Illustration: Absmeier, TheDigitalWay
Jeder zweite Internetnutzer ist nach einer jüngsten Umfrage des Branchenverbandes Bitkom inzwischen von Cyberkriminalität betroffen: »Datendiebstahl, Identitätsklau, Beleidigung oder Betrug: Kriminelle finden zunehmend Opfer im Internet. Jeder zweite Internetnutzer (50 Prozent) war im vergangenen Jahr Opfer von Cyberkriminalität. Am häufigsten klagen Onliner über die illegale Verwendung ihrer persönlichen Daten oder die Weitergabe ihrer Daten an Dritte. Fast jeder Vierte (23 Prozent) war davon betroffen.«
Das ist das Ergebnis einer repräsentativen Umfrage im Auftrag des Digitalverbands Bitkom unter mehr als 1.000 Internetnutzern in Deutschland. »So wurden im vergangenen Jahr 12 Prozent der Internetnutzer nach eigenen Angaben beim privaten Einkauf oder Verkaufsgeschäften betrogen. Jeder Neunte (11 Prozent) gibt an, dass seine Kontodaten missbraucht wurden. Nur 2 Prozent berichten jeweils von Datenklau und Identitätsdiebstahl außerhalb des Internets, den Missbrauch von Kontodaten gibt dort 1 Prozent an. Internetnutzer haben aber nicht nur mit Diebstahl oder Betrug zu kämpfen. Jeder Zehnte (10 Prozent) sagt, dass er im Internet verbal massiv angegriffen oder beleidigt wurde.«
GlobalSign-Autorin Ayse Korkmaz nimmt dies zum Anlass noch einmal die wichtigsten Fakten und Tipps zum Thema Cybersicherheit zusammenzufassen.
»Wir können davon ausgehen, dass Cyberkriminalität in den nächsten Jahren weiterhin sprunghaft ansteigen und Schäden in Milliardenhöhe anrichten wird. Dabei finden wir sowohl sehr gezielte Ansätze als auch die klassischen Attackenvektoren wie etwa Phishing, die weiter perfektioniert werden. Datenpannen und Datenschutzverletzungen betreffen dabei unterschiedslos Großunternehmen wie Mittelstand und kleine Firmen. 3
1 % der erfolgreichen Datenmissbräuche werden dabei tatsächlich durch Phishing verursacht und weitere 24 % lassen sich auf menschliche Fehler zurückführen. Die dadurch entstehenden Verluste sind nicht unerheblich. Laut obiger Erhebung verliert ein Durchschnittsunternehmen dabei über 79.000 $. Neben den traditionellen Sicherheitsmaßnahmen, die in erster Linie dazu dienen Risiken zu minimieren, kommt dem Risikomanagement eine immer wichtigere Rolle zu. Nur so lässt sich feststellen wie effektiv die gewählten Maßnahmen tatsächlich sind.
Datenverlust ist genauso wichtig wie die Risikoeinschätzung. Nur 35 Prozent der Unternehmen können drei Monate profitabel bleiben, wenn wichtige Daten bei einer Datenpanne verloren gehen. Das Vertrauen seiner Kunden zu verlieren, kann sogar noch teurer werden.«
Aus diesem Anlass haben wir 10 der wichtigsten Tipps zusammengefasst:
- Seien Sie zurückhaltend bei dem, was Sie über sich selbst und andere posten
Wie Sie online über sich und andere sprechen, gibt viel darüber preis, wer Sie sind. Und Sie machen sich unter Umständen selbst für Diebstähle oder Hackerangriffe angreifbar oder bekommen potenziell Ärger mit dem Gesetz. Sie sollten darauf achten, dass Sie keine Geheimhaltungsvereinbarungen, Arbeitsverträge und sonstige Vereinbarungen, die Sie unterschrieben haben, brechen. Persönliche Informationen über andere offenzulegen oder andere öffentlich zu diffamieren ist ein Gesetzesverstoß,
- Entwickeln Sie ein Verständnis dafür, welche Daten Ihr Unternehmen erfasst und sorgen Sie dafür, dass diese geschützt sind
Damit Unternehmensdaten online sicher sind und bleiben, sollten Sie alle Daten dahingehend zu überprüfen, welches öffentliche Daten sind (und entsprechend weniger streng geschützt werden müssen), welche Daten mäßig wichtig sind und bei denen Vorfälle vergleichsweise geringe negative Auswirkungen auf Ihr Unternehmen haben (und welche vertretbaren Sicherheitsmaßnahmen sie zum Schutz haben sollten) und schließlich, welche Daten am wichtigsten für Ihr Unternehmen sind. Gehen Daten dieser Kategorie verloren oder werden gestohlen, hat das erhebliche Folgen. Diese Daten sollten der höchsten Sicherheitsstufe unterliegen und die Zugriffsrechte nach dem Prinzip der minimalen Rechtevergabe beschränkt werden.
- Verwenden Sie mehrere Authentifizierungsmethoden
Authentifizierung ist der Vorgang, der eine Identität (egal ob Benutzer, Computer oder Gerät) durch den Vergleich von bereitgestellten Anmeldeinformationen mit einer vorhandenen Datenbank autorisierter Identitäten bestätigt, bevor der Zugang zu einem bestimmten System oder einer Anwendung erlaubt wird. Wir empfehlen dringend mehrere Faktoren für den Authentifizierungsvorgang zu verwenden. Authentifizierungsfaktoren sind etwas, das Sie kennen (etwa Benutzername/Passwort, Antwort auf Sicherheitsfrage), etwas, das Sie haben (etwa digitales Zertifikat, Smartcard) und etwas, das Sie sind (etwa Fingerabdruck, Gesichtserkennung).
- Aktivieren Sie HTTPs auf Ihrer Website
HTTPs-Websites haben auf ihren Servern ein SSL/TLS-Zertifikat installiert. Dieses Zertifikat verschlüsselt alle Daten, die vom Browser zum Server übertragen werden, und schützt vor Lauschangriffen (etwa durch böswillige Dritte, staatliche Überwachung), egal ob dies personenbezogene Daten oder Finanzdaten sind, die über die Website oder den Inhalt der Webseite gesendet werden. SSL-Zertifikate binden zusätzlich Ihre Markenidentität an die Web-Präsenz. Dadurch wissen Besucher, dass die betreffende Website tatsächlich die Ihres Unternehmens ist und keine Phishing-Site. EV SSL macht das über die grüne Adresszeile besonders deutlich. Zusätzlich wird der Name des Unternehmens deutlich sichtbar angezeigt.
- Verwenden Sie starke Passwörter und verwenden Sie sie nicht mehrmals.
Viele Hacker verkaufen die erbeuteten Daten weiter, das ist mittlerweile gängige Praxis. Dazu gehören Daten von Tausenden, wenn nicht Millionen von Nutzern und deren Passwörter. Wenn Sie für jeden Account das gleiche Passwort verwenden, fällt es einem Hacker nicht besonders schwer, Zugang zu allen weiteren Systemen zu bekommen. Ansonsten kann ein Hacker »Brute Force« einsetzen, um Ihr Passwort zu finden. Die Methode verfängt allerdings längst nicht mehr so gut, wenn ein Passwort länger ist, verschiedene Zeichenfolgen verwendet und so weiter. Verwenden Sie einen Passwort-Manager.
- Halten Sie sämtliche Software auf dem neuesten Stand
Hacker sind ständig auf der Suche nach Schwachstellen in Software-Anwendungen. Das kann so simpel sein wie die Suche nach einem Weg in ein Windows-Netzwerk. Die Softwareunternehmen arbeiten daran, zeitnah Patches und Updates bereitzustellen, die solche Sicherheitslücken beseitigen. Daher ist es wichtig, Software unbedingt zu aktualisieren, sobald ein Update verfügbar ist.
- Halten Sie eine Sicherungskopie aller Daten bereit
Sicherungskopien sorgen dafür, dass nach einem Datenverlust oder -diebstahl Dateien wiederhergestellt werden können. Sie sollten Ihre Daten immer an einem anderen Ort sichern, sodass Hacker keinen Zugang zu beiden Bereichen haben. Sie sollten zusätzlich ein regelmäßiges Backup Ihrer Daten durchführen.
- Etablieren Sie eine »Bring Your Own Device«-Richtlinie für mobil arbeitende Mitarbeiter
Viele Unternehmen erlauben ihren Mitarbeitern, ihre eigenen Mobilgeräte auch für geschäftliche Aufgaben zu verwenden. Das steigert zwar die Produktivität und Effizienz, aber es macht Unternehmen für Angriffe anfällig. Handys können gehackt und als Zugang zu Ihrem Unternehmensnetzwerk verwendet werden. Eine BYOD-Richtlinie hilft, Mitarbeiter dahingehend zu schulen wie Sie das Risiko eines Angriffs am besten verringern.
- Entwerfen Sie eine Incident-Response-Strategie
Mit einer Incident-Response-Strategie kann Ihr Unternehmen sich im Falle eines Angriffs einen gewissen Vorsprung sichern. Sie können nie 100-prozentig sicher sein. Man sollte also einen Plan für den Fall haben, dass man Opfer eines Cyberangriffs wird. Dann sind Sie in der Lage schnell zu reagieren und gegebenenfalls zu verhindern, dass Angreifer an sensible Daten gelangen. Unter Umständen gewinnen Sie Zeit, um die Öffentlichkeit oder Kunden zu alarmieren, wenn der Angriff größer als erwartet ausfällt. Stellen Sie sicher, dass eine bestimmte Person für den Response-Plan verantwortlich ist.
- Ermutigen Sie Führungskräfte, eine Kultur der Cybersicherheit vorzuleben und schulen Sie Ihre Mitarbeiter regelmäßig
Bei allen unternehmensweiten Strategien sollten Führungskräfte die Ersten sein die Veränderungen umsetzen und ein entsprechendes Verhalten vorleben. Schulen Sie Ihre Mitarbeitenden regelmäßig und simulieren Sie Phishing, damit alle aufmerksam bleiben.
Jeder zweite Internetnutzer von Cyberkriminalität betroffen
23 Prozent klagen über illegale Datennutzung. Jeder Zehnte wurde online angegriffen oder beleidigt.
https://www.bitkom.org/
Datendiebstahl, Identitätsklau, Beleidigung oder Betrug: Kriminelle finden zunehmend Opfer im Internet. Jeder zweite Internetnutzer (50 Prozent) war im vergangenen Jahr Opfer von Cyberkriminalität. Am häufigsten klagen Onliner über die illegale Verwendung ihrer persönlichen Daten oder die Weitergabe ihrer Daten an Dritte. Fast jeder Vierte (23 Prozent) war davon betroffen. Das ist das Ergebnis einer repräsentativen Umfrage im Auftrag des Digitalverbands Bitkom unter mehr als 1.000 Internetnutzern in Deutschland [1].
»Das Internet ist hochattraktiv für Kriminelle. Mit vergleichsweise geringem Aufwand lassen sich andere Nutzer zum eigenen Vorteil schädigen«, sagt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder. So wurden im vergangenen Jahr 12 Prozent der Internetnutzer nach eigenen Angaben beim privaten Einkauf oder Verkaufsgeschäften betrogen. Jeder Neunte (11 Prozent) gibt an, dass seine Kontodaten missbraucht wurden. Nur 2 Prozent berichten jeweils von Datenklau und Identitätsdiebstahl außerhalb des Internets, den Missbrauch von Kontodaten gibt dort 1 Prozent an.
Internetnutzer haben aber nicht nur mit Diebstahl oder Betrug zu kämpfen. Jeder Zehnte (10 Prozent) sagt, dass er im Internet verbal massiv angegriffen oder beleidigt wurde. Zum Vergleich: Im analogen Leben hat jeder Vierte damit zu tun (24 Prozent).
Über sexuelle Belästigung im digitalen Raum klagen 8 Prozent der Onliner. In der Offline-Welt sind nach eigenen Angaben 14 Prozent der Internetnutzer im vergangenen Jahr sexuell belästigt worden. »Wie im analogen Leben gibt es auch im Internet viele Gefahren. Um Cyberkriminalität nachhaltig zu bekämpfen, müssen staatliche Stellen noch besser ausgestattet werden – technologisch und personell«, so Rohleder. »Gleichwohl können Nutzer schon mit einfachen Maßnahmen Datenmissbrauch oder Identitätsdiebstahl erschweren.«
Bitkom gibt Tipps, wie sich Internetnutzer gegen Cyberkriminelle wappnen können.
Komplexe Passwörter nutzen
Je komplexer das Passwort, desto höher der Schutz. Trotzdem werden im Alltag oft simple Passwörter genutzt. Mit einem Trick lassen sich auch schwierige Passwörter leicht merken, indem clevere Eselsbrücken eingesetzt werden. Um Passwörter mit Buchstaben, Zahlen und Sonderzeichen zu generieren, werden dafür die Anfangsbuchstaben von ausgedachten Sätzen genommen, etwa: »Mein Verein gewann das entscheidende Spiel mit 3 zu 2!« Daraus lässt sich ein sicheres und gut zu merkendes Passwort erstellen: »MVgdeSm3z2!«.
Der Passwort-Manager als Kennwort-Tresor
Passwort-Manager speichern alle genutzten Kennwörter in einer verschlüsselten Datei. Nutzer müssen sich nur noch ein Passwort merken, das Master-Passwort. Dieses Passwort sollte höchste Standards erfüllen. Einmal eingegeben, erlangt man Zugang zu allen gespeicherten Kennwörtern. Einige Programme bieten sogar die Möglichkeit, nicht nur Passwörter, sondern auch die dazugehörigen Benutzernamen zu speichern. Auf Wunsch füllen die Programme die abgefragten Felder beim Login automatisch aus.
Doppelte Sicherheitsstufe
Einige Dienste bieten mittlerweile Mehr-Faktor-Authentifizierungen an. Das bedeutet, dass der Nutzer mehr als eine Sicherheitsabfrage beantworten muss, um auf einen Account zuzugreifen. Dazu erhält man nach der Passwortabfrage beispielsweise eine SMS auf das Mobiltelefon mit einem Code. Parallel erscheint ein Feld, das den übermittelten Code abfragt.
Updates, Updates, Updates
Ohne einen aktuellen Virenscanner kann es sehr gefährlich sein, sich im Internet zu bewegen – gleich ob per Desktop-Computer oder Smartphone. Umso wichtiger ist es, die Virensoftware immer aktuell zu halten. Nutzer sollten die Update-Hinweise ihrer Virensoftware ernst nehmen. Gleiches gilt für das Betriebssystem, den Browser, Add-ons und die anderen Programme.
Phishing vorbeugen: Vorsicht bei dubiosen Mails
Beim Phishing verschicken Betrüger gefälschte Mails mit Links zu Online-Händlern, Bezahldiensten, Paketdiensten oder sozialen Netzwerken. Dort geben die Opfer dann nichtsahnend ihre persönlichen Daten preis. Häufig holt sich aber auch ein unerkannter Trojaner diese vertraulichen Informationen. Cyberkriminelle wollen so vor allem an die Identität der Opfer in Kombination mit den zugehörigen Zugangsdaten zu Online-Banking oder anderen Diensten kommen. Oberstes Gebot: den gesunden Menschenverstand nutzen. Banken und andere Unternehmen bitten ihre Kunden nie per E-Mail, vertrauliche Daten im Netz einzugeben. Diese Mails sind am besten sofort zu löschen. Das Gleiche gilt für E-Mails mit unbekanntem Dateianhang oder verdächtigen Anfragen in sozialen Netzwerken.
[1] Hinweis zur Methodik: Grundlage der Angaben ist eine repräsentative Umfrage, die Bitkom Research im Auftrag des Digitalverbands Bitkom durchgeführt hat. Dabei wurden 1.010 Internetnutzer ab 16 Jahren telefonisch befragt. Die Umfrage ist repräsentativ. Die Fragestellung lautete: »Welche der folgenden Erfahrungen mit kriminellen Vorfällen haben Sie persönlich in den vergangenen 12 Monaten gemacht?«
Das hilfreiche Dutzend – Zwölf digitale Sicherheitstipps (nicht nur) für die Feiertage
Tipps zum Thema Cybersicherheit: So schützen Sie sich in 10 Schritten vor Hackern
Sicherheitstipps für den Urlaub: Wie sicher ist Ihr Cybersommer?
Die größten Gefahrenquellen im Netz: Experten verraten Tipps für mehr Websicherheit