|
|
|
|
Phisingmail-Aktion
Die IT-Sicherheit im Rahmen der Online-Beratung und der Plattform liegt uns sehr am Herzen!
Deshalb haben wir bzw. unser Dienstleister am Morgen des 11.01.2023 die Beraterinnen und Berater der Online-Beratung per Mail angeschrieben und zu einem Single Sign-On „eingeladen“. Hierbei handelte es sich um eine Phishingmail einer sog. Social Engineering Kampagne. Diese Maßnahme war Teil unseres jährlichen Pen-Test (Sicherheitsüberprüfung) für die Online-Beratungsplattform. Der Pen-Test bezieht sich auf die Software und der Überprüfung, ob die On-line-Beratungsplattform einem Hackerangriff standhält bzw. Sicherheitslücken aufweist. Wir sind verpflichtet, solche Tests regelmäßig und mit unterschiedlicher Anforderung durchzuführen. Dieses Mal haben wir uns dazu entschieden, den Pen-Test um eine Social Engineering Kampagne (in unserem Fall eine Phishingmail) zu erweitern. Denn die Sicherheit der IT betrifft nicht nur die Software an sich, sondern beginnt bei den Personen, die die Software nutzen.
Die Aktion hat hohe Wellen geschlagen. Viele Nachfragen sind an unterschiedlichen Stellen im Deutschen Caritasverband, bei den Verbänden und Trägern eingegangen. Die Aktion ist seit dem Mittag des 11.01.2023 beendet.
Ein wichtiger Hinweis noch: Es wurden keinerlei Daten oder IP-Adressen gespeichert dahingehend, wer die Seite besucht oder Daten eingegeben hat. Die Seite ist mittlerweile auch abgeschaltet und war auch nur zu diesem Zweck eingerichtet worden.
|
|
|
2-Faktor-Authentifizierung
Aus aktuellem Anlass (Phishingmail-Aktion) möchten wir nochmal einen dringlichen Hinweis auf die 2-Faktor-Authentifizierung geben:
Für die Berater_innen ist die Zwei-Faktor-Authentifizierung (2FA) in der Online-Beratung verpflichtend, die Ratsuchenden können diese bei sich optional einschalten. Die 2FA dient der zusätzlichen Absicherung des Account, wie es beispielsweise beim Online-Banking auch der Fall ist. Diese zusätzliche Absicherung ist erforderlich, da die Accounts hochsensible Daten enthalten. Dabei müssen sich die Berater_innen zusätzlich zur Passwortabfrage über einen weiteren (zweiten) Faktor identifizieren. Angreifer sollen es dadurch schwerer haben, sich widerrechtlich Zugang zu fremden Accounts zu verschaffen.
In der Online-Beratung werden zwei Wege der 2FA angeboten: Über eine App und E-Mail.
Aus Sicherheitsgründen ist die App für die 2FA zu favorisieren, da hier noch einmal ein ganz anderer Weg der Kommunikation bzw. Übermittlung des Zweiten Faktors genutzt wird. Für Angreifer ist es deutlich schwerer auch diesen Weg über das Smartphone und die App unter Ihre Kontrolle zu bringen als den E-Mail Account.
Die Nutzung der E-Mail für die 2FA sollte daher nur dann genutzt werden, wenn der Weg über die App unter keinen Umständen möglich ist. Wenn kein Zugriff auf das E-Mail Postfach mehr möglich ist, ist in der Folge auch kein Zugriff auf den Account bei der Online-Beratung mehr möglich. Im Umkehrschluss könnte das heißen, wenn ein Angreifer den E-Mail Account unter seiner Kontrolle hat, könnte er sich unter Umständen auch einen Zugang zum Account der Online-Beratung verschaffen.
Von unserer Seite daher die dringende Empfehlung für die 2FA den Weg über das Smartphone und die App zu wählen.
|
|
|
Zugangssteuerung für den 1:1 Chat
|
|
|
Löschen einzelner Nachrichten und Dokumente
|
|
|
Refresh, News & Talk
Die Veranstaltung Online-Beratung - Refresh, News & Talk wird als Online-Veranstaltung über Zoom angeboten. Sie ist kostenfrei. Eine Anmeldung ist über das jeweils hinterlegte Anmeldeformular erforderlich.
Umgang mit Personen in psychischen Ausnahmesituationen
14. Februar 2023, 10:00 bis 12:00 Uhr
http://www.caritas-beratungundhilfe.de/3A5M0
Digitale Präsenz in der Videoberatung
26. April 2023, 10:00 bis 12:00 Uhr
http://www.caritas-beratungundhilfe.de/6BI7G
|
|
|
Fortbildung speziell für die Zielgruppe Leitungs- und Führungskräfte
Beratung im Wandel – was Entscheider über Blended Counseling wissen müssen
27. Februar 2023, 08:30 bis 12:00 Uhr
http://www.caritas-beratungundhilfe.de/D40A0
|
|
|
Veranstaltungen in Zusammenarbeit mit der Fortbildungs-Akademie des DCV
Bitte beachten: diese Veranstaltungen sind anmeldepflichtig und nicht kostenfrei.
Der „Worst-Case-Fall“ – anzeigepflichtige Straftaten und Suizidankündigung in der Online-Beratung
08. März 2023, 10:00 bis 12:00 Uhr
http://www.caritas-akademie.de/ME132
Sozialdatenschutz in der Online-Beratung – kompakt
29. März 2023, 10:00 bis 12:00 Uhr
http://www.caritas-akademie.de/05V7N
|
|