So schützen sie sich vor Cyber-Kriminalität

2020 hat sich die Zahl der virtuellen Angriffe in Italien gegenüber 2019 mehr als verdreifacht. Ins Visier der Kriminellen geraten dabei zunehmend kleine Firmen und Privatpersonen. Denn deren Sicherheitsmaßnahmen sind in der Regel deutlich und leichter zu überwinden.

Disclaimer: Es gibt zahlreiche Betrugsmethoden und Vorgehensweisen mit unzähligen Varianten und Kombinationen. Wir stellen Ihnen in diesem Blogbeitrag die verbreitetsten Vorgehensweisen vor und zeigen Ihnen grundlegende Sicherheitsmaßnahmen. 

Das größte Sicherheitsrisiko ist die Faulheit

Komplizierte Passwörter, Zwei-Faktor-Authentifizierung mit speziellen Apps oder Geräten – all das ist lästig und zeitaufwändig. Aus diesem Grund wird häufig darauf verzichtet, ein leicht zu merkendes Passwort gewählt und dieses dann gleich mehrfach verwendet. So ein Vorgehen macht es Hackern leicht.

Aus diesem Grund ganz zu Anfang die wichtigsten Grundlagen für die Passwortwahl

• Das Passwort darf in keinem Wörterbuch vorkommen
• Nutzen Sie Zahlen, Buchstaben (groß/klein) UND Symbole (z.B. (AghUh1458&%!)
• Verwenden Sie min. 8 Zeichen, besser 12-14
• Verwenden Sie kein Passwort mehrfach
• Schreiben Sie Ihre Passwörter nirgendwo auf, wo andere Menschen Zugang haben

Ein solches Passwort macht es nahezu unmöglich, sich mit vertretbarem Aufwand Zugang zu Ihren Daten zu verschaffen. Aus diesem Grund haben Kriminelle eine Reihe von Techniken entwickelt, um an Ihre Zugänge zu gelangen, bzw. um Ihre persönlichen Daten zu missbrauchen.

1. Phishing

Angelehnt an das „Fischen“ nach Informationen, werden bei dieser Technik Millionen von E-Mails an alle auffindbaren E-Mail-Adressen geschickt. Der Inhalt wird meist so gewählt, dass er auf möglichst viele Menschen zutreffen kann. Ein erwartetes Paket wurde blockiert und man muss sich authentifizieren, um es doch zugestellt zu bekommen, es gibt Probleme mit der hinterlegten Zahlungsmethode bei Amazon, Apple oder Netflix und man muss JETZT SOFORT handeln, um nicht gesperrt zu werden.

Immer dann, wenn der Zeitraum zum Reagieren sehr kurz ist, sollten die Alarmglocken schrillen. Seriöse Firmen geben dem Empfänger immer ausreichend Zeit zu reagieren.

Wie erkenne ich Phishing-E-Mails?

• Die Absende-E-Mail wirkt zufällig generiert oder ist unpassend (z.B. lj34342ß@payjack.eu oder jack.cucumber@hoho.info), müsste aber von @amazon.it, @apple.com o.ä. sein
• Die E-Mail enthält Fehler in der Ansprache („Sehr geehrter Sir…“) und hat auch sonst grammatikalische und lexikalische Schwächen
• Es werden keine konkreten, nachprüfbaren Angaben gemacht (keine Trackingnummer, keine Bestellnummer o.ä.)
• Die Reaktionszeit ist sehr kurz („Sie haben 24h Zeit, sonst wird das Paket zurück an den Absender geschickt“)
• Die E-Mail enthält einen Link

Wer auf diesen Link klickt, wird aufgefordert, seine Zugangsdaten einzugeben. Wer das tut, der hat seine privaten Daten soeben an Cyber-Kriminelle übergeben, die nun z.B. Zugang zum Amazon-Postfach haben, dort Bestellungen tätigen oder auch mit der gestohlenen Identität Zugänge zu anderen Portalen einrichten können.

Wie vermeiden Sie solche Daten-Diebstähle?

Grundsätzlich gilt: seien Sie skeptisch. Erwarten Sie ein Paket? Ist der Kurier der richtige? Stimmen die genannten Informationen? Prüfen Sie das nach. Und lassen Sie sich nicht hetzen. Es wird immer eine zweite Erinnerung geben und Sie haben im Falle einer korrekten Service-Nachricht immer genug Zeit, um zu reagieren. Die wichtigste Regel ist: klicken Sie nicht auf den Link in der E-Mail! Rufen Sie die Seite über Ihren Browser auf und stellen Sie sicher, die offizielle URL einzugeben. Sollte es ein Problem geben, werden Sie dort auf der jeweiligen Plattform eine entsprechende Nachricht vorfinden.

2. Spoofing

Die Übergänge bei unseren gewählten Beispielen sind fließend. Beim Spoofing wird dem Adressaten vorgegaukelt, der Absender wäre eine Person aus dem Umfeld (deren Daten wurden beispielsweise durch eine Phishing-Attacke gewonnen) und wiederum nach bestimmten Informationen oder Daten gefragt, die für spätere Aktionen genutzt werden können. So wird zum Beispiel nach der Sicherheitszahl der Kreditkarte gefragt oder darum gebeten, ein bestimmtes Formular auszufüllen. Es gibt auch besonders plumpe Fälle, wo man um Geldüberweisungen auf bestimmte Konten bittet.

Wie schütze ich mich?

Auch hier hilft gesunde Skepsis: kann die Überweisung wirklich keine 30 Minuten warten, bis der vermeintliche Absender aus dem Meeting zurückkommt? Hat er die angefragten Daten nicht schon? Oder braucht er die überhaupt?

Im Zweifelsfall gilt: sichern Sie sich durch eine Rückfrage über einen ANDEREN Kanal ab. Im Falle einer E-Mail, rufen Sie die andere Person an und fragen Sie.

3. Malware

Hier handelt es sich um einen Überbegriff. „Malware“ (=Schadsoftware) kann alles sein, vom Virus, der den Rechner verlangsamt und Dateien zerstört, über den Bitminer, der die Rechenleistung des infizierten Computers benutzt, um Cryptowährung zu berechnen, zum Trojaner, der Daten auf dem Rechner ausspäht bis hin zum Keylogger, der buchstabengetreu mitschreibt, was man tippt. Auch die später genauer erklärte Ransomware gehört in diese Kategorie.

In den Anfängen der Computer wurden Viren über infizierte Disketten verbreitet. In Zeiten des Internets fängt man sich die Schädlinge normalerweise durch das Besuchen bestimmter Websites ein. Schon ein falscher Klick kann ausreichen.

Auch in E-Mail-Anhängen können sich Schadprogramme verstecken, der neueste „Trend“ ist aber vermeintlich harmlose Hardware (wie USB Sticks oder auch Ladekabel), die infiziert sind und den Rechner befallen.

Wie schützt man sich vor Malware?

• Achten Sie zunächst einmal darauf, dass die gesamte Software auf Ihrem Computer immer auf dem aktuellen Stand ist. Das gilt besonders für die Antivirensoftware.
• Optimieren Sie die Sicherheitseinstellungen an Ihrem Browser und öffnen Sie keine unbekannten Links, die der Browser als gefährlich einstuft
• Schauen Sie zweimal hin, bevor Sie auf einer Seite auf einen Link klicken. Häufig wird Werbung so gestaltet, dass sie wie ein regulärer Download-Link aussieht. Bestenfalls lädt man nur ein nerviges „Freemium“-Programm herunter, aber es kann auch schlimmer kommen
• Öffnen Sie NIEMALS Anhänge von E-Mails, wenn Sie den Absender nicht kennen oder nicht wissen, um was es sich handelt. Im Zweifelsfall orientieren Sie sich an den Tipps zum Umgang mit Phishing weiter oben
• Auch wenn es verlockend ist: nehmen Sie keine USB Sticks oder sonstige Computer-Hardware an, die Ihnen als Werbegeschenk o.ä. überreicht wird. Gerade kleinere Unternehmen geraten immer mehr in den Fokus von Cyber-Kriminellen.

4. Ransomware

Ransomware ist eine besondere Form der Malware. Hier geht es nicht um das Sammeln von Daten oder das Ausspionieren von Passwörtern. Vielmehr werden die Daten auf dem infizierten Gerät verschlüsselt und sind damit nicht mehr zugänglich. Der Geschädigte muss dann „Lösegeld“ zahlen (meistens in Form von Cryptowährung), um wieder Zugang zu bekommen.

Auch eine Zahlung des Lösungsgelds führt in den allermeisten Fällen NICHT zur Zurückgabe der Daten. Diese Daten sind meist bereits verloren.

Wie sichere ich mich gegen Ransomware ab?

Es gelten alle Ratschläge, die in diesem Text bereits genannt wurden. Sichere Passwörter, gesunde Skepsis, keine unbekannten Links oder Anhänge anklicken, keine gratis Hardware verwenden.

Gegen einen Befall hilft nur ein aktuelles Backup. Speichern Sie wichtige Daten nicht auf dem Rechner, sondern in der Cloud, richten Sie automatisierte Sicherheitskopien ein und speichern Sie diese auf externen, nicht mit dem Computer verbundenen Festplatten (idealerweise mehrere). Damit lässt sich das Schaden effektiv minimieren.

(Ver-)Sichern Sie Ihr Unternehmen professionell (ab)

Haben Sie gewusst, dass die Allianz eine umfassende Versicherung gegen Schäden durch Cyberkriminalität für Unternehmen anbietet?

Dort werden Sie nicht nur von Experten beraten und geschützt, sondern erhalten im Schadensfall auch alle nötigen Ressourcen zur Verfügung gestellt, damit Sie schnell wieder weiterarbeiten können. Denn häufig ist weniger der Datenverlust das Problem, sondern der Verdienstausfall in der Zeit, in der die Computer nicht nutzbar sind.

Wir beraten Sie gerne und umfassend über die Möglichkeiten