Gefälschte und phishing E-Mails sind heute alltäglich. Viele Mitarbeiter:innen fragen sich, wie sie damit umgehen sollen. Dieses Dokument hilft Ihnen, solche E-Mails richtig zu behandeln. Es enthält rechtliche Anforderungen und praktische Tipps. Ihr Handeln stärkt die Sicherheit Ihrer Organisation gegen zunehmende IT-Risiken. Dafür bedankt sich Ihr Datenschutz-Team.
1. Nicht jede E-Mail muss gemeldet werden
Die meisten gefährlichen E-Mails werden durch automatische Filter und Schutzprogramme abgefangen (ca. 80 – 90%). Wenn eine solche E-Mail in Ihrem Posteingang landet, ist die Frage, ob sie sicherheitsrelevant ist oder gelöscht werden kann.
E-Mails im SPAM- oder JUNK-Ordner müssen Sie nicht melden, da hier die Sicherheitstechnik gegriffen hat. Melden Sie ausschließlich gefälschte oder Phishing-E-Mails, die sich in Ihrem Posteingang befinden.
2. Diese E-Mails melden Sie
1. Diese E-Mails melden Sie
Wir haben diesen Fragebogen erstellt. Wenn Sie eine der Punkte auf die fragliche E-Mail zutrifft, kontaktieren Sie bitte Ihre IT-Abteilung oder Vorgesetzten:
- Absenderadresse überprüfen: Ist die E-Mail-Adresse des Absenders verdächtig oder unbekannt? Achten Sie auf kleine Abweichungen in der Domain (z.B. @micros0ft.com statt @microsoft.com).
- Betreffzeile und Inhalt: Ist der Betreff oder der Inhalt der E-Mail ungewöhnlich oder alarmierend? Phishing-E-Mails verwenden oft dringende oder bedrohliche Sprache, um Sie zur schnellen Reaktion zu bewegen.
- Grammatik und Rechtschreibung: Enthält die E-Mail viele Rechtschreib- oder Grammatikfehler? Seriöse Unternehmen achten auf korrekte Sprache in ihren E-Mails.
- Links und Anhänge: Bevor Sie auf Links klicken oder Anhänge öffnen, fahren Sie mit der Maus über den Link, um die tatsächliche URL anzuzeigen. Ist die URL verdächtig oder unbekannt? Öffnen Sie keine Anhänge von unbekannten Absendern.
- Persönliche Informationen: Fordert die E-Mail persönliche oder sensible Informationen an, wie Passwörter, Kreditkartennummern oder Sozialversicherungsnummern? Seriöse Unternehmen fragen niemals per E-Mail nach solchen Informationen.
- Ungewöhnliche Anrede: Wird eine allgemeine Anrede wie „Sehr geehrter Kunde“ verwendet, anstatt Ihres Namens? Phishing-E-Mails verwenden oft allgemeine Anreden.
- Ungewöhnliche Aufforderungen: Fordert die E-Mail Sie auf, ungewöhnliche Aktionen durchzuführen, wie z.B. Geld zu überweisen oder Software zu installieren? Seien Sie vorsichtig bei solchen Aufforderungen.
- Fehlende oder falsche Kontaktdaten: Enthält die E-Mail keine oder falsche Kontaktdaten des Absenders? Seriöse E-Mails enthalten immer korrekte Kontaktdaten.
- Ungewöhnliche Dateianhänge: Enthält die E-Mail Anhänge mit ungewöhnlichen Dateiformaten oder -namen? Seien Sie vorsichtig bei Anhängen, die Sie nicht erwarten.
- Überprüfen Sie die Echtheit: Wenn Sie unsicher sind, kontaktieren Sie das Unternehmen direkt über eine offizielle Website oder Telefonnummer, um die Echtheit der E-Mail zu überprüfen.
3. Wie erfolgt die Meldung an Ihre IT-Abteilung?
Bitte leiten Sie die E-Mail keinesfalls direkt an Ihre IT-Abteilung weiter, da dies bei einem tatsächlichen Angriff das Risiko erhöhen könnte.
Am besten machen Sie einen Screenshot und senden diesen an die IT-Abteilung/ Ihre EDV-Beauftragten. Verwenden Sie immer die festgelegten Kommunikationskanäle (E-Mail, Ticket-System, Telefonat, Messenger).
Falls Ihnen diese Kanäle nicht bekannt sind, wenden Sie sich bitte an Ihre Vorgesetzten.