Drei Fragen und fünf Tipps in Sachen Online-Sicherheit

illu cc0 cyber fraktale

Wenn Sie Ihre persönlichen Daten an eine Bank, eine Behörde oder auch ein Versicherungsunternehmen geben, gehen Sie bis zu einem gewissen Grade davon aus, dass die betreffenden Stellen alles ihnen mögliche tun, um diese Daten zu schützen. Dabei vergisst man leicht, dass während Sie noch dabei sind die notwendigen Formulare auszufüllen, auf der dunklen Seite Hacker ihrerseits alles ihnen mögliche tun, um genau diese Informationen abzuziehen.

Ja, auch genau Ihre Daten. Die jüngsten Datenschutzverstöße bei Scottrade und Experian gehören genau zu dieser Sorte großangelegter Angriffe. Wir sind uns bewusst, dass es im Wesentlichen drei grundlegende Fragen sind mit denen wir uns beschäftigen sollten:

  • Warum haben Hacker es überhaupt auf Ihre Daten abgesehen?
  • Was tun Angreifer mit den erbeuteten Daten?
  • Wie kann ich mich wirksam schützen?

Der Europäische Monat der Cybersicherheit 2015 ist ein guter Anlass, sich mit diesen Fragen auseinander zusetzen.

Warum haben Hacker es überhaupt auf Ihre Daten abgesehen?

Darauf gibt es verschiedene Antworten. Manche Hacker lieben die Herausforderung, andere wollen einfach bekannt werden. Wieder andere sehen sich als selbst ernannte »Hacktivisten«. Die Mehrheit unter ihnen tut es aber aus einem weit schlichteren Grund, nämlich des Geldes wegen. Und je größer ein Angriff angelegt ist und je höher die Zahl der erbeuteten Datensätze, wie bei Experian und Scottrade, desto größer ist auch die Chance eines entsprechenden finanziellen Gewinns.

Was tun Angreifer mit den erbeuteten Daten?

Das hängt ganz davon ab wie viele und welche Art von Informationen gestohlen wurden. So kann ein Hacker beispielsweise in Ihrem Namen Kredite aufnehmen. Mit Adresse, Sozialversicherungsnummer, Vor- und Nachname hat ein Angreifer bereits so ziemlich alles in der Hand, um online eine Kreditkarte in Ihrem Namen zu beantragen oder ein Auto zu finanzieren. Sie mögen einwenden, dass Sie vielleicht nicht besonders viel Geld auf der Bank haben oder Ihr Rating dafür nicht ausreichend ist. Aber wenn es einem Hacker nur gelingt 100 Euro von 100 Opfern zu stehlen, sind das immerhin schon 10.000 Euro. Und wenn Sie jetzt vielleicht einwenden mögen, dass Sie einen Betrag von 100 Euro vermutlich bemerken würden, wie sieht es aus, wenn es nur 20 Euro sind … ? Ein solcher Angriff richtet sich nicht gegen Sie persönlich, sondern gegen eine ganze Grundgesamtheit mit entsprechendem Umfang. Aber natürlich gibt es auch die Art von Cyberkriminellen, die Kreditkartendetails stehlen oder Kreditkarten beantragen und dann so schnell wie möglich das maximal mögliche herausziehen.

Und es gibt noch eine andere Variante wie wir sie erst vor kurzem beim spektakulären Hack gegen Ashley Madison beobachten durften. Hier richtete sich eine groß angelegte Spam-Kampagne gegen die Kunden von Ashley Madison. Kunden, die auf einer im Dark Web gehandelten Liste standen. Diese Spam- und Malware-Kampagnen zielten darauf ab, die potenziellen Kunden des Seitensprungportals damit zu erpressen, sie gegenüber Freunden und Familienmitgliedern zu outen. Blackmail-Kampagnen sind eher selten, einfach weil sie sehr viel mehr Aufwand erfordern, als Sozialversicherungsnummern bei einer Datenschutzverletzung ausfindig zu machen. Trotzdem kommen sie vor und können ausgesprochen erfolgreich sein. Gerade, wenn wie hier, starke Emotionen beteiligt sind.

Wie kann ich mich wirksam schützen?

In Bereichen wie Online-Banking, dem Versicherungs- oder Gesundheitswesen ist es nahezu unmöglich nachzuvollziehen wo genau die Daten gespeichert sind und wer darauf zugreifen kann. Trotzdem gibt es einige Schritte, die man vorbeugend beherzigen sollte und die dazu beitragen persönliche Daten zu schützen.

  • Überprüfen Sie routinemäßig Kreditkartentransaktionen und Kreditkartenzahlungen oder installieren Sie sogar ein entsprechendes Monitoring. Das macht es deutlich einfacher verdächtige Zahlungen und nicht autorisierte Kreditanträge zu bemerken. Hier gilt: Je früher, desto besser. Denn etliche Finanzinstitute haben ein entsprechendes Zeitfenster innerhalb dessen Sie eine Zahlung oder einen entsprechenden Antrag zurückziehen und stornieren können.
  • Verwenden Sie starke Passwörter und ändern Sie diese regelmäßig. P@$$w0rd mag Ihnen geeignet erscheinen, aber vertrauen Sie uns, es ist es nicht.
  • Fallen Sie nicht auf den Köder herein. Sie mögen sich einigermaßen sicher sein, nicht auf eine Phishing-Mail hereinzufallen. Aber unterschätzen Sie nicht wie kreativ Hacker werden können. Wir haben einige sehr, sehr überzeugend wirkende E-Mails von (angeblichen) Kreditkartenunternehmen oder Online-Shops gesehen. Der Inhalt gab vor, den Benutzer darüber zu informieren, dass seine Kreditkarte gesperrt wurde. Im Zuge dessen wird der Benutzer aufgefordert seine Rechnungsadresse respektive die Kreditkartennummer einzugeben um die Karte anschließend wieder entsperren zu können.
  • Lassen Sie das trojanische Pferd draußen stehen. Wenn Sie eine E-Mail von einem Ihrer bevorzugten Online-Shops erhalten, die eine angeblich nicht beglichene Rechnung in einer angehängten .zip-Datei enthält, hat das nur einen Grund: Der Anhang ist ein Trojaner und enthält einen Virus. Die potenziellen Folgen, sollten Sie auf den verseuchten Anhang klicken, sind vielfältig. Über ein entsprechend ausgeführtes Kommando kann Ihr Rechner zum Teil eines Botnetzes werden oder ein Keylogger wird installiert. Eine andere Variante ist Ransomware, die Dateien auf Ihrem Rechner verschlüsselt und sperrt, bis Sie eine bestimmte Geldsumme gezahlt haben. Sollten Sie sich tatsächlich in Bezug auf eine möglicherweise offene Rechnung unsicher sein, überprüfen Sie das direkt mit dem Kundendienst des entsprechenden Shops oder loggen Sie sich direkt auf Ihrem Konto ein.
  • Verzichten Sie nicht auf einen mehrstufigen Sicherheitsansatz. Das gilt für geschäftliche wie private Anwendungen gleichermaßen. Kombinieren Sie Antispam- und Antiviren-Lösungen mit einem entsprechenden Web-Schutz. Antispam- und Antiviren-Lösungen verhindern, dass Malware Sie findet und ein angemessener Webschutz verhindert, dass Sie sie selbst finden.
  • Und dann sind da noch die Updates. Updates enthalten häufig die entsprechenden Sicherheitspatches gegen Malware am Gateway. Falls Sie Updates nicht automatisch installieren lassen, setzen Sie selbst regelmäßige Aktualisierungen an.

Jon French

Jon French, AppRiver, https://de.appriver.com