Heute bekam ich eine Fake-E-Mail die darauf abzielte, dass ich mein Zugangspasswort preisgebe. Sprachlich war die Mail so gut gemacht, dass ich schon etwas Angst bekam. Bisher konnte man am fehlerhaften Gebrauch von Sprache den Versuch enttarnen, an sensible Daten zu gelangen.
Wenn dann noch das Layout stimmt, steigt die Anzahl derer, die auf solche Mails hereinfallen. ChatGPT hat mir übrigens prompt einen Vorschlag erstellt, wie das Mail-Layout meines Arbeitgebers aussehen könnte. Der Vorschlag war ziemlich nahe an der Realität.
Und auch bei diesem Beispiel zeigte sich erneut: Sprache und ihr richtiger Gebrauch ist essenziell.
Sprache ist eine unverzichtbare Kernkompetenz, besonders auch im Zeitalter künstlicher Intelligenz. Erstelle ein Bild, welches Sprache als diese Kompetenz würdigt.
Heute kamen bei mir zwei Dinge zusammen. Ich habe ich ein Produkt bestellt, welches aus dem Ausland geliefert wird. Außerdem erhielt ich heute eine Mail, welche Zoll für eine Bestellung außerhalb der EU nachforderte.
Mail von heute
Auf den ersten Blick sieht der Text stimmig aus. Die Grußformel am Ende kann verdächtig erscheinen. Bekannt ist sicherlich, dass Anzeige-Name und Absender-Mail-Adresse nicht stimmig sein müssen. Klappt man allerdings den Absender auf, erscheint die Absender-Mail-Adresse support@deutschepost.de.
Wenn man sich etwas mit Zöllen und Gebühren auskennt, dann kommt allerdings schnell der Verdacht auf, dass diese Mail ein Fake sein kann. 50 Euro für Zölle und Gebühren scheint ein ziemlich hoher Wert zu sein.
Ich habe im nächsten Schritt die Domain deutschest-zoll.de geprüft. Hier existiert eine Weiterleitung zu einem Shirt-Handel aus Paris.
deutschepost-zoll.de
Am Ende bleibt noch die Frage: Wie entsteht die doch glaubhafte Absender-Mail-Adresse? Eine Lösung dafür ist die „Helo-Konfiguration“ des SMTP-Servers, als diejenigen Servers, der E-Mails versendet.
Helo-Konfiguration
Mit „helo=deutschepost.de“ wird dem Empfänger die Absender-Domain deutschepost.de angezeigt. Wie man nun genau vorgeht, um die gesamte Mail zu faxen, wird z. B. hier dargestellt. Man muss nur tippen können. Ein Genie bedarf es hierfür wirklich nicht.
Die Adventszeit soll uns eigentlich Besinnlichkeit bescheren. Gelichzeitig jedoch wollen wir Geschäftspartner mit einem weihnachtlichen Gruß erfreuen. An dieser Stelle nimmt das Drama seinen Anfang. Was ist schon ein herzerwärmender Weihnachtsgruß ohne persönliche Ansprache des Empfängers. Und schwupps – schon ist man von weihnachtlicher Beschaulichkeit bei der Datenschutz-Grundverordnung (DS-GVO) und dem Gesetz gegen den unlauteren Wettbewerb (UWG) gelandet.
Weihnachtliche Grüße, die per E-Mail versandt werden, sind werbende Maßnahmen und unterliegen somit den Regelungen des UWG (§ 7 Abs. 2 Nr. 3). Ohne vorliegende und dokumentierte Einwilligung kann die Weihnachtspost abgemahnt werden. In Bezug auf den DS-GVO könnte man an dieser Stelle mit Art. 6 Abs. 1 Buchstabe f – berechtigtes Interesse – argumentieren. Schließlich will man sich ja den allgemeinen Gepflogenheiten der Weihnachtspost unterordnen. Das UWG hat man damit allerdings immer noch an den Hacken. Nutzt man E-Mail als Kommunikationsweg, sollte man die Gelegenheit nutzen und die Empfänger auf ihr Widerspruchsrecht hinweisen.
Die DS-GVO kommt dann ins Spiel, wenn man mit einem offenen E-Mail-Verteiler arbeitet. Klare Empfehlung an dieser Stelle: BCC-Feld für alle Empfänger nutzen. Das Thema „Offener E-Mail-Verteiler“ hatte ich schon mal ins Blickfeld gerückt.
Etwas, vielleicht Elementares, vorweg: Die Datenschutz-Grundverordnung der Europäischen Union (DS-GVO) ist zwar geltendes Recht, sie gilt aber nicht im privaten Bereich. Artikel 2 Absatz 1 Buchstabe c ist da ziemlich eindeutig: „Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten… c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ Der Erwägungsgrund 18 formuliert Gleiches. Das „Zauberwort“ hierbei lautet „ausschließlich„.
Was versteht man unter einem offenen E-Mail-Verteiler? Ich kann eine E-Mail an einen oder an mehrere Empfänger versenden. Um mit einer Mail mehrere Empfänger zu erreichen, stehen mir zwei Möglichkeiten zur Verfügung: das Feld „CC“ und das Feld „BCC“. Trage ich in die Felder „An“ oder „CC“ mehrere Empfänger ein, sind die Empfängerdaten (E-Mail-Adressen) für alle Empfänger sichtbar. Hierbei spricht man von einem „offenen Verteiler“. Nutze ich dagegen das Feld „BCC“, sind die Empfängerdaten verborgen.
Wann wird das Thema datenschutzrelevant? Kommuniziere ich ausschließlich im privaten Bereich, dann muss ich mir über das Thema „Datenschutz“ keine Gedanken machen (siehe oben). Kommuniziere ich als Privatperson mit Firmenmitarbeitern, mit Mitarbeitern im öffentlichen Bereich oder mit Mitgliedern in Vereinen, dann findet bereits die DS-GVO Anwendung. Zweitens geht es um die Frage: Ist ein Rückschluss auf eine natürliche Person möglich? E-Mail-Adressen in der Form info@… oder kontakt@… sind hierbei also nicht relevant. Haben E-Mail-Adressen aber die Form ulf.tschech@…, dann sieht die Welt anders aus. Hier greift die DS-GVO.
Im besagten Fall des Herrn aus Merseburg kamen zwei Sachverhalte zusammen: 1. Er benutzte einen offenen Verteiler. 2. Er schrieb hunderte Personen mit personenbezogenen E-Mail-Adressen an. Das Ergebnis: Ein Bußgeld in Höhe von über 2.500 Euro.
Wer als Mitarbeiter oder Vereinsmitglied E-Mail-Verteiler benutzt, muss diese immer als geschlossenen/verdeckten Verteiler gestalten. Die Adressen ins Feld „BCC“ kann ja nun wirklich kein Thema sein.
X
Zustimmung verwalten
Um dir ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn du diesen Technologien zustimmst, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn du deine Zustimmung nicht erteilst oder zurückziehst, können bestimmte Merkmale und Funktionen beeinträchtigt werden.
Funktional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.