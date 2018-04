Mit einem Test, ob die Schulung erfolgreich war, sorgte ein IT-Dienstleister für Verwirrung und Ärger. Er missbrauchte Namen und Logo von heise Security für Phishing-Mails.

Mitarbeiter-Schulungen sind wichtig – und enthalten sinnvollerweise manchmal auch Tests, ob das vermittelte Wissen über Gefahren im Internet auch angekommen ist. Allerdings erfordern solche Tests sehr viel Sorgfalt, sonst können sie nach hinten losgehen – so wie im Fall einer fingierten heise-Security-Mail.

Diese Mail sollte die Aufmerksamkeit der Teilnehmer eines Kurses testen. Heise hatte damit nichts zu tun. (Bild: Screenshot)

Im Rahmen einer Awareness-Schulung versendete ein IT-Dienstleister Mails unter dem Absender "Heise Security". Er wollte testen, wer auf den Trick reinfiel und auf den Link zum angeblichen Ticket-Download klickte. Ein verunsicherter heise-Security-Leser meldete sich daraufhin bei uns, und fragte nach, was es damit auf sich habe. Unsere Recherchen führten sehr schnell zu dem fraglichen IT-Dienstleister. Dieser versicherte uns, dass es sich beim Missbrauch unseres Namens um einen Fauxpas handelte und bei einem Klick auf den Link auf seinem Server nichts weiter Böses geschah.

Vorkehrungen für Phishing-Tests

Wer solche Tests plant, muss unbedingt sicherstellen, dass er dabei nicht Dritte in Mitleidenschaft zieht. In diesem Fall missbrauchte der IT-Dienstleister ohne unser Wissen unsere Marke, unseren Ruf und das Vertrauen, das unsere Leser heise Security entgegenbringen. So etwas ist kein schöner Zug – und im Zweifsfall sogar justitiabel. Da aber augenscheinlich keine böse Absicht dahinter steckte und kein weiterer Schaden entstanden ist, beließen wir es bei deutlichen Hinweisen auf diesen Sachverhalt. Der Dienstleister hat mittlerweile auch seinen Kunden über den Sachverhalt aufgeklärt.

Die heise-Security-Konferenz 2018 ist übrigens noch in vollem Gang. Nach den sehr gut aufgenommen Terminen in München und Stuttgart findet sie am morgigen Mittwoch in Wien und nächste Woche in Köln und Hamburg statt. Im Rahmen des Themas "Wissen schützt" geht es unter anderem um die kommende Datenschutzgrundverordung, Managed Security, Malware-Analyse für Admins und neue Sicherheitsfunktionen für DNS. Weiter Infos und die Möglichkeit sich noch anzumelden gibt es auf den Seiten der heisec-Tour 2018.

(des)