Berlin

Aufregung um E-Mail-Attacke auf die Berliner Polizei

Eine vermeintliche E-Mail-Attacke auf die Berliner Polizei hat am Donnerstag und Freitag für Verwirrung gesorgt. Wie bekannt wurde, waren am Donnerstag bei mindestens zwei Dienststellen E-Mails eingegangen, die dazu aufforderten, einen neuen Service zu nutzen, der die Verwaltung von privaten und dienstlichen Passwörtern sicherer machen soll. Die E-Mail war mit einem Signum versehen, wie es vielfach in der Behörde verwendet wird. Danach soll sie aus der Zentralen Serviceeinheit (ZSE) stammen. Doch der unterzeichnende Kollege existiert nicht in der ZSE. Und die angegebene postalische Anschrift enthält Fehler.

Mit der E-Mail wurde ein neuer Service angekündigt, wonach Kollegen ihre zahlreichen Passwörter und Benutzernamen dort ablegen können, um diese künftig bei Besuch verschiedener Anwendungen nicht erneut eingeben zu müssen. Es wird explizit von privaten wie dienstlichen Zugangsdaten gesprochen, die dort sicher verwahrt würden und das „Chaos“ ordnen helfen könnten. Die E-Mail war gegen 13.30 Uhr eingegangen. Gegen 16.20 Uhr wurden alle Berliner Polizeibeamten mit einer E-Mail aus dem Lagezentrum über den Vorfall informiert. In der E-Mail wird der Angriff so eingeschätzt: „Im Ergebnis einer kurzen Bewertung ist davon auszugehen, dass durch die Vorspiegelung einer falschen Identität des Seitenbetreibers gezielt Informationen erlangt werden sollen, deren Missbrauchspotenzial kaum zu beziffern ist. Dies wird auch als ‚Phishing‘ bezeichnet.“

Polizeisprecher Thomas Neuendorf bestätigte auf Anfrage, dass eine solche E-Mail in den Direktionen eingegangen sei, und lüftete dann das Geheimnis: „Es war ein Test, um zu schauen, wie unser Sicherheitsmanagement greift.“ Eine IT-Firma sei damit beauftragt worden, einen solchen Angriff zu simulieren. „Es hat ganz gut geklappt, denn eine Dreiviertelstunde nach Eingang der Phishing-E-Mail sei bereits die Webseite, von der der vermeintliche Angriff ausging, durch die Betriebssicherheit gesperrt worden.“ Jetzt werde überprüft, ob und wie viele Mitarbeiter auf die E-Mail reagiert hätten.