Achtung: Schädliche e-Mails im Umlauf!

Zur Zeit wer­den ver­stärkt E-Mails mit dem ver­meintlichen Absender nieder­säch­sich­er Schulen ver­schickt. Dies gilt u.a. auch für Schulen im Land­kreis Göt­tin­gen und trifft sowohl Grund­schulen als auch weit­er­führende Schulen. Ich bitte Sie den unten ste­hen­den Brief der Nds. Infor­ma­tion­ssicher­heits­beauf­tragten im Nds. Kul­tus­min­is­teri­um zur Ken­nt­nis zu nehmen. Die IT im Haus hat bere­its weitre­ichende Maß­nah­men ergrif­f­en.

Sehr geehrte Damen und Her­ren,

ergänzend zu mein­er Infor­ma­tion vom 18.02.2019 möchte Sie im Inter­esse der IT-Sicher­heit auf zwei weit­ere Wellen von schädlichen E-Mails aufmerk­sam machen, die aktuell im Umlauf sind. Derzeit liegen Hin­weise vor, dass Schulen in den Fokus dieser Kam­pag­nen gerückt sind. Die E-Mails mit gefälscht­en Rech­nun­gen, Scans, Ein­ladun­gen, Bewer­bun­gen usw. wirken, wie schon bei bish­eri­gen Angriff­swellen, sehr plau­si­bel und wer­den lei­der von vie­len gängi­gen Antiviren­soft­ware­pro­duk­ten nicht erkan­nt. Dabei bedi­enen sich die Angreifer der üblichen Infizierungswege:
a) Anlage — oft­mals als Word­datei über­sandt — die in eini­gen Fällen zusät­zlich ver­meintlich beson­ders gesichert ist und die Eingabe eines Pass­wortes benötigt (das Pass­wort wird mit­ge­sandt), b) Link in der Mail auf eine andere Web­seite

Neu an der Angriff­swelle ist, dass die Bezüge sehr aktuell und pass­ge­nau sind und daher schw­er­er als Schad­mails erkan­nt wer­den wie bish­er. Oft­mals ist auch der Betr­e­ff exakt mit einem Betr­e­ff übere­in­stim­mend, den Sie in einem sehr aktuellen Mail­wech­sel genutzt haben und zusät­zlich wird genau auf diese (tat­säch­lich stattge­fun­dene) Kom­mu­nika­tion hingewiesen bzw. teil­weise die Inhalte ange­hängt.

Häu­fige Erken­nungsmerk­male der Fälschung: Die falsche Absendead­resse ist gut zu erken­nen, in dem man auf den soge­nan­nten „Head­er“, also den Bere­ich der Absendead­resse achtet und diese nicht mit der eigentlichen Absendead­resse des ver­meintlichen Absenders zusam­men­passt. Entschei­dend für die kor­rek­te Absendead­resse ist alles was dort in den < > Klam­mern ste­ht. Der Name davor ist sehr leicht aus­tauschbar.
Bsp: Sie haben häu­fig Kon­takt mit Frau Liese Müller aus dem Kul­tus­min­is­teri­um: Kor­rekt wäre im Absender­feld: Liese Müller <Liese.Müller[at]mk.niedersachsen.de>
Nicht kor­rekt (gefälscht) wäre: Liese Müller <komischerName[at]unbekannteBezeichnung.com>

Oft­mals haben die Ken­nun­gen der Absendead­resse nicht die für deutsche Behör­den übliche „.de“-Endung, son­dern .com/.biz/.ru oder ähn­liche in deutschen Behörden/Institutionen recht sel­ten genutzte Endun­gen.

Der Zusam­men­hang mit der zuvor aus­ge­le­se­nen ser­iösen Ursprungs­mail passt nicht zu der aktuellen Übersendung: Bsp:
Warum sollte Ihnen ein Beschäftigter des MK, mit dem Sie über schul­fach­liche Angele­gen­heit­en Kon­takt haben, eine Rech­nung oder Bewer­bung zusenden, zumal wenn Sie wed­er Haushaltsstelle noch Per­son­al­stelle sind?

Seien Sie daher bitte sehr wach­sam im Umgang mit Mails. Ver­suchen Sie im Zweifels­fall zuerst Kon­takt mit dem Absender oder der Absenderin aufzunehmen, bevor Sie Anhänge/Links öff­nen. Als weit­ere Schutz­maß­nahme soll­ten Sie dafür sor­gen, dass ihr Sys­tem stets alle ver­füg­baren Sicher­heit­sup­dates für ihr Betrieb­ssys­tem instal­liert hat. Als weit­ere Maß­nahme gegen viren­be­haftete Word­dateien hil­ft es, wenn Sie Makros in Office-Doku­menten generell ver­bi­eten und diese deak­tivieren.

HINWEIS: Diese Nachricht wird lediglich zu Ihrer Infor­ma­tion ver­sandt. Eine Prü­fung oder Behe­bung eines Verdachts/möglichen Befalls dien­stlich­er Sys­teme muss durch den für die Schule zuständi­gen Admin­is­tra­tions­bere­ich (z.B. Schul­träger oder IT-Admin­is­tra­tion der Schule) erfol­gen! Bitte set­zen Sie sich im Falle eines Fall­es mit diesen in Verbindung. Für pri­vate Geräte, die Sie im Rah­men des Erlass­es zur Spe­icherung von per­so­n­en­be­zo­ge­nen Schüler­dat­en nutzen, sind Sie selb­st zuständig.
Diese Mail darf in eigen­er Ver­ant­wor­tung gerne allen Beschäftigten der Schule zugeleit­et wer­den.

Mit fre­undlichen Grüßen
Mar­i­on Griesheimer
Infor­ma­tion­ssicher­heits­beauf­tragte im Nds. Kul­tus­min­is­teri­um