Gefälschte Spam-Mails: Justizministerium veralbert Mitarbeiter

Das Verbrechen hat einen Namen: Phishing. Eigentlich sollte inzwischen jeder PC-Benutzer wissen, dass man auf merkwürdige E-Mails, die vorgeblich von der eigenen Bank, dem Kreditkartenanbieter oder populären Internet-Angeboten kommen und zur Eingabe oder "Verifizierung" der eigenen Daten auffordern, am besten erst gar nicht reagiert. Trotzdem klicken noch immer abertausende Menschen solche Botschaften an - und sorgen dann beispielsweise dafür, dass Gauner mit diesen Informationen ihr Konto abräumen oder in ihrem Namen und auf ihre Kosten Internet-Bestellungen aufgeben können.

In den USA hat nun das für die Verfolgung solcher Straftaten zuständige US-Justizministerium (Department of Justice, DoJ) versucht, seine eigenen Mitarbeiter für die Problematik zu sensibilisieren - mit rabiaten Methoden. Seit einigen Wochen kursiert dort eine Mail an Angestellte, die angeblich vom Koordinator eines offiziellen Sparplanes der Regierungsbehörde stammt. Darin werden die Empfänger aufgefordert, bis Ende Januar auf einer Website ihre Zugangsdaten für die Systeme des DoJ einzugeben, um an der "sicheren Anlage" teilzunehmen. Offenbar wird dabei versucht, die Ängste der Angestellten um ihre Ersparnisse auszunutzen: In den USA gab es in den letzten Monaten zahlreiche Bankpleiten.

Wie sich inzwischen herausstellte, stammen die Mails allerdings weder von einem offiziellen Sparplankoordinator noch einem Phishing-Gauner, der sich ausgerechnet die Strafverfolger als Opfer ausgeguckt hat. Stattdessen hatte ein DoJ-Angestellter die Idee, die Mitarbeiter seiner Behörde zu testen. Es handele sich um eine "Sicherheitsüberprüfung", sagte Sprecherin Gina Talamona gegenüber der Nachrichtenagentur ap. Sie sei zudem zur vollen Zufriedenheit der Behörde abgeschlossen worden. Tatsächlich hatten sich DoJ-Angestellte gleich nach Kursieren der Sparplan-Mails gegenseitig gewarnt, den Botschaften keinesfalls Folge zu leisten. Wie viele Nutzer dennoch auf den Phishing-"Hoax" hereingefallen seien, wollte Talamona nicht sagen.

Die Notwendigkeit einer stärkeren Sensibilisierung von Büromitarbeitern gegenüber Internet-Angriffen zeigte auch ein Vorfall aus England, der im Herbst weltweit in die Schlagzeilen geriet: Damals befiel eine Variante des eigentlich bereits als altertümlich geltenden "MyDoom"-Wurms für Windows-Rechner gleich drei größere Londoner Krankenhäuser. Insgesamt 4700 einzelne PCs sollen dabei innerhalb weniger Stunden über das interne Netzwerk infiziert worden sein. Es kostete die IT-Mannschaft mehrere Tage, bevor die Systeme wieder reibungslos liefen und "entseucht" waren; die Verwaltung musste einen "schwerwiegenden internen Vorfall" ausrufen. Krankenwagen mussten zwischenzeitlich auf andere Hospitäler verteilt werden, während die Krankenakten der verbliebenen Patienten "per Hand" bearbeitet wurden, was zu starken Verzögerungen bei der Versorgung führte und andere Behandlungsformen, die den digitalen Datenzugriff voraussetzen, schlicht ganz unmöglich machte.

Der zentrale britische Gesundheitsversorger NHS gab in einem abschließenden Bericht, der in der letzten Woche erschien, zwar an, der Malware-Befall habe niemals Patienten in Gefahr gebracht und auch sensible Daten seien nicht zerstört worden oder in falsche Hände geraten. Dennoch habe es sich um einen "vollkommen vermeidbaren" Zwischenfall gehandelt. So habe sich im Nachhinein ergeben, dass die betroffenen PCs zwar über eine ständig aktualisierte Anti-Viren-Software verfügt hätten. Diese sei aber schlicht falsch konfiguriert gewesen. "Das hinterließ dann eine Hintertür, durch die das Netzwerk infiltriert werden konnte", so der NHS-Bericht. Glück im Unglück: Böser Wille sei bei dem Virenbefall wohl nicht im Spiel gewesen, sondern die "MyDoom"-Variante versehentlich auf die Rechner geraten. Die Krankenhausverwaltungen wollen nun ihre IT-Prozesse überdenken, damit solche Probleme nicht mehr auftreten können; auch die stärkere Information der Mitarbeiter gehört dazu. Phishing-Testmails wie im US-Justizministerium sind allerdings wohl nicht zu erwarten.