Phishing-Mails

Liebe Mitarbeitende und Studierende der Universität und der Universitätsmedizin Greifswald,

aktuell werden wieder massiv Phishing-Mails versandt. Aus aktuellem Anlass bitten wir Sie dringlichst, besondere Vorsicht walten zu lassen: Klicken Sie keinesfalls auf Links, deren Herkunft und Sicherheit unklar sind! Sollten Sie sich nicht sicher sein, kontaktieren Sie bitte den Absender direkt, um sich die Echtheit der Mail bestätigen zu lassen.

Was ist passiert?

Ein Mitarbeitender der Universität Greifswald ist Opfer eines Mail-Phishings geworden. Dabei wurde das vollständige Mailpostfach kopiert und anschließend die darin enthaltenen Mails genutzt, um weitere Phishing-Mails zu versenden. Davon waren und sind nicht lediglich die als Empfänger genutzten Mailadressen betroffen, sondern auch alle Personen, die in den kopierten Mails namentlich erwähnt wurden. Besondere Brisanz ist zudem dadurch entstanden, dass die anschließend versandten Phishing-Mails komplette Original-Korrespondenzen enthielten und somit teilweise auch vertrauliche Informationen! Hierin liegt die gravierende datenschutzrechtliche Relevanz, so dass dieser Vorfall als Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde gemeldet werden musste.

Das URZ hat nach Bekanntwerden des Vorfalls umgehend weitreichende Maßnahmen ergriffen, was mit erheblichem Aufwand und massiven Einschränkungen des Mailversands verbunden war. Dennoch kann der Versand von Phishing-Mails nicht gänzlich unterbunden werden.

Was sind Phishing-Mails?

Phishing-Mails sind E-Mails, die vermeintlich von der Universität oder Universitätsmedizin Greifswald versandt wurden. In diesen E-Mails befinden sich Links und die Aufforderung, bspw. Ihre Logindaten (d.h. Nutzername und Kennwort) zu bestätigen, Zahlungen zu tätigen o.ä. Phishing-Mails sind gezielte Angriffe auf Nutzer, daher greifen Spam-Schutz-Mechanismen hier in aller Regel nicht.

Wir möchten Sie dringend auffordern, nicht auf diese E-Mails zu reagieren!

Generell ist Folgendes zu beachten: Die Universität/smedizin bzw. das Universitätsrechenzentrum wird Sie niemals zur Herausgabe bzw. Bestätigung Ihrer Login-Informationen auffordern.

Weitere Informationen zur E-Mail-Sicherheit finden Sie auf den Seiten des URZ. (Link)

Wie geht es weiter?

Dieser Vorfall zeigt einmal mehr, wie wichtig nicht nur Ihre Achtsamkeit ist, sondern auch, wie schnell personenbezogene Daten in falsche Hände gelangen können. Daher möchten wir Sie auch aus Sicht des Datenschutzes noch einmal sensibilisieren:

Versenden Sie Ihre E-Mails immer signiert, vor allem dann, wenn diese personenbezogene Daten jeglicher Art enthalten. Nur so kann die Echtheit des Absenders zweifelsfrei bestätigt werden. Zudem dürfen insbesondere sensible Daten ausschließlich verschlüsselt versandt werden. So können die Daten auch bei einem erfolgreichen Phishing nicht durch einen Unbefugten eingesehen werden. E-Mails, welche sensible Daten enthalten, sind darüber hinaus umgehend aus den Postfächern zu löschen, nachdem der Zweck des Versands entfallen ist (bspw. die Anliegen abgearbeitet oder die Daten anderweitig gesichert worden sind).

Alle Informationen zur E-Mail-Zertifizierung erhalten Sie ebenfalls auf den Seiten des URZ. (Link)


*************************************************************

Dear Members of Staff and Students at the University and University Medicine Greifswald,

Currently, a huge number of phishing mails are making their rounds. Due to recent events, we urge you to take special care: never click on links if you are uncertain where they came from and whether they are safe! If you are unsure, please contact the person who sent you the email to confirm its authenticity.

What happened?

A member of staff at the University of Greifswald has fallen victim to a phishing scam. As a result, the entire mailbox was copied and the stored emails were used to send further phishing emails. This not only applied and continues to apply to the email addresses used as recipients, but all persons who were named in the copied emails. The situation was made worse by the fact that the ensuing phishing emails contained the full contents of original emails and therefore some confidential information! This rendered the situation a serious breach of data protection laws, meaning that the incident had to be reported to the supervisory authority as a violation of the protection of personal data.

After the incident had come to light, the URZ immediately took extensive measures, entailing a considerable amount of effort and massive restrictions to email correspondence. Nevertheless, it is not possible to fully prevent the sending of phishing mails.

What are phishing mails?

Phishing mails are emails that are sent supposedly by the University or University Medicine Greifswald. These emails contain links and ask you e.g. to confirm your login details (i.e. username and password), to make payments or similar. Phishing mails are targeted attacks on users, therefore spam protection mechanisms usually have no effect.

We urge you not to react to these emails!

As a general rule of principle, please be aware that the University/University Medicine or University Computer Centre will never ask you to provide or confirm your login information.

Further information on email security can be found on the URZ’s webpages. (Link [de])

What is next?

This incident once again underlines not only how important it is for you to remain alert, but also how fast personal data can fall into the wrong hands. Therefore, we would like to raise your attention once more to data protection aspects:

Always sign your emails, especially if they contain any kind of personal data. This is the only way to confirm the authenticity of the sender. Furthermore, sensitive data, in particular, may only be sent in encrypted format. This way, even if phishing is successful, unauthorised persons will be unable to access the data. Emails containing sensitive data must also be deleted from mailboxes immediately once the purpose for communication ceases to apply (e.g. the matter has been dealt with or the data has been stored elsewhere).

All information regarding email certification can also be found on the URZ’s webpages. (Link [de])