Gefälschte und phishing E-Mails sind heute alltäglich. Viele Mitarbeiter:innen fragen sich, wie sie damit umgehen sollen. Dieses Dokument hilft Ihnen, solche E-Mails richtig zu behandeln. Es enthält rechtliche Anforderungen und praktische Tipps. Ihr Handeln stärkt die Sicherheit Ihrer Organisation gegen zunehmende IT-Risiken. Dafür bedankt sich Ihr Datenschutz-Team.
1. Nicht jede E-Mail muss gemeldet werden
Die meisten gefährlichen E-Mails werden durch automatische Filter und Schutzprogramme abgefangen (ca. 80 – 90%). Wenn eine solche E-Mail in Ihrem Posteingang landet, ist die Frage, ob sie sicherheitsrelevant ist oder gelöscht werden kann.
E-Mails im SPAM- oder JUNK-Ordner müssen Sie nicht melden, da hier die Sicherheitstechnik gegriffen hat. Melden Sie ausschließlich gefälschte oder Phishing-E-Mails, die sich in Ihrem Posteingang befinden.
2. Diese E-Mails melden Sie
Wir haben diese Checkliste erstellt. Wenn Sie eine der Fragen mit Ja beantworten, kontaktieren Sie bitte Ihre IT-Abteilung/ Ihre EDV-Beauftragten:
- Wird Ihr Vor- und Nachname in der E-Mail persönlich angesprochen?
- Nutzt die gefälschte E-Mail die Absenderadresse Ihrer Organisation, um Zugehörigkeit vorzutäuschen?
- Verwendet die E-Mail die Unterschrift von Mitarbeitenden Ihrer Organisation (Name, Adresse, Logo usw.)?
- Bezieht sich die E-Mail auf echte Inhalte aus Ihrer Organisation?
- Erhalten Sie viele gefälschte E-Mails, die nicht im Junk-/SPAM-Ordner landen?
3. Wie erfolgt die Meldung an Ihre IT-Abteilung?
Bitte leiten Sie die E-Mail keinesfalls direkt an Ihre IT-Abteilung weiter, da dies bei einem tatsächlichen Angriff das Risiko erhöhen könnte.
Am besten machen Sie einen Screenshot und senden diesen an die IT-Abteilung/ Ihre EDV-Beauftragten. Verwenden Sie immer die festgelegten Kommunikationskanäle (E-Mail, Ticket-System, Telefonat, Messenger).
Falls Ihnen diese Kanäle nicht bekannt sind, wenden Sie sich bitte an Ihre Vorgesetzten.