Ein weiteres Problem hat in den letzten Jahren mit Phishing Einzug gehalten. Fast jeder Ehrenamtler, der seine E-Mail-Adresse zwecks Erreichbarkeit öffentlich im Netz stehen hat, bekam schon entsprechende Angriffe per Mail. Meistens geht es dabei um vermeintliche Sicherheits-Updates für Online-Banking oder ähnliches, mit dem Zweck, sensible Zugangsdaten zu erbeuten.
Eine weitere moderne Art der Attacken stellt das sogenannte „Social Engineering“ dar. In großen Firmen gibt es diese Art von Angriffen schon seit einigen Jahren. Diese zielen dort oft auf Beschäftigte in der Buchhaltung oder dem Personalwesen ab. Es gab schon Schadensfälle, bei denen die Buchhaltung einer Firma eine Rechnung auf Weisung des Vorgesetzten bezahlt hat, obwohl der Vorgesetzte keine Weisung erteilt hatte.
In der letzten Zeit werden auch vermehrt Vereine und Verbände in den Fokus genommen. Die Angreifer spionieren hierbei das persönliche Umfeld einer Person aus und versuchen Informationen zu gewinnen, mit denen sie Aktionen zu ihrem Nutzen und zum Schaden des Vereins ausführen können. Die bisherigen bekannten Versuche im DHV kamen sehr unprofessionell daher und konnten leicht durchschaut werden. Es ist jedoch zu erwarten, dass die Qualität der Versuche besser wird, daher ist es an der Zeit, darüber zu berichten.
Fallbesprechung DHV Landesverband Rheinland-Pfalz
Im DHV Landesverband Rheinland-Pfalz wurde am 22. März 2026 eine neue Vorstandschaft gewählt. Alle Ämter wurden mit den gleichen Personen wiedergewählt. Auf der Seite der Vorstandschaft im Internet wurde lediglich unterhalb des Titels die Information mit der Wahl aktualisiert (gewählt in der Mitgliederversammlung am 22.3.2026).
Zwei Tage nach Aktualisierung der Information bekamen alle gewählten Personen, die auf der Vorstandsseite mit E-Mail-Adresse erfasst sind, eine Mail, angeblich vom Vorsitzenden. Lediglich der Vorsitzende selbst bekam diese Mail nicht.
Vorsitzende und Bezirksvertreter haben im LV Rheinland-Pfalz alle eine Adresse [Vorname.Nachname]@dhv-rlp.de. Die Adresse im Absender der Mail versucht noch den Anschein zu erwecken, dass es sich um eine dhv-rlp Adresse handelt. Darauf sollte man nicht hereinfallen.
Fallbesprechung DHV Bundesverband
Im September 2025 wurde im Bundesverband ein neuer Präsident gewählt. Am 4. Oktober wurde eine Mail an Präsidiumsmitglieder verschickt, der Wortlaut ist der gleiche wie im ersten Fall geschildert.
Alle gezeigten verschickten Mails sind nach dem gleichen Muster gestrickt. Wahrscheinlich sind diese zum Teil oder auch ganz automatisiert. Wie schon gesagt, sind diese Mails nicht besonders professionell aufgebaut. Außerdem gibt es handwerkliche Fehler wie den fehlenden Betreff und eine fehlende E-Mail-Signatur. Hier ist sicher kein Profi am Werk gewesen.
Entwarnung ist allerdings nun nicht angesagt. Auch die ersten Virenangriffe waren zu Anfang leicht zu bekämpfen und wurden über die Jahre immer besser. Genauso wird auch der Bereich „Social Engineering“ reifen und die Angriffe werden an Qualität gewinnen. Es stellt sich die Frage, was man dagegen tun kann.
Ruhe bewahren
Bei dieser Art von Angriffen versucht man ähnlich wie bei Phishing Attacken, Zeitdruck zu erzeugen. „Wenn die angebliche Noten-Rechnung schon eine Woche überfällig ist, dann denkt der Schatzmeister eher an schnelles Bezahlen als das auf die lange Bank zu schieben.“ Man vertraut außerdem auf das Autoritätsverhältnis. Der Vorgesetzte befiehlt, der Untergebene macht.
Man sollte sich daher immer ein paar grundsätzliche Fragen stellen. Beispiele:
- Kommt die E-Mail unerwartet?
- Ist diese E-Mail anders als die bisher erhaltenen, Schreibstil, Grußformeln etc.?
- Wird etwas Ungewöhnliches verlangt?
- Kann die Aktion Schaden verursachen?
- Wird Zeitdruck aufgebaut?
- Wird ein Gewinnversprechen gemacht?
Ruf doch mal an
Das einfachste und effektivste Mittel bei „Social Engineering“ Attacken ist ein Anruf beim Absender. Oder auch eine kurze Nachfrage per Messenger, heute sind wir doch alle über das ein- oder andere Werkzeug vernetzt.
Wenn man den Absender nicht persönlich kennt oder dessen Vertrauenswürdigkeit nicht eindeutig feststellbar ist, sollte man noch vorsichtiger agieren und ggfs. weitere Informationen hierüber einholen. Dies ist z.B. der Fall, wenn (unrealistische) Gewinnversprechen gemacht werden.
Weitere Informationen zum Thema
Viele Hinweise und Tipps findet man bei nachfolgenden Quellen. Dort wird das Thema auch noch ausführlicher behandelt.
Bundesamt für Sicherheit in der Informationstechnik:
https://www.bsi.bund.de/dok/11287460
Bundesministerium des Inneren:
https://www.sicher-im-netz.de/social-engineering-und-phishing-erkennen/
Anzeige
