Dienstliche E-Mail-Adressen und Passwörter deutscher Mittelständler finden sich oft im Darknet. Bei einer Untersuchung im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) fanden sich Daten von 543 Firmen in der „Schmuddelecke des Internets“, wie es der GDV nennt. Betroffen sind also 53 Prozent der kleinen und mittelständischen Unternehmen.
Die Untersuchung wurde mit dem Analyse-Tool Cysmo bei 1.019 kleinen und mittleren Unternehmen durchgeführt. Die Daten stammen danach teilweise von gehackten Seiten, auf denen sich die Mitarbeiter nicht zu dienstlichen, sondern zu privaten Zwecken angemeldet hatten – unter anderem zum Einkaufen in Online-Shops, für den Zugang zu sozialen Medien oder für die Anmeldung auf Gaming-Webseiten.
Werden solche Seiten gehackt, landen die Mail-Adressen und Passwörter der Nutzer schnell da, wo sie nicht landen sollen. „Dann können sich Cyber-Kriminelle leicht Zugang zum beruflichen E-Mail-Postfach oder zu anderen Diensten verschaffen. Die privaten und dienstlichen E-Mail-Adressen sollten deshalb immer strikt voneinander getrennt werden und auch nicht dasselbe Passwort haben“, rät GDV-Cyber-Experte Peter Graß.
Manche Mitarbeiter meldeten sich sogar mit ihrer beruflichen E-Mail-Adresse auch für Dating-Portale oder Pornoseiten an, berichtet Graß. „Mit solchen Informationen könnten Kriminelle sogar versuchen, den Mitarbeiter zu erpressen.“ Trotz dieser Bedrohung ist die private Nutzung der beruflichen Mail-Adressen oft erlaubt.
Laut einer repräsentativen Forsa-Umfrage unter 300 Entscheidern kleiner und mittlerer Unternehmen im Auftrag des GDV haben nur 29 Prozent der Firmen die private Nutzung verboten, die meisten verzichten auf eine explizite Regelung. Dabei zeigt die Forsa-Umfrage auch, dass gerade das E-Mail-Postfach das größte Einfallstor für Kriminelle ist: Die Mehrheit der erfolgreichen Cyber-Angriffe (58 Prozent) kommt per Mail ans Ziel, weil Mitarbeiter verseuchte Anhänge öffnen oder schädliche Links anklicken.
