Wirtschaft & Recht

Mit der DS-GVO-Umstellung kommt auch die Phishing-Welle

Mit der Re-Opt-in-Welle für Newsletter hat eine gewaltige Phishing-Attacke begonnen. Unternehmer sollten jede Eingangsmail kritisch beäugen - und aus Erfahrungen bisheriger DS-GVO-Mailings lernen.

Teilen auf

LinkedIn Xing Whatsapp

Das verbindliche Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) im Zeitraffer der letzten zwei Wochen: Erst Panik, dann Aufatmen, schließlich Galgenhumor. So zumindest ist der Eindruck, wenn man die Beiträge in Unternehmer- und Selbständigen-Foren der sozialen Netzwerke durchgeht. Für viele Lacher sorgen etwa Schilder aus Geschäften oder von Veranstaltungen mit Aufschriften, die das Thema ins Lächerliche ziehen. So werden Gäste scherzhaft dazu aufgefordert, sich einen roten Punkt auf die Stirn zu kleben, wenn sie nicht auf Fotos abgebildet werden wollen. Oder Kunden einer Metzgerei sollen bei Betreten des Ladens laut „Ich bin nicht einverstanden“ rufen, falls sie nicht wollen, dass Namen und Fleischvorlieben in den Köpfen der Mitarbeiter gespeichert werden.

Viele Phishing-Mails tarnen sich mit einem DS-GVO-Betreff

Für echte Entwarnung ist es natürlich zu früh – viele Unternehmer müssen weiterhin konzentriert daran arbeiten, die DS-GVO-Vorgaben umzusetzen. Ebenso wichtig aber ist Wachsamkeit an anderer Stelle: Bei Phishing-Attacken werden ausgeklügelte Methoden genutzt, um durch E-Mails mit der Überschrift DS-GVO an persönliche Daten zu kommen oder eventuell Schadsoftware auf den Rechner des Empfängers zu schleusen. Denn die DS-GVO hat nicht nur eine sicher noch längere Zeit anhaltende Welle seriöser Opt-in– oder vereinzelter Opt-out-Mails ausgelöst, sondern eben auch eine von auf die DS-GVO ausgerichteten Phishing-Mails, warnt der IT-Sicherheitsblog „Deutschland sicher im Netz (DsiN)“. Mit etwas Pech reicht es bereits, einen dank DS-GVO-Bezug völlig unverdächtig scheinenden Link für die Zustimmung zum Empfang eines Newsletters oder die Einwilligungsaufforderung zu den neuen Datenschutzrichtlinien der Bank anzuklicken.

Niemals über den Link in einer Mail eine Webseite aufrufen

Wobei: Eine Bank würde solche E-Mails niemals verschicken, hat der Bankenverband nun verlauten lassen. Und stimmt, da war was: Niemals – wirklich nie – sollten Nutzer Links in Mails von irgendeiner Bank oder Versicherung oder einem Onlineshop oder einer Auktionsplattform anklicken, über die Daten aktualisiert oder Kontosperrungen verhindert werden sollen. Nie. Was bisher galt, gilt auch weiter: Wer sich in sein Onlinekonto einloggen will, muss die Adresse in den Browser selbst eintippen und darf sich nicht auf die Weiterleitung über den Link in einer Mail verlassen. Zu groß ist das Risiko, auf Abzocker hereinzufallen – selbst, wenn im Adressfeld ein „https“ Sicherheit vorspiegelt, kann es sich um eine extra für eine kurzfristige Phishingaktion gefälschte Seite handeln. Auch auf vermeintliche Mahnungen per E-Mail sollten Unternehmer und ihre Mitarbeiter nicht klicken. Lieber ohne Öffnen der Anhänge den vermeintlichen Absender anrufen und fragen, worum es geht. Oder tatsächlich warten, bis zu dem Vorgang ein Brief per Post eingeht. Denn bei ernsten Dingen kommt in aller Regel dann auch mal ein Schreiben auf Papier, manchmal gar per Gerichtsbote – aber nicht nur eine E-Mail. Das ist zwar grundsätzlich legal, benötigt aber die Zustimmung des Empfängers. Wer die erteilt hat, wird das ja wissen und einplanen – wer nicht: Finger weg.

Im Zweifelsfall den vermeintlichen Absender googeln

Auch auf Links in E-Mails mit DS-GVO-Betreff sollte niemand einfach klicken. Mit wenig Mühe lässt sich meist prüfen, ob die Absenderadresse und die Seite überhaupt authentisch ist. Wer hier nicht klar sieht, aber am weiteren Empfang des Angebots interessiert ist, kann sich trotzdem vor Betrug schützen: Mit einen Blick ins eigene Adress- oder Link-Verzeichnis. Oder Google. Unternehmer und ihre Mitarbeiter sollten also am besten einfach direkt auf die Seite des Anbieters gehen, dessen E-Mail sie gerade erreicht. Dort lässt sich das Abo auf Wunsch ebenso wirksam starten oder beenden wie über den möglicherweise betrügerischen Link einer Mail. Sicher ist besser.

Durch erneutes Double-Opt-In deutlich weniger Empfänger

Eine andere Nachricht sollte Unternehmern ebenfalls zu denken geben, besonders, wenn sie selbst als Versender von Information und Werbung in Aktion treten: Nachdem nun Datenschutzrichtlinien, Kontaktformulare, Cookie- und sonstige Anzeigen der Rechtslage angepasst wurden, stellen viele Anbieter von Newslettern fest, dass bis zu 80 Prozent der Adressen verloren gegangen sind – die Empfänger haben einfach nicht, wie erbeten, auf den per Mail versandten Link geklickt, um den Newsletter oder die Werbung weiter zu beziehen. Klar, viele sind ja froh über den reinigenden Effekt der DS-GVO. Ein Journalist der Tageszeitung „taz“ ließ sich gar zu einer Liebeserklärung an die neue Datenschutz-Grundverordnung hinreißen: endlich ein leerer Posteingang.

Vor eigener Re-Opt-In-Aktion mit Anwalt die Rechtslage prüfen

In diesem Punkt sollten Unternehmer daher besser kontrolliert Mut zum Risiko beweisen – immerhin birgt das Re-Opt-in beim Newsletter gleich zwei Risiken: Empfänger zu verlieren oder Kunden wegen des Zweifels, ob nicht doch Phishing hinter der E-Mail steckt, zu verschrecken. Eigentlich kann sich jeder das Re-Opt-In sparen, der seinen Newsletter bereits vor Inkrafttreten der DS-GVO mit Double-Opt-In hat laufen lassen – was bei anwaltlich gut beratenen Unternehmern bereits der Fall sein dürfte. Hier dürfte das bisherige Double-Opt-In trotz geringer Abweichungen von der DS-GVO-Regelung vorschriftsgemäß gewesen sein und nach einem aktuellen Urteil des Bundesgerichtshofs (BGH) auch bleiben. Das sollten Unternehmer kurzfristig mit ihrem Anwalt klären, bevor sie eine große Re-Opt-In-Aktion starten und so eventuell viele Empfänger verlieren.

  • Mitgliedersuchservice: Kein einfaches Thema! Am besten hilft ein steuerlicher Berater. Sie haben noch keinen? Dann können Sie hier nach einem suchen.

 

Midia Nuri

ist Wirtschaftsjournalistin. Sie schreibt vor allem über nutzwertige Unternehmerthemen rund um Betriebsführung oder auch Finanzielles und Steuerliches für verschiedene Branchenzeitschriften, wie etwa den kfz-Betrieb, Die Fleischerei, Der Freie Zahnarzt, Fahrzeug + Karosserie oder auch etwa Das Dachdeckerhandwerk. Außerdem ist sie Chefredakteurin eines Newsletters von BWRMed!a zum Thema Steuern und Bilanzierung. Zu Steuer- und Finanzthemen bloggt und twittert sie derzeit sporadisch unter ladygodiva-blog.de und twitter.com/LadyGodivaBlog.