MASCHINENRAUM
▶ Bürgernähe mit Schutzschild: Die BiP-Redaktion setzt konsequent auf Kontaktformulare und Funktionspostfächer statt auf persönliche E-Mail-Adressen.
▶ Bots können strukturierte Daten „abernten“. Mögliche Folgen sind Spam-Attacken, Phishing, Identitätsdiebstahl und persönliche Anfeindungen.
▶ Auch PDF und Tabellen können zur Falle für den Datenschutz werden. Sie sind genauso maschinenlesbar wie normale HTML-Seiten.
Kontakt zu Redaktion oder Fachleuten soll im BiP so einfach wie möglich sein. Wir wollen nicht wie ein grauer anonymer Apparat wirken wie in Franz Kafkas Roman Das Schloss. Nutzerkomfort, offene Kommunikation und Bürgernähe sind unsere Ziele. Doch darf es nicht auf Kosten der Sicherheit der Beschäftigten oder unserer Technik gehen.
Wie wir es besser machen, regelt Abschnitt „6.2 Kontakt“ des Redaktionsleitfadens der Chefredaktion eindeutig und im Einvernehmen mit dem ISB des Kultusministeriums:
Personenbezogene E-Mail-Adressen werden im Bildungsportal nicht veröffentlicht. Sie können automatisiert ausgelesen werden. Stattdessen werden Kontaktformulare genutzt. Sie verhindern verlässlich die Einschleusung von Schadcode und dienen zugleich der Informationssicherheit. Auch Mailbomben und Spamattacken werden auf diesem Weg wirksam abgewehrt. Ausnahmen kommen nur in begründeten Fällen und ausschließlich über Funktionspostfächer in Betracht.
Zu den Ausnahmen, um Kommunikationszugänge sehr leicht zu machen, können Pressesprecher gehören. Vielleicht auch bestimmte Berater. Aber im Normalfall gilt: Kontaktformular oder Funktionspostfach, keine Klarnamen-Adressen. Außerdem gibt es Servicestellen-Knöpfe, die zu bestimmten Übersichtsseiten führen.
Leider entdecken wir regelmäßig immer noch Seiten, auf denen gut gemeinter E-Mail-Kontaktservice zum potenziellen Sicherheitsproblem wird.
▶ Was gern vergessen wird: Die Regel gilt auch für PDF-Dokumente, Tabellen und Formulare. Wer dort eine E-Mail-Adresse platziert, macht sie genauso weltweit maschinenlesbar wie auf einer normalen HTML-Seite.
„Erntezüge“ verhindern
Sobald Vorname, Familienname und eine persönliche E-Mail-Adresse im Klartext im Netz stehen, sind sie Futter für den Suchmaschinen-Crawler. Googlebot, Bingbot und ihre fleißigen Kameraden indexieren unsere Seiten. Das sollen sie ja auch. Aber diese Daten können über Jahre bei den Suchmaschinen gespeichert werden, selbst wenn die Person, die zur E-Mail gehört, ihren Posten längst verlassen hat.
Da diese Daten strukturierte Informationen sind, können Bots sie leicht aus dem HTML-Code lösen und abernten. „Data Harvesting“ oder „Web Scraping“ wird das automatisierte Auslesen genannt. Das „Abernten“ und „Abschaben“ passiert in großem Stil bei Online-Preisvergleichen und Marktforschung, da ist diese Technik nützlich. Das hat aber eine Schattenseite, wenn es um persönliche Daten geht.
Der offene Zugang zu Suchmaschinen-Speichern und Internet-Archiven macht es zwielichtigen Datensammlern leicht, Profile unserer Belegschaft zu erstellen. Die Namen und Adressen selbst können in den Händen von Piraten zur Cyber-Waffe werden.
Tutorial zum Typo3-Benutzerhandbuch. ℹ️ Inhaltselement „Formular“ auswählen – „Plug-In“ Kontaktformular einstellen und bearbeiten – Name und E-Mail-Adresse des Empfängers eingeben 🎦 Erstellt: April 2024 🎤️ Sprecher: Fachredakteur Tobias Höfel (NLQ) ⏳️42 Sek.Schutz vor digitalen Erntezügen
Abwehr von Spam und Phishing
Persönliche E-Mails auf Webseiten sind eine Einladung für Bot-Netze. Das sind riesige Netzwerke aus PCs, Tablets und Smartphones, die unbemerkt mit Schadsoftware infiziert werden. Diese „Zombies“ werden von Cyberkriminellen für koordinierte Angriffe ferngesteuert. Die Gerätebesitzer merken davon meist gar nichts.
Dienstliche E-Mail-Adressen können von den Piraten gekapert und für solche Attacken eingesetzt werden. Diese Möglichkeit ist für öffentliche Websites wie das Bildungsportal eine Gefahr.
- Künstliche Massenanfragen können die Erreichbarkeit unserer Webseiten lahmlegen (Distributed Denial of Service, kurz DDoS).
- Auch unsere Mail-Server können durch eine Spam-Flut massiv belastet werden.
- Oder sie versuchen automatisiert, Sicherheitslücken auszuspähen, um später Schadsoftware in unser Verwaltungsnetzwerk einzuschleusen.
- Erhöhte Phishing-Gefahr durch Klarnamen:
Während Massen-Phishing unzählige E-Mail ohne Personalisierung verschickt, nutzt „Spear-Phishing“ eine authentische, als vertrauenswürdig eingestufte Person mit Angabe einer offiziellen E-Mail-Adresse. Das kann sehr gezielt erfolgen. - Identitätsdiebstahl: Kriminelle nutzen die Kombination aus Name und Behörde, um im Namen der Beschäftigten digitale Konten zu eröffnen, um Betrug zu begehen oder Desinformation zu verbreiten.
Angehörige des öffentlichen Dienstes sehen sich zudem immer häufiger persönlichen Bedrohungen ausgesetzt. Das reicht von der Schimpftirade per E-Mail und Lästereien in sozialen Medien bis zur aggressiven Schikane im persönlichen Umfeld.
„6.2 Kontakt“ im Redaktionsleitfaden der Chefredaktion