishing