Vorsicht Haftung: Gezielter Angriff auf private E-Mail-Nutzer am Arbeitsplatz

Eine gezielte Attacke nutzt eine bis vor kurzem unbekannte Sicherheitslücke in Microsoft Hotmail. Wenn die Nutzer des Webmail-Dienstes den Cyberkriminellen an ihrem Arbeitsplatz ins Netz gehen, besteht ein erhöhtes Risiko, dass nicht nur persönliche Informationen des jeweiligen Nutzers gestohlen werden, sondern auch vertrauliche Unternehmensinformationen. Dadurch drohen – neben materiellen und immateriellen Schäden – Haftungsrisiken für Vorstände und Geschäftsführer.

Der Angriff erfolgt über eine fingierte E-Mail, die vermeintlich vom Facebook-Sicherheitsteam abgeschickt wurde. Dieser Angriff ist auch deshalb so gefährlich, weil bereits die Voransicht der gefälschten Nachricht genügt, um die Infektion auszulösen.

Microsoft hat bereits ein Sicherheitsupdate veröffentlicht, mit der sich die Sicherheitslücke schließen lässt. Auch wenn damit die akute Bedrohung für Hotmail-Nutzer gebannt ist, dürfte ein ganz anderes Thema neue Nahrung erhalten: die rechtliche Diskussion um die private Nutzung von E-Mails am Arbeitsplatz oder von Rechnern aus, die ganz oder teilweise für berufliche Zwecke genutzt werden. Ein Thema also, bei dem damit zu rechnen ist, dass die Cyberkriminellen Webmail-Dienste und ihre Nutzung im Unternehmen auch weiterhin gezielt ausnutzen werden.

Denn während sich die private E-Mail-Nutzung im Unternehmenskontext in den USA einfach verbieten lässt, sieht die Rechtslage in den meisten europäischen Ländern komplizierter aus – Deutschland inklusive. Und schon droht Vorständen und Geschäftsführern ein Dilemma: Einerseits müssen sie die Privatsphäre ihrer Mitarbeiter achten, andererseits unter Umständen für die aus der privaten E-Mail-Nutzung entstehenden Schäden persönlich haften.

Trend Micro rät daher den Unternehmen dringend zu prüfen, ob auch Firmendaten über den privaten Account empfangen oder versandt wurden. Unter Umständen ist sogar darüber nachzudenken, ob die geschäftliche Arbeitsumgebung von der „privaten“ komplett zu trennen ist – sei es über verschiedene physikalische Maschinen (öffentliche „Surfterminals“) oder über Virtualisierung.

Trend Micro schützt seine Kunden vor der beschriebenen Attacke bereits seit dem 13. Mai. Seither sorgen Trend Micros Reputationsdienste zur Bewertung von Webadressen und Dateien dafür, dass das Herunterladen und Ausführen des Spionageprogramms verhindert werden.

Trend Micro hat Microsoft übrigens sofort nach Entdeckung des Angriffs auf die Sicherheitslücke aufmerksam gemacht. Dies geschah im Rahmen einer Kooperation der beiden Unternehmen, um Kunden durch den koordinierten Austausch von Informationen bestmöglich zu schützen.

Weiterführende Informationen finden sich im englischsprachigen Blog-Eintrag

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*