IT und Cybersicherheit
Cyberkriminalität und Schutzmaßnahmen
Immer mehr Unternehmen und Organisationen werden zum Ziel der Cyberangriffe. Eine repräsentative Studie des Digitalverbands Bitkom gibt an, dass 53 Prozent der deutschen Unternehmen bereits aus dem Internet angegriffen. In diesem Artikel haben wir für Sie die gängigen Angriffsformen und Schutzmaßnahmen gesammelt.
Angriffsformen und Schutzmaßnahmen
Phishing
Das Phishing gehört zu den am meisten verbreiteten Formen der Cyberkriminalität. Verbrecher verschicken betrügerische Nachrichten über verschieden Kanäle: E-Mail, Messenger oder Soziale Netzwerke. Sie fordern Nutzerinnen und Nutzer dazu auf einen Link öffnen und vertrauliche Informationen wie Passwörter, Zugangsdaten oder Kreditkartennummern preiszugeben. Sobald Sie das getan haben und erst danach den Betrug erkannt haben, sperren Sie Ihr Bankkonto. Kontrollieren Sie die Umsätze Ihres Bankkontos und setzen Sie sich mit Ihrer Bank in Verbindung. Nutzen Sie nach der Entsperrung ausschließlich neue Passwörter und PINs für Ihr Konto. Die Gefahr: Die angegebenen Links führen auf gefälschte Internetseiten, auf denen die Daten abgegriffen werden. Die Nachrichten wirken täuschend echt, die Absender seriös. Viele Empfänger schöpfen daher keinen Verdacht und geben ihre Daten den Kriminellen preis.
Externe USB-Sticks im Unternehmen
Immer noch viele Unternehmen lassen die Nutzung externer, bzw. privater USB-Sticks. Oft werden diese Datenträger vor dem Anschließen an das Geschäftsrechner oder Netzwerke nicht getestet und stellen daher eine große Gefahr für ein Unternehmen dar. Angeschleppte Schadware können Ihr ganzes Betrieb lahmlegen.
Sichere Benutzung von USB-Datenträgern:
- Trennen Sie persönliche und geschäftliche USB-Laufwerke. Verwenden Sie keine privaten USB-Sticks oder private externe USB-Festplatten an Firmencomputern.
- Nutzen Sie Sicherheitssoftware und halten Sie diese auf dem neuesten Stand. Verwenden Sie eine Firewall, Antiviren-Software und eine Anti-Spyware.
- Schließen Sie an einem PC keinesfalls ein USB-Laufwerk an, dessen Herkunft für Sie unklar ist. Es sind Fälle bekannt, dass Besucher absichtlich einen mit Schadsoftware versehenen Stick verloren haben.
- Vermeiden Sie den Einsatz von Werbegeschenken auf „USB-Basis“, wie Kaffeetassenwärmern, Schwanenhalslüftern o.ä. Es sind auch hier Fälle bekannt, dass in der USB-Hardware Schadsoftware verbaut war.
- Verwenden Sie eine passwortgeschützte Verschlüsselung auf Ihrem USB-Laufwerk, um Ihre Daten vor dem Zugriff Unbefugter zu schützen.
Quelle: Wirtschaftsschutz-Info Juni 2018, Wirtschaftsschutz des Verfassungsschutzes Niedersachsen.
Mobile Endgeräte im Ausland
Ausländische Nachrichtendienste könnten versuchen, Unternehmensgeheimnisse des Reisenden in Erfahrung zu bringen.
Insbesondere die Nutzung von mobilen Kommunikationsmitteln/mobiler Informationstechnik birgt das Risiko, dass ungewollt durch
Insbesondere die Nutzung von mobilen Kommunikationsmitteln/mobiler Informationstechnik birgt das Risiko, dass ungewollt durch
- Mithören von Mobil-Telefonaten,
- Mitlesen von E-Mails,
- Auslesen und Verändern aller gespeicherten Daten und
- Mithören von Gesprächen in der Umgebung
Dritte Kenntnisse von unternehmensinternen Geheimnisse erlangen und dadurch dem jeweiligen Unternehmen schaden können.
Unter dem Begriff "mobile Informationstechnik" werden hier neben Notebooks, PDAs, Handys und Smartphones auch Speichermedien wie USB-Sticks, CDs und DVDs verstanden.
Weitere Gefahren bergen Einschränkungen und Verbote des Gastlandes hinsichtlich des Umgangs mit mobiler IT (z. B. Handyverbot, Fotografierverbot). Verstöße gegen diese Vorschriften können ausländischen Nachrichtendiensten weitere Angriffe auf die Unternehmensgeheimnisse ermöglichen.
Aus diesem Grund hat der Verband für Sicherheit in der Wirtschaft Norddeutschland e.V. ein Merkblatt für den Umgang mit mobiler Informationstechnik, vorrangig in Ländern mit besonderem Sicherheitsrisiko (PDF-Datei · 23 KB) herausgegeben.
Informieren Sie sich außerdem auf der Internetplattform des Bundesamtes für Sicherheit in der Informationstechnik über die Standards der IT-Sicherheit nach BSI-Grundschutz.
Ransomware
Unter Ransomware versteht man eine Art von Schadprogrammen, die den Zugriff auf Daten und Systeme einschränken oder unterbinden. Für die Freigabe wird dann ein Lösegeld (englisch: Ransom) verlangt. Es kann sowohl der komplette Zugriff auf das System gesperrt werden als auch nur bestimmte Nutzerdaten verschlüsselt werden. Alle Systeme können von Ransomware befallen werden. Mehr darüber erfahren Sie auf der Seite des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Wie kommt die Schadware in Ihr Unternehmen?
Cyberkriminelle versuchen viele verschiede Kanäle, um in ein Unternehmen einzudringen. Oft werden Phishing Mails mit Links oder Anhängen an die Mitarbeitende eines Unternehmens verschickt. Manchmal kommt es zuvor auch zu Anrufen, in denen der Versand einer Datei angekündigt wird, um das Misstrauen gegenüber den unbekannten Absendern im Vorweg abzubauen. Manchmal kommt es zuvor auch zu Anrufen, in denen der Versand einer Datei angekündigt wird, um das Misstrauen gegenüber den unbekannten Absendern im Vorweg abzubauen.
Die Anhänge haben meist unverfängliche Dateinamenserweiterungen wie .zip, .doc oder .pdf. Hierbei kommt der Schadsoftware zu Gute, dass Windows per Voreinstellung die Dateinamenserweiterung bei bekannten Dateitypen ausblendet. Eine Datei mit dem Namen xxx.doc.exe wird somit als xxx.doc dargestellt. Nach dem Deaktivieren dieser Windows-Funktionalität erkennt man die tatsächlichen Dateiendungen, die oftmals auf ausführbare Dateien hinweisen (.exe, .com, .js, .bat, .vbs,…).
Wenn so ein Anhang geöffnet wird, werden die Daten des Rechners und erreichbare Netzwerklaufwerke verschlüsselt und können bis auf weiteres nicht mehr genutzt werden. Bei Bezahlung des Lösegelds wird die Übersendung des Entschlüsselungscodes in Aussicht gestellt.
Häufig verschlüsseln die Täter allerdings nicht direkt die Daten des Rechners, sondern verschaffen sich nach und nach Zugriff zu weiteren Teilen der IT-Infrastruktur des Unternehmens. So waren Täter in bekannten Ransomware-Fällen nicht selten Wochen und Monate unbemerkt im Netzwerk der betroffenen Unternehmen, bevor die Daten verschlüsselt und die Lösegeldforderung gestellt wurden
Ransomware-Gruppe 'REvil' erpresst hunderte Unternehmen
Beim jüngsten Ransomware-Angriff auf den amerikanischen IT-Dienstleister 'Kaseya' haben Cyber-Kriminelle gleichzeitig hunderte Unternehmen weltweit angegriffen. Die Hacker von 'REvil' nutzten legte die Kunden von Kaseya mit einem Verschlüsselungstrojaner lahm. Zugriffe auf Systeme wurden gesperrt, um damit hohe Summen Lösegeld zu erpressen. Da zu den Kunden des IT-Dienstleisters zahlreiche weitere IT-Unternehmen in der ganzen Welt gehörten, die ebenfalls ein großes Kunden-Netzwerk haben wurden auch diese zu den Opfern des Angriffs. Deutsche Unternehmen wurden unter anderem auch getroffen. Privatanwenderinnen und Privatanwender sind bislang nicht Opfer dieser Erpresser-Attacke. Weitere Dynamiken und Verbreitungen sind allerdings nicht ausgeschlossen. Der Vorfall zeigt, wie angreifbar eine vernetzte IT-Infrastruktur mit einer Sicherheitslücke sein kann und welche mitunter weltweiten Auswirkungen dies haben kann.
Beim jüngsten Ransomware-Angriff auf den amerikanischen IT-Dienstleister 'Kaseya' haben Cyber-Kriminelle gleichzeitig hunderte Unternehmen weltweit angegriffen. Die Hacker von 'REvil' nutzten legte die Kunden von Kaseya mit einem Verschlüsselungstrojaner lahm. Zugriffe auf Systeme wurden gesperrt, um damit hohe Summen Lösegeld zu erpressen. Da zu den Kunden des IT-Dienstleisters zahlreiche weitere IT-Unternehmen in der ganzen Welt gehörten, die ebenfalls ein großes Kunden-Netzwerk haben wurden auch diese zu den Opfern des Angriffs. Deutsche Unternehmen wurden unter anderem auch getroffen. Privatanwenderinnen und Privatanwender sind bislang nicht Opfer dieser Erpresser-Attacke. Weitere Dynamiken und Verbreitungen sind allerdings nicht ausgeschlossen. Der Vorfall zeigt, wie angreifbar eine vernetzte IT-Infrastruktur mit einer Sicherheitslücke sein kann und welche mitunter weltweiten Auswirkungen dies haben kann.
So können Sie sich vor solchen Angriffen schützen
- Achten Sie auch bei scheinbar korrekten Emails beim Öffnen von Anhängen oder Anklicken von Links auf die tatsächliche Dateiendung oder deaktivieren Sie ggf. die automatische Ausblendung der Dateinamenserweiterung in Windows.
- Führen Sie regelmäßige Datensicherungen durch und kontrollieren Sie diese auf Verfügbarkeit. Achten Sie darauf, dass die Schadsoftware nicht auf die Datensicherung zugreifen kann (z.B. durch eine physikalische Trennung nach Abschluss der Sicherung).
- Falls Sie einen Befall bemerken, trennen Sie den betroffenen Rechner schnellstmöglich vom Netzwerk.
- Konfigurieren Sie Ihre Office-Programme so, dass Makros nicht oder erst nach Rückfrage ausgeführt werden.
- Automatisieren Sie die Erkennung von Krypto-Trojanern durch entsprechendes Monitoring auf Ihren Fileservern.
- Versuchen Sie, alle Programme auf Ihren Systemen zeitnah mit Updates zu versorgen.
- Aktualisieren Sie regelmäßig und in kurzen Abständen Ihren Virenscanner.
Wenden Sie sich bei Auffälligkeiten oder Fragen an die örtliche Polizeidienststelle oder an die Zentrale Ansprechstelle Cybercrime:
Hotline: +49 711 5401-2444
cybercrime@polizei.bwl.de
Hotline: +49 711 5401-2444
cybercrime@polizei.bwl.de
DDos-attacken
Es gibt kaum noch ein Unternehmen, das im Internet nicht präsent ist. Oft sind die Unternehmen auf Ihre Internetseiten sogar existenziell angewiesen. Kriminelle Gruppen versuchen immer wieder, mit angekündigten DDoS Angriffen, Unternehmen zu erpressen. Ob die angedrohten DDoS-Angriffe umgesetzt werden, hängt von der jeweiligen kriminellen Gruppe ab und lässt sich nicht im Voraus prognostizieren.
Das BSI - Bundesamt für Sicherheit in der Informationstechnik - hat zu diesem Thema folgende Ratschläge (https://www.allianz-fuer-cybersicherheit.de/Webs/ACS/DE/Informationen-und-Empfehlungen/Empfehlungen-nach-Gefaehrdungen/DDoS/ddos_node.html ) veröffentlicht.
Wenden Sie sich bei Auffälligkeiten oder Fragen an die örtliche Polizeidienststelle oder an die Zentrale Ansprechstelle Cybercrime:
Hotline: +49 711 5401-2444
cybercrime@polizei.bwl.de
Hotline: +49 711 5401-2444
cybercrime@polizei.bwl.de
CEO-Masche
In Zeiten der IP-Telefonie ist es einfach, einen Telefonanschluss so zu manipulieren, dass beim Angerufenen eine andere Telefonnummer als die tatsächliche angezeigt wird. Das nennt man Call-ID-Spoofing. Betrüger geben sich auch als Polizisten aus, als Mitarbeiter der Deutschen Rentenversicherung, der Verbraucherzentrale oder eben als Geschäftsführer und fordern die Mitarbeiter eines Unternehmens z.B. eine Überweisung zu tätigen.
Auch die baden-württembergische Unternehmen fielen dieser Masche zum Opfer: Mitglieder einer Bande hatten vom israelischen Tel Aviv aus insgesamt sieben deutsche Firmen, davon zwei in Baden-Württemberg, um rund 10 Millionen Euro betrogen.
Denkbar ist auf diese Art und Weise auch ein nachrichtendienstlicher Angriff zum Zwecke der Ausforschung von Mitarbeitern sowie Unternehmen.
Befolgen Sie die folgenden Schritten, um diesen Betrug zu vermeiden:
- Behalten Sie immer im Blich welche Informationen über Ihr Unternehmen öffentlich zugänglich sind bzw. wo und was Sie und Ihre Mitarbeiter im Zusammenhang mit Ihrem Unternehmen publizieren.
- Gehen Sie in sozialen Netzwerken und Karriereportalen restriktiv mit persönlichen Daten um. Dies gilt insbesondere dann, wenn Sie in leitender Funktion eines Unternehmens tätig sind oder über Zahlungsberechtigungen verfügen.
- Führen Sie klare Abwesenheitsregelungen und interne Kontrollmechanismen ein.
- Sensibilisieren Sie Ihre Mitarbeiter dahingehend, keine hausinternen Telefondurchwahlen oder persönliche E-Mail-Adressen der Geschäftsführung oder der Zahlungsberechtigten preiszugeben.
- Führen Sie immer Plausibilitätsprüfungen durch, bevor Sie sensible Daten an Dritte übermitteln. Seriöse Anrufer können sich durch Angabe eines tatsächlich existierenden Aktenzeichens oder einer Rechnungsnummer legitimieren.
- Entwickeln Sie in Ihrem Unternehmen Standards, welche die Verfahrensweise bei atypischen und ungewöhnlichen Zahlungsaufforderungen beschreiben. Die Einführung des Vier-Augen-Prinzips wäre beispielsweise eine geeignete Möglichkeit.
Was tun im Ernstfall? Auf der Seite des Bundesamtes für Sicherheit in der Informationstechnik finden Sie verschiedene Checklisten und weiterführende Links für den Ernstfall.