Mitten in der Adventszeit schickte der Webhoster GoDaddy aus dem US-amerikanischen Arizona seinen Mitarbeitern eine E-Mail mit dem Betreff "GoDaddy Holiday Party". Sie sollte sich allerdings als böser Streich entpuppen.

Laut eines Berichts der örtlichen Regionalzeitung The Copper Courier versprach diese E-Mail einen Feiertagsbonus in Höhe von 650 US-Dollar und enthielt zwei Links, über die die Mitarbeiter angehalten wurden, ihre Kontaktdaten zu übermitteln, um den Bonus zu erhalten.

Schulung statt Bonus

Zwei Tage später erhielten die 500 betroffenen Mitarbeiter eine Nachricht vom Chief Security Officer des Unternehmens, dass es keinen Bonus geben werde und sie den firmeninternen Phishing-Test nicht bestanden hätten. Sie müssten aus diesem Grund das "Security Awareness Social Engineering training" erneut durchlaufen.

Offenbar ist diese Form des Tests in US-amerikanischen Unternehmen kein Einzelfall. Auch im deutschsprachigen Raum bieten spezialisierte Dienstleister derartige Phishing-Tests an. Eines der Hauptkriterien für eine Phishing-Mail ist eine suspekte Absenderadresse, die nicht zum Inhalt passt. Die Phishing-E-Mail von GoDaddy trug die Absenderadresse happyholiday@godaddy.com, was viele Mitarbeiter als Indiz für deren Authentizität interpretiert haben dürften.

GoDaddys Sicherheitsbedürfnis

Der Webhoster hat durchaus ein erklärtes Interesse, sich unter anderem vor Phishing zu schützen, denn Ende 2019 wurde das Unternehmen Opfer eines Angriffs, bei dem ein "nicht autorisiertes Individuum" Kundendaten abgegriffen habe. GoDaddy hat rund 19 Millionen Nutzer.

Angesichts der Rekordeinnahmen des Unternehmens und der angespannten Lage aufgrund der Pandemie wirkt die Form des Tests jedoch unnötig unsensibel. Einen Bonus hat laut eines Berichts des News-Portals Gizmodo keiner der Betroffenen erhalten. Dieses Versprechen einzulösen, hätte die Wirkung des Tests im Nachhinein zumindest nicht geschmälert. (akr)