"Weihnachtsbonus" war nur ein Test  US-Firma legt Mitarbeiter mit fieser Phishing-Mail rein

Mit sogenannten "Penetrationtests" versuchen Unternehmen, ihre I T-Systeme regelmäßig auf potenzielle Schwachstellen abzuklopfen. Im Grunde ist das eine gute Idee. In den USA ist eine Firma dabei aber jetzt einen Schritt zu weit gegangen.

Diese E-Mail kommt nicht von der Telekom

Nach einem fragwürdigen Sicherheits-Check, bei dem die eigenen Mitarbeiter als ahnungslose Testpersonen herhalten mussten, steht das Internetunternehmen GoDaddy derzeit massiv in der Kritik. Dafür sorgt ein Bericht der Lokalnachrichtenseite "The Copper Courier" aus dem US-Bundesstaat Arizona , in dem der bekannte Webhosting-Service seinen Hauptsitz hat. Demzufolge erhielten die Mitarbeiter eine E-Mail, in der ihnen im Namen des Arbeitgebers ein Weihnachtsbonus versprochen wurde. Doch das war eine Falle – und rund 500 Betroffene sind hineingetappt.

US-Familien leiden massiv unter der Corona-Krise

"2020 war dank euch ein Rekordjahr für GoDaddy!" hieß es in der Nachricht im Stil einer Weihnachtsgrußkarte mit dem Absender "Happyholiday@Godaddy.com". Als Dankeschön und als Ersatz für die ausgefallene Weihnachtsfeier winke den Beschäftigen nun ein Sonderbonus in Höhe von 650 US-Dollar. "Um sicherzustellen, dass Sie diesen einmaligen Bonus rechtzeitig vor den Feiertagen erhalten, wählen Sie bitte Ihren Standort aus und füllen Sie die Felder bis Freitag, dem 18. Dezember aus", so der Mail-Text. Dieser Aufforderung kamen viele Mitarbeiter gerne nach – schließlich war 2020 für viele Menschen in den USA aufgrund der Corona-Krise ein besonders schweres Jahr.

Zwei Tage später erhielten die Betroffenen jedoch eine zweite Mail – dieses Mal vom Sicherheitschef des Unternehmens – , in der ihnen mitgeteilt wurde, dass sie im "Phishing-Test" durchgefallen seien. Den unfreiwilligen Testpersonen wird nun ein Pflichtkurs in I T-Sicherheit aufs Auge gedrückt.

Gefoppte Mitarbeiter wenden sich empört an die Presse

Tatsächlich sind solche Sicherheitstests – im Fachjargon auch Pentests oder Penetrationtests genannt – in Unternehmenskreisen üblich. Firmen wollen damit mögliche Schwachstellen aufspüren und die Mitarbeiter zur Wachsamkeit erziehen. Hacker und Internetkriminelle tarnen sich gerne als Firmenangehörige, Partner oder Vorgesetzte und versuchen, die Mitarbeiter zur Herausgabe von Benutzerkennungen und Passwörtern zu verführen.

Doch die Aktion mit dem falschen Weihnachtsbonus fanden die betroffenen Mitarbeiter offenbar alles andere als angemessen. Empört wandten sie sich an die Presse und machten das Verhalten ihres Arbeitgebers publik. Das Unternehmen selbst hat sich noch nicht dazu geäußert.

Allerdings ist die Internetfirma auch nicht die erste in diesem Jahr, die ein falsches Bonus-Versprechen als Köder für eine simulierte Phishing-Kampagne benutzt hat. "The Copper Courier" verweist auf einen Zeitungsverlag aus Arizona, der einen ähnlichen Trick angewendet haben soll – und dafür ebenfalls von seinen Mitarbeitern öffentlich an den Pranger gestellt wurde. Der Verlag entschuldigte sich daraufhin.

Phishing-Attacken können schwerwiegende Folgen haben

Phishing-Mails stellen eins der größten Sicherheitsrisiken für Unternehmen dar. Immer wieder werden Fälle bekannt, in denen Mitarbeiter großer Firmen auf harmlos aussehende Links oder Mail-Anhänge klickten – und dadurch einen Malware-Befall auslösten, der mitunter ganze I T-Systeme für lange Zeit außer Gefecht setzen kann. Für die betroffenen Firmen bedeutet das einen erheblichen wirtschaftlichen Schaden.

Allein in diesem Jahr waren unter anderem der Hersteller von Fitnesstrackern Garmin von einer Ransomeware-Attacke betroffen . Am  Uniklinikum in Düsseldorf konnten im September nach einem Hackerangriff zum Teil keine Notfälle behandelt werden . Kurz vor Weihnachten fiel schließlich in der Funke-Verlagsgruppe die IT aus – auch hier besteht der Verdacht, dass es sich um einen Ransomeware-Angriff handelt . Auch die öffentliche Verwaltung wird immer wieder von Hackern ins Visier genommen: Im Herbst 2019 wurde das Kammergericht Berlin durch die Trojaner-Software Emotet monatelang lahmgelegt. Sicherheitsbehörden warnen, dass sie derzeit wieder verstärkt aktiv ist .

GoDaddy selbst hatte im Mai mit einem Datenleck zu kämpfen, bei dem die Daten von 28.000 Kunden in falsche Hände gerieten. Das Internetunternehmen hat nach eigenen Angaben 20 Millionen Kunden.

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels