Cyber Security Monat – 5 Tipps zum Thema Cybersicherheit
Die Zahl der Cyberbedrohungen steigt jährlich rasant an. Laut McAfee(1) belief sich die weltweite Schadenssumme im Jahre 2020 auf eine 1 Billion Dollar. Das ist ein Anstieg von über 50% gegenüber 2018.
Bei Cyberangriffen werden Firmen oder Individuen von einzelnen Hackern oder Hackergruppen böswillig über das Internet angegriffen, um Daten, Informationen oder Geld zu erlangen.
Die Kampagne der EU zum europäischen Cybersecurity Monat beleuchtet jährlich im Oktober das Thema Cybersicherheit. Dabei sollen Staaten, Firmen und Individuen auf die Gefahren von Cyberkriminalität aufmerksam gemacht werden. Ebenso werden mögliche Massnahmen zum Schutz der Cybersicherheit aufgezeigt. Zu diesem Anlass beleuchten wir die Thematik der Cybersicherheit genauer und zeigen Ihnen für fünf ausgewählte Themen auf was Sie achten müssen und wie Sie sich schützen können.
Was sind Cyberbedrohungen und Cybersicherheit?
Die Cybersicherheit bezeichnet technische wie auch organisatorische Massnahmen zum Schutz der IT-Infrastruktur und von Daten gegen böswillige Angriffe. Dies beinhaltet unter anderem der Schutz von Computern, Netzwerken, Servern, Smartphones, Smart Devices aber auch Datenschutz sowie Informationssicherheit.
Es werden drei Arten von Cyberbedrohungen unterschieden:
Cyberkriminalität: Angriffe auf Systeme, um Geld zu erlangen oder Geschäftsbetriebe zu unterbrechen.
Cyberangriffe: hierbei handelt es sich meist um die politisch motivierte Informationsbeschaffung.
Cyberterrorismus: Angriff auf elektronische Systeme zur Verbreitung von Panik und Angst.
Die Angriffsarten sind für alle Bedrohungen gleich. Durch die Verbreitung von Malware (Virus, Trojaner, Spyware, Adware, Ransomware, Botnets) werden Computer und Systeme ausser Betrieb gesetzt oder beschädigt. Bei SQL Injections werden Datenbanken zur Informationsgewinnung gehackt. Mit Phishing wird versucht, an Login- und Finanzdaten zu gelangen sowie persönliche Informationen herauszufinden. Die Man-in-the-Middle-Angriffe fangen Informationen zwischen zwei Beteiligten ab, z.B. einem Computer und einem Netzwerk. Bei den Denial-of-Service Attacken werden Netzwerke oder Server mit Datenverkehr überschwemmt, so dass die befallenen Computersysteme nicht mehr laufen können und so Firmen handlungsunfähig werden. Angriffsziele sind Regierungen, Firmen aber auch Privatpersonen.
Wie können Sie sich als Firma aber auch als Privatperson vor Cyberkriminalität schützen? Einerseits gibt es technische Schutzmassnahmen, die man ergreifen muss. Andererseits beeinflusst unser Verhalten massgebend das Risiko, einer Cyberattacke zum Opfer zu fallen oder nicht.
Phishing – was ist es und wie schützen Sie sich
Phishing E-Mails sind gefälschte E-Mails, womit Hacker versuchen, an Login-Daten, Bank- und Kreditkartendaten oder andere persönliche Informationen zu gelangen. In der Regel ist das Ziel, mit den erlangten Daten an Geld zu kommen oder Zugriff auf Systeme zu erlangen. Die E-Mails sehen oft täuschend echt aus und scheinen von einer legitimen Quelle zu stammen, wie beispielsweise von Ihrer Bank. Mit dringenden Handlungsaufforderungen werden die Nutzer dazu verleitet, auf Links zu klicken und ihre Daten einzugeben.
Daher ist es wichtig, in E-Mails, besonders von unbekannten Absendern, nicht auf Links zu klicken. Seien Sie kritisch, wenn jemand nach Login-Daten fragt. Keine seriöse Firma wird Sie je auffordern, Ihre Zugangsdaten über einen hinterlegten Link anzupassen oder in der Antwort-E-Mail preis zu geben. Seien Sie auch vorsichtig, wenn Sie aufgefordert werden, Ihre Kreditkarten- oder Kontoinformationen anzugeben.
Achten Sie bei den E-Mails und in Links auf Rechtschreibfehler, fehlende oder verdrehte Buchstaben. Auch das sind Indizien für Phishing.
Malware – was ist es und wie schützen Sie sich
Malware, auch Schadsoftware genannt, ist Software, die Ihren Computer, das Smartphone oder ein Tablet beschädigen oder ganz ausser Gefecht setzen kann. Hauptsächlich wird Malware über das Internet verbreitet: beim Surfen, Herunterladen von Software, als E-Mail Anhänge oder über soziale Medien. Auch über USB-Sticks und andere mobile Datenträger kann Malware verteilt werden. Die Motivation ist wie auch beim Phishing meist finanzieller Art oder zur Industriespionage. Hacker können aber auch politisch motiviert sein oder den Ruf eines Unternehmens schädigen wollen.
Als Malware gelten Viren, Trojaner, Spyware, Adware, Ransomware, die heute häufig über Botnetze verbreitet werden.
Schutz vor Malware bieten einerseits technische Massnahmen:
Halten Sie Ihr Betriebssystem, Software und Apps auf dem neusten Stand und installieren Sie jeweils die neusten Sicherheitspatches.
Installieren Sie einen Antivirenschutz.
Für Firmen empfiehlt es sich, eine rundum-Schutzsoftware zu verwenden, die in Echtzeit die Daten analysiert und Sicherheitslücken schliesst.
Andererseits müssen auch die Nutzer einen sicheren Umgang pflegen:
Öffnen Sie keine E-Mail Anhänge von unbekannten Absendern und seien Sie auch kritisch, wenn Sie einen Anhang von einem Bekanntem nicht erwarten. Falls nötig, fragen Sie beim Absender nach.
Klicken Sie auf keine Links, die Ihnen nicht legitim erscheinen. Prüfen Sie Links auf Rechtschreibfehler, fehlende oder ersetzte Buchstaben, wie z. B. wenn ein „O“ durch eine „0“ ersetzt wird.
Besuchen Sie nur sichere Internetseiten. Sie erkennen diese am kleinen Sicherheitsschloss neben der URL in der Adresszeile.
Gehen Sie nicht über ungesicherte WLAN-Netze ins Internet. Am besten verwenden Sie Ihr Mobiltelefon, um einen persönlichen Hotspot zu generieren.
Schützen Sie Ihr privates WLAN mit einem guten Passwort und erstellen Sie für Gäste einen separaten Zugang.
Schliessen Sie keine unbekannten Datenträger, USB-Sticks oder Festplatten an Ihren Computer an.
Laden Sie nur von Ihrer Firma autorisierte Software herunter oder solche, die im offiziellen App-Store angeboten wird.
Social Engineering – was ist es und wie schützen Sie sich
Social Engineering ist eine Methode, bei welcher Betrüger eine Identität vortäuschen, um dadurch an Informationen zu gelangen oder ihre Opfer zu einer bestimmten Handlung zu überzeugen. So können sie sich beispielsweise als Helpdesk Mitarbeiter ausgeben, um das Opfer zur Herausgabe von Login-Daten zu bewegen oder dieses zum Besuch einer verseuchten Webseite zu überzeugen. Meistens wird mittels Social Engineering versucht, an Login-Daten zu gelangen, Kreditkarten- oder Bankinformationen zu erschleichen oder Zugang zu IT-Systemen zu erwirken. Je mehr Informationen über ein Opfer gesammelt werden können, desto höher sind die Erfolgschancen bei einem «Angriff». Informationen werden mehrheitlich im Internet, z.B. auf Firmenwebseiten oder in sozialen Medien gefunden. Aber auch in öffentlichen Registern oder im Telefonbuch.
Wichtig ist, dass Sie nie interne oder vertrauliche Informationen über sich oder Ihre Firma an fremde Personen weitergeben. Passworte und Zugangsdaten sollten nie weitergegeben werden. Lassen Sie sich weder unter Druck setzen, noch dazu überreden, eine bestimmte Datei herunterzuladen oder eine vorgegebene Webseite zu besuchen.
Lesen Sie in unserem Blog mehr Tipps, wie Sie sich vor Social Engineering schützen können.
Schutz durch sichere Passwörter
Täglich müssen wir für unsere Arbeit oder private Zwecke Passworte eingeben, um uns in Systemen anmelden zu können. Ein gut gewähltes Passwort ist essenziell, um sich vor Gefahren aus dem Internet schützen zu können.
Werden Passwörter herausgefunden, können Daten manipuliert oder gestohlen werden. Hacker haben spezielle Werkzeuge, mit welchen sie auf einfache Art und Weise Passworte herausfinden können, sofern diese nicht nach bestimmten Regeln aufgebaut sind.
Um den Schutz zu gewährleisten, muss ein gutes, sicheres und individuelles Passwort für jede Anwendung erstellt werden. Verwenden Sie ein und dasselbe Passwort nie für mehrere Systeme oder Webseiten und geben Sie Ihre Login-Daten nie an jemand anderes weiter. Ansonsten verlieren die Passwörter ihre Schutzwirkung. Aktivieren Sie zudem immer eine 2-Faktor-Authentifizierung, wenn das System dies zulässt. Dies erhöht zusätzlich die Sicherheit,
Beachten Sie bei der Erstellung eines neuen Passwortes folgende Punkte:
Es beinhaltet keine persönlichen Informationen wie Name, Geburtsdatum, Kfz-Kennzeichen usw. oder den Benutzer Namen.
Die aktuelle NIST Empfehlung ist, ein Passwort zu wählen, welches einfach zu merken ist, min. 16 Zeichen enthält und aus min. 4 existierenden Wörtern kombiniert ist. Muss das Passwort kürzer als 16 Zeichen lang sein, sollte es Zahlen, Gross- und Kleinbuchstaben sowie Sonderzeichen enthalten und idealerweise mehr als 10 Zeichen lang sein.
Es ist nicht in einem Wörterbuch zu finden oder enthält Zahlen- oder Buchstabenfolgen (Bsp. AAA, 1234, abcd etc.).
Damit Passworte nicht notiert werden müssen und sich einfacher gemerkt werden können, gibt es folgende Tricks:
Akronyme: den ersten Buchstaben eines jeden Wortes aus einem Satz verwenden.
Mehrfachwörter: mindestens vier zufällige Wörter miteinander kombinieren. Diese können mit Zahlen und/oder Sonderzeichen ergänzt werden.
Passwort-Manager: verwenden Sie einen Passwort-Manager zur Erstellung und Verwaltung von Passwörtern. Die meisten Passwort-Manager können auch mit der Zwei-Faktor-Authentifizierung kombiniert werden. Dadurch müssen Sie sich auch nur ein Passwort merken, anstelle von ganz vielen.
Schutz durch Training und Awareness
Heutzutage ist es wichtiger denn je, dass die Mitarbeitenden auf die Themen der Informationssicherheit geschult werden. Schulungen und Trainings sollten in regelmässigen Abständen erfolgen und idealerweise aufeinander abgestimmt sein.
Die Mitarbeitenden gehören zum wichtigsten Schutzelement, wenn es um Cybersicherheit geht. Nutzen Sie diesen Abwehrmechanismus, in dem Sie Ihre Mitarbeitenden befähigen, die Gefahren im Zusammenhang mit dem Internet zu erkennen und sich richtig zu verhalten.
Der European Cyber Security Month ist eine gute Möglichkeit, die Mitarbeitenden mit einer gezielten Kampagne zum Thema Cybersicherheit zu schulen. Machen Sie virtuelle Spiele, Quizzes,E-Learnings oder Veranstaltungen, wo die Mitarbeitenden aktiv und vor Ort teilnehmen können. Auch mit Plakaten, Intranetseiten oder E-Mails kann auf die Thematik aufmerksam gemacht werden.
In unseren Blogbeiträgen erörtern wir, wie man eine Security Awareness Kampagne planen und umsetzen kann und wie man das Verhalten der Mitarbeitenden erfolgreich verändern kann. Hier gelangen Sie zur Übersicht aller Blogbeiträge.
(1) McAfee (2020): Report - The Hidden Costs of Cybercrime.
Inspiration: https://www.kaspersky.de/resource-center/definitions/what-is-cyber-security
Deutschland ist ein gutes Ziel für Cyberkriminelle
Von Max Muth
Nimmt man die Zahlen des am Montag vorgestellten Lageberichts Cybercrime des Bundeskriminalamts (BKA) als Maßstab, dann stagniert die Cyberkriminalität in Deutschland. Dem BKA wurden im Lauf des Jahres 2018 rund 87 000 Fälle von Cyberkriminalität im engeren Sinne bekannt, eine Steigerung von nur rund einem Prozent. Zu dieser Art der Cyberkriminalität gehören nach der Definition des BKA etwa der Betrug mit gestohlenen Kreditkartendaten, Überweisungsbetrug, Ransomware-Attacken, Computersabotage, Identitätsdiebstahl sowie das Ausspähen von Computersystemen.
Doch die Zahlen, das gibt die Behörde selbst zu, sind mit großer Vorsicht zu genießen. Die Dunkelziffer, also die Zahl der Taten, die der Polizei nicht gemeldet werden, sei gerade bei der Cyberkriminalität extrem hoch. BKA-Vizepräsident Peter Henzler nannte exemplarisch die Schadenssumme der dem BKA im Jahr 2018 gemeldeten Fälle, rund 60 Millionen Euro. Demgegenüber steht laut Henzler eine kürzlich veröffentlichte Studie des Branchenverbands Bitkom, der den Gesamtschaden für die deutsche Wirtschaft nach einer Umfrage unter IT-Experten und Managern auf über 100 Milliarden Euro jährlich schätzt, mehr als 1000-mal so viel.
Gründe für dieses immense Dunkelfeld im Bereich Cybercrime gibt es viele. Zum einen kann es Opfern peinlich sein, auf Internetbetrüger hereingefallen zu sein. Andere machen sich wenig Hoffnung auf eine erfolgreiche Strafverfolgung und zeigen Fälle deshalb gar nicht erst bei der Polizei an. Unternehmen wiederum befürchten, dass ihre Reputation durch öffentlich gewordene Hackerattacken Schaden nimmt. Die Bitkom-Studie bestätigt die Vermutung des BKA-Vizepräsidenten. Demnach waren 75 Prozent der befragten Unternehmen in den vergangenen zwei Jahren Opfer von Cyberangriffen, zwei Jahre zuvor waren es noch rund 50 Prozent gewesen.
Cybercrime in Deutschland ist also auf dem Vormarsch. Für Henzler ist das auch auf die Wirtschaftskraft Deutschlands zurückzuführen. Für Cyberbetrüger ist das reiche Land ein reizvolles Ziel. Die Wirtschaft sei aufgrund des hohen technischen Know-hows auch ein lohnendes Ziel für professionelle Cyberspione aus dem Ausland, sogenannte APT-Gruppen.
Botnetze können im Darknet gemietet werden
Auch die technologische Entwicklung hilft dem BKA zufolge den Kriminellen im Internet. So seien sogenannte DDoS-Angriffe, bei denen die Angreifer mithilfe von Botnetzen Webseiten von Unternehmen so lange mit Anfragen aus dem Netz bombardieren, bis diese zusammenbrechen, deutlich mehr geworden. Gleichzeitig steige die genutzte Bandbreite der Attacken, was zu schnelleren Schäden führe. Kriminelle nutzen solche Angriffe zum Beispiel, um Betreiber von Online-Shops zu erpressen, für die ein Ausfall ihrer Bestell-Webseite schnell sehr teuer werden kann.
Die Kriminellen im Netz müssen heutzutage für viele Angriffe nicht einmal mehr sonderlich technisch versiert sein. Botnetze, also zu einem Netzwerk zusammengeschlossene gekaperte Computer und andere internetfähige Geräte können bei entsprechenden Portalen im Darknet gemietet werden. Auch Erpressersoftware oder andere Malware, wie den berüchtigten Trojaner Emotet, können Kriminelle dort erwerben. Arbeitsteilung gibt es im Jahr 2019 auch unter Cyberkriminellen.
Ein Indiz für diese Entwicklung lieferte dem BKA im Jahr 2018 ein erfolgreicher Schlag gegen einen dieser Dienstleister für kriminelle Umtriebe. Zusammen mit internationalen Behörden gelang es, den DDoS-Anbieter Webstresser vom Netz zu nehmen. Dort waren, wie die Auswertungen ergaben, 138 000 Kunden angemeldet. Die DDoS-Angriffe im Netz gingen - nachdem der Anbieter abgeschaltet worden war - laut BKA-Vizepräsident Henzler merklich zurück.
6 Tipps, zum Schutz vor Cyberkriminalität
Featured , Tech · 28.01.2022
Wie ist die Ausgangslage zur Cyberkriminalität? 25 Prozent der deutschen InternetnutzerInnen sind laut Angaben des Bundesministeriums für Inneres und Heimat (BMI) bereits Opfer von Cyberkriminalität geworden. Das ist ein Sammelbegriff für illegale Handlungen im Computer- und Telekommunikationsbereich. Neben dem nicht-bestimmungsgemäßen Gebrauch stellt sie ein Hauptrisiko für den Schutz eurer Daten dar.
Meldungen zu Hacker-Angriffen, Datendiebstahl und dem Ausnutzen von Sicherheitslücken häufen sich. Millionen von sensiblen Informationen werden auf diese Weise missbraucht. Tendenz steigend. Vom Bundeskriminalamt (BKA) gibt es dazu ganz konkrete Zahlen aus einer Statistik zur Bundeslage der Cyberkriminalität 2020. Demnach kam es zu knapp 8 Prozent mehr Cyber-Angriffen als noch im Jahr zuvor. Die Aufklärungsquote ist mit 32,6 Prozent denkbar niedrig. Insgesamt wurden 108.649 Cyber-Straftaten erfasst — und 320.323 Straftaten, bei denen das Internet das Tatmittel war. Die Unterscheidung hier liegt übrigens in der Art der Straftat. Cyberkriminalität im engeren Sinne sind die Delikte, die sich z. B. gegen das Internet und informationstechnische Systeme richten. Bei Delikten mit dem Internet als Tatmittel handelt es sich um Fälle, bei denen das Internet lediglich als ausführendes Medium benutzt wurde. Um dagegen vorzugehen, entwickelte das BMI im September 2021 eine neue Cyber-Sicherheitsstrategie für Deutschland. Sie umfasst Handlungspläne für die nächsten 5 Jahre mit folgenden Zielen: Cyber-Sicherheit als gemeinsame Aufgabe von Staat, Wirtschaft, Gesellschaft und Wissenschaft etablieren,
Digitale Souveränität von Staat, Wirtschaft, Wissenschaft und Gesellschaft stärken,
Digitalisierung sicher gestalten und
Ziele messbar und transparent ausgestalten.
Was könnt ihr selbst tun? Einige der folgenden Punkte scheinen auf den ersten Blick vielleicht trivial, werden im Alltag aber leider oft ignoriert. Der beste Schutz vor Datendiebstahl ist immer noch, so wenig Daten wie möglich zu hinterlassen. Vor allem mit personenbezogenen Daten wie Adressen, Telefonnummern, Gesundheitsdaten etc. solltet ihr besonders sparsam umgehen, sie nur verschlüsselt übertragen und nur an sicheren, passwortgeschützten Orten speichern (z. B. einem Passwort-Manager). Wenn ihr testen möchtet, ob eure Daten in einem der Daten-Leaks der letzten Jahre geteilt wurden, könnt ihr das unter Have I Been Pwned oder mit der deutschsprachigen Variante von EXPERTE.de tun. Gebt einfach eure E-Mail-Adresse ein und die Websites sagen euch, welche Account-Daten nach außen gedrungen sein könnten.
Tipp 1 : Anonymisiert eure Benutzernamen Wenn die Option besteht, solltet ihr Nicknames verwendet. Auch Zweitnamen können auf sozialen Medien hilfreich sein. Wenn ihr auf Blogs mitreden oder öffentlich kommentieren wollt, kann es helfen, eine zweite E-Mail-Adresse zu verwenden, die keine unmittelbaren Rückschlüsse auf euch erlaubt. Das geht zum Beispiel bei kostenlosen Diensten wie Gmail, web.de oder Yahoo. Mit Diensten wie Spamgourmet oder Mailinator könnt ihr euch - je nach Anwendungsfall - auch sehr schnell anonyme E-Mail-Adressen anlegen.
Achtet bei der Eingabe von Zugangsdaten auf eine verschlüsselte Verbindung und gebt keine Zugangsdaten via Internet oder E-Mail weiter. Erhaltet ihr beispielsweise eine Mail zu einem angeblich blockierten Account, dann folgt nicht dem Link in der E-Mail selbst, sondern loggt euch direkt über die Website ein und schaut, ob mit eurem Account etwas nicht stimmt. So vermeidet ihr Datenklau durch Phishing-E-Mails. Wenn ersichtlich ist, dass es sich bei einer E-Mail um Spam handelt, solltet ihr diese bestenfalls gar nicht öffnen und natürlich auch nicht beantworten. Und auch, wenn die Neugier manchmal groß ist, ist es bekanntermaßen keine gute Idee, unbekannte Dateianhänge zu öffnen. ;) Das Einblenden von Dateiendungen im jeweiligen Betriebssystem bewahrt euch auch bei vermeintlich bekannten Absendern vor dem Öffnen von “Das musst du unbedingt und dessen Folgen.
Tipp 3 : Schützt eure Profile In sozialen Medien könnt ihr in den Einstellungen euer Profil so bearbeiten, dass nur Freunde und Bekannte, oder sogar nur spezifische Nutzergruppen eure Inhalte sehen können. Trotzdem solltet ihr vorsichtig sein. Daten, die einmal im Netz sind, können nicht mehr mit absoluter Sicherheit vollständig entfernt werden.
Tipp 4 : Nutzt sichere Passwörter Je länger, desto besser — aber mindestens 12 Zeichen. Außerdem solltet ihr keine leicht zu erratenden Informationen verwenden, wie Namen oder Geburtstage - klar. Jeder Account sollte ein eigenes Passwort haben. Dafür empfehlen sich Passwort-Manager wie zum Beispiel Keepass, LastPass oder 1Password.
Regelmäßige (und hier ist nicht “regelmäßig einmal im Jahr” gemeint) Updates verhindern, dass bekannt gewordene Sicherheitslücken offen bleiben — sowohl bei Betriebssystemen, eurer genutzten Hardware, den verwendeten Apps und im Browser. In den Einstellungen (z. B. Mozilla Firefox „Extras – Einstellungen – Sicherheit bzw. Datenschutz“) könnt ihr zudem aktiv festlegen, wie ihr den Schutz eures Browsers gestalten wollt.
Tipp 6 : Schützt euren Computer Überraschung! Ihr solltet unbedingt ein Anti-Viren-Programm und eine Firewall verwenden, um sicher im Internet unterwegs zu sein. Seid ihr mit Mac OS oder Linux unterwegs, dann streiten sich die Gelehrten. Auch eine verschlüsselte WLAN-Verbindung ist wichtig. Offene Verbindungen erlauben jeder bemühten Person in der Reichweite eures Funknetzwerkes Daten wie Passwörter und Kreditkarteninformationen mitzulesen, wenn ihr sie versendet. Außerdem sind Schwarznutzer kaum ausfindig zu machen. Schlimmer noch: nutzen sie euer Netzwerk für illegale Aktivitäten, müsst ihr die rechtlichen Konsequenzen tragen. Seid vorsichtig mit öffentlichen Computern, auch hier sind die Netzwerke leicht angreifbar.