Cybersicherheit: Drei Wege, um Cyberangriffen vorzubeugen

Illustration: Absmeier – Bluartpapelaria

Die Fußball-WM in Katar ist in vollem Gange und die Zeit der Besinnlichkeit wartet bereits vor der Tür – viel Trubel für das letzte Quartal dieses Jahres. Doch ist es genau dieser Trubel, der während internationaler Sport-Events und Festtage entsteht, den Cyberkriminelle gezielt auszunutzen wissen. Das Hauptziel: ahnungslose Menschen und ihre Begeisterung, Neugier und Hilfsbereitschaft.

 

Besonders im Unternehmenskontext ist das sogenannte Social Engineering eine sehr beliebte Vorgehensweise von Cyberkriminellen. 85 Prozent aller Cybersicherheitsvorfälle sind auf menschliches Fehlverhalten zurückzuführen [1]. Über die Mitarbeiter versuchen Angreifer in Netzwerke einzudringen, Ransomware einzupflanzen, um Systeme zu verschlüsseln und Lösegeld einzufordern, oder sensible, personenbezogene Daten zu stehlen. Das verheerende an dieser Methode: Solche Kampagnen können jedes Unternehmen unabhängig von Größe und Branche treffen.

In diesem Jahr dürften Cyberkriminelle besonders leichtes Spiel haben. Einerseits könnten Phishing-Mails interessierte Fußball-Fans mit WM-relevanten Inhalten zu gefälschten Webseiten oder vermeintlichen Streaming-Services locken. Andererseits könnte sich die alljährliche Online-Geschenkejagd als verhängnisvoll herausstellen. Inflationsbedingt planen deutsche Shopper in diesem Jahr sparsamer einzukaufen und könnten sich durch falsche Sparangebote und Festtags-Deals dazu verleiten lassen, Fake Links zu folgen.

Damit der Rest des Jahres (und natürlich auch die Zeit darüber hinaus) friedlich bleiben, hat Dominik Bredel, Security-Experte der IBM-Ausgründung Kyndryl in Deutschland, drei grundlegende Sicherheitstipps, die jeder kinderleicht umsetzen und gleichzeitig einen Beitrag zu einem höheren Sicherheitsniveau leisten kann – sowohl privat als auch am Arbeitsplatz.

 

  1. Inhalte erst prüfen, dann klicken
    Cyberkriminelle imitieren Ihnen bekannte Personen, Unternehmen oder Institutionen, um sich Aufmerksamkeit und Vertrauen zu erschleichen (Spoofing). Dafür versuchen sie, E-Mail-Absenderadressen, Web-Adressen und Nachrichten täuschend echt wirken zu lassen. Es gibt jedoch ein paar Tricks, wie Sie die Echtheit überprüfen können. Sehen Sie sich Absender und Inhalte genau an: Gibt es auffällige Rechtschreib- und Grammatikfehler? Handelt es sich um eine legitime E-Mail-Adresse? Nehmen wir folgendes Beispiel: support@apple.de. Ist das »L« in Apple wirklich ein »L« oder vielleicht doch ein großgeschriebenes »i«? Das lässt sich ganz einfach kontrollieren. Oder: Jemand hat einen Textbaustein mit einem Hyperlink versehen. Bewegen Sie Ihre Maus nur über das Wort, ohne zu klicken. Die meisten Programme zeigen an, wohin der Link führt. Web-Adressen sollten Sie dennoch stets selbst im Browser eingeben.Grundsätzlich gilt: Öffnen Sie keine Nachrichten, Anhänge oder Links, wenn Ihnen etwas komisch vorkommt, und schon gar nicht, wenn Sie den Absender nicht kennen. Gleiches gilt für Software und Apps: Installieren Sie keine Anwendungen von unbekannten oder nicht verifizierten Anbietern.

 

  1. Mangelhaft geschützte Accounts absichern
    Man sollte meinen, dass ein sicheres Kennwort mittlerweile selbstverständlich ist. Bei jeder Registrierung wird darauf hingewiesen, ein Starkes zu nutzen. Die Wahrheit jedoch ist: Selbst im Jahr 2021 waren »123456« und »passwort« immer noch die beliebtesten Passwörter [2].
    Mit einer guten Passwort-Hygiene sorgen Sie dafür, dass niemand Ihr aktuelles Passwort einfach errät. Dazu gehört es, ein starkes mindestens zehn Zeichen langes Passwort zu nutzen, das aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen besteht. Außerdem sollten Sie Passwörter regelmäßig erneuern und nie recyceln. Bevor Sie sich ihre schwierigen Passwörter jedoch auf einen Zettel schreiben, den womöglich andere Leute in Ihrem Umfeld finden, können Sie die Verantwortung auch auf einen Passwort-Manager übertragen. Dieser speichert die Informationen und fügt sie auf den jeweiligen Webseiten automatisch ein.
    Mit einer Zwei-Faktor-Authentifizierung können Sie Ihre Accounts zusätzlich schützen. Dabei verifizieren Sie über eine zweite Eingabe – zum Beispiel eine PIN, die Sie per SMS erhalten, oder biometrische Merkmale – die Anmeldung zu einer Webseite oder App. Angreifer bräuchten dann nicht nur Ihr Passwort, sondern auch Ihr Smartphone, um ihr Nutzerkonto zu knacken.

 

  1. Der Technologie vertrauen
    Hersteller arbeiten kontinuierlich daran, ihre Hard- und Software sicherer zu machen und veröffentlichen regelmäßig Updates. Sobald Ihr PC oder Handy Sie dazu auffordert, Aktualisierungen vorzunehmen, sollten Sie diese nicht ignorieren oder auf morgen verschieben. Dadurch steigt das Risiko, dass zum Beispiel von Entwicklern identifizierte Schwachstellen länger offenbleiben und von Cyberkriminellen ausgenutzt werden können. Idealerweise aktivieren Sie die Funktion der automatischen Updates, um Sicherheitslücken schnellstmöglich zu schließen.
    Gleiches gilt für Sicherheitsfunktionen wie die Firewall oder den Virenscanner. Auch diese sollten dauerhaft eingeschaltet bleiben und aktualisiert werden, um für den größtmöglichen Schutz des Endgeräts sorgen zu können.
    Natürlich liegt die Verantwortung nicht allein bei der Belegschaft. Unternehmen müssen an bestimmten Stellschrauben nachhelfen. Zum einen können sie ihre Mitarbeiter mithilfe regelmäßig stattfindender, praxisnaher Security-Awareness-Schulungen bei der Aufklärung und Weiterbildung unterstützen.
    Zum anderen ist es ratsam, eine dreiteilige Security- und Resilience-Strategie zu verfolgen. Teil dieser Strategie ist es, Bedrohungen zu antizipieren und im nächsten Schritt die richtigen Technologien zu implementieren, um die Infrastruktur zu schützen. Außerdem ist es unerlässlich, dass sie wissen, was im Falle eines erfolgreichen Angriffs in Sachen Disaster Recovery und Business Continuity zu tun ist.

 

[1] https://www.verizon.com/business/resources/reports/dbir/2021/masters-guide/summary-of-findings/
[2] https://hpi.de/pressemitteilungen/2021/die-beliebtesten-deutschen-passwoerter-2021.html