Diese Meldung machte mich zuerst wütend, andererseits trifft sie genau ins Ziel. Der amerikanische Webhoster GoDaddy hat seine Mitarbeiter einem Sicherheitstest unterzogen. Einem Sicherheitstest gegen Phishingmails. Und zwar aus gutem Grund. Aktuell (und eigentlich schon seit Monaten) sind E-Mails nämlich die Sicherheitslücke schlechthin. Wir lesen täglich von Ransomware-Attacken und lahmgelegten Firmen. In den letzten Tagen waren Aida Cruises und die Funke Mediengruppe betroffen, davor ein Krankenhaus in Düsseldorf.

Diese Angriffe laufen über gefälschte E-Mails. Die Mitarbeiter werden mit täuschend echt aussehenden Mails dazu verleitet, irgendetwas anzuklicken oder einen Anhang zu öffnen. Zack – ist der Virus im System. Eine der effektivsten Möglichkeiten, überhaupt herauszufinden, wie anfällig man für so einen Angriff ist, ist einfach selbst einen zu starten. Da wird dann von externen Mailaccounts (vermeintlich!!) ein Gewinnspiel durchgeführt oder die Werkskantine bittet (vermeintlich!!) darum, die Abrechnung des letzten Monats zu prüfen. Tatsächlich kommen diese Mails aber wie echte Phishingmails von externen Accounts und die IT-Abteilung protokolliert, wer tatsächlich auf den Link klickt … also hereingefallen ist.

Und diese Mitarbeiter bekommen dann „Nachhilfe“ in Form einer Schulung. Die Effektivität eines solchen Tests hängt von zwei Dingen ab. Der (vermeintliche!!) Absender muss vertrauenserweckend sein – die eigene Firma zum Beispiel. Und das (vermeintliche!!) Angebot muss verlockend und glaubhaft sein. So wie bei GoDaddy. Die haben den Mitarbeitern zu Weihnachten nämlich einen einmaligen 650$ Corona-Bonus versprochen. Weil GoDaddy ein Erfolgsjahr hatte und viele Mitarbeiter unter Corona Einschränkungen zu leiden hatten. Um den Bonus zu bekommen, sollte man auf einen Link klicken und ein Formular ausfüllen. Knapp 500 Mitarbeiter fielen auf den Phishing-Test herein und müssen jetzt an einer Schulung teilnehmen. Die 650$ kriegt natürlich niemand, das war ja nur ein Lockangebot. GoDaddy hat sich damit den Hass der Sozialen Medien gesichert. Wie man nur Corona für so einen Test hernehmen kann… Das war ehrlich gesagt auch meine erste Reaktion. Aber andererseits – genau so arbeiten die Kriminellen. Die achten auch nicht auf moralisch vertretbare Lockmittel. Insofern war das allenfalls unsensibel, aber inhaltlich völlig richtig.

Vielleicht können die Mitarbeiter sich aber anders helfen, falls es in den USA etwas ähnliches wie bei uns den §657 BGB gibt. Da geht es um das „bindende Versprechen“, das denjenigen zur Auszahlung einer versprochenen Belohnung verpflichtet, die er für eine Handlung (hier das Klicken auf einen Link) ausgelobt hat. Denn … und das ist ja entscheidend … die Phishingmail kam ja gar nicht von einem richtigen Angreifer. Sie kam  (u.U. beauftragt, aber trotzdem) in Wirklichkeit von GoDaddy. Und versprochen ist versprochen. Ein Versuch könnte es also wert sein.