Datenschutz und Datensicherheit
Beratung, Schulung, Datenschutzbeauftragung

Sind Ihre Daten und IT-Systeme sicher?

20.04.2022

Die Risiken für einen Sicherheitsvorfall sind mit dem Einmarsch in die Ukraine weiter angestiegen. Täglich gibt es neue Berichte über Cyberattacken russischer und osteuropäischer Hackergruppen. Sind Ihre wertvollen Daten sicher geschützt? Wir zeigen Ihnen, wie Sie Ihre Systeme noch besser absichern können.Zum Beispiel sorgt von Zeit zu Zeit eine Berechtigungsanalyse dafür, dass wirklich nur Administratoren Admin-Rechte haben. Je besser die Kontrolle funktioniert, umso geringer ist das Risiko. Warum? Zurzeit werden vermehrt privilegierte Accounts angegriffen: Lokale Accounts, Application Accounts oder Domain Accounts. Durch das Hacken eines Domain-Accounts kann ein Krimineller alle weiteren Accounts der Domain für eigene Zwecke kapern. Eine Überprüfung der Zugänge und Kommunikationssysteme ist daher sehr wichtig. Dabei gehen Datenschutz und IT-Sicherheit Hand in Hand.


Steigende Bedrohung durch Cyberangriffe

29.09.2021
Der Gesamtschaden durch Cyberattacken hat im vergangenen Jahr für die deutsche Wirtschaft einen neuen Höchststand erreicht. Laut Bundeskriminalamt (BKA) stieg die Zahl der registrierten Fälle auf 108.474 Fälle weiter an. Dies sind jedoch nur die von der Polizei erfassten Straftaten. Da nur ein kleiner Teil der Taten im Bereich Cyberkriminalität angezeigt werden, ist die Dunkelziffer hier sehr groß.
Die häufigsten Angriffe auf Unternehmen und öffentliche Institutionen waren Ransomware-Attacken, wobei Daten durch einen Trojaner verschlüsselt und für den weiteren Zugriff gesperrt werden. Für die Entschlüsselung wird dann üblicherweise Lösegeld verlangt. Ebenfalls erfolgreich waren DDoS-Angriffe und das Vortäuschen einer falschen Identität, wie aus dem Bundeslagebild Cybercrime hervorgeht. Beim DDos-Angriff wird das IT-System durch eine sehr große Anzahl an Anfragen überlastet, die zum Beispiel von Botnetzen ausgehen. Mit dem Vortäuschen einer falschen Identität können Kriminelle Überweisungen größerer Geldsummen auf unbekannte Konten veranlassen.
In den vergangenen Jahren ging vor allem von der Schadsoftware Emotet ein großes Risiko aus. Sie wurde über Spam-E-Mails verbreitet und konnte, nachdem sie sich auf einem Rechner installiert hatte, immer neue Malware nachladen, darunter auch Ransomware. Anfang des Jahres wurde die Infrastruktur des Emotet-Botnetzes dank einer konzertierten Aktion der Strafverfolgungsbehörden mehrerer Länder zerschlagen. Doch obwohl Emotet mittlerweile keine Bedrohung mehr darstellt, ist Ransomware für Unternehmen und Behörden immer noch gefährlich.
Keine Entspannung bei Ransomware-Angriffen
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer anhaltend starken Bedrohung, die durch die Corona-Pandemie noch verstärkt wurde. Gerade Ransomware-Vorfälle haben gegenüber dem Vorjahr drastisch zugenommen, da Daten im Homeoffice oft weniger gut geschützt sind als im Betrieb. Hackerangriffe auf den Firmenserver mit Verschlüsselung von Dateien und anschließender Lösegeldforderung sind jedoch auch im privaten Arbeitszimmer möglich.
Besonders beunruhigt ist das BSI dabei über die steigende Gefährdung für „Kritische Infrastrukturen“ wie Energieversorger, Krankenhäuser, Trinkwasser- und Lebensmittelunternehmen oder wichtigen Behörden. Da deren Ausfall oder Störung die Versorgung der Bevölkerung und die öffentliche Sicherheit schwer beeinträchtigen könnte, sind verstärkte Anstrengungen in der Cyberabwehr hier wichtig.


Homeoffice im Visier

Nach Ansicht des Bundesverbands der Deutschen Industrie (BDI) befindet sich die deutsche Wirtschaft bereits seit Monaten in einer angespannten Lage. Im Verlauf der Pandemie rückten  Unternehmen in Deutschland noch stärker in den Fokus von Cyberkriminellen. Besonders Attacken auf das Homeoffice sind in erheblichem Ausmaß gestiegen. Viele Täter haben sich regelrecht auf das Homeoffice spezialisiert und werden immer professioneller darin, die Schwachstelle „Mensch“ auszunutzen.
Unternehmen sind im Homeoffice nicht nur deshalb verwundbarer, weil dort von vielen Unternehmen  weniger Vorkehrungen für die technische Sicherheit der Daten getroffen werden. Auch der fehlende Austausch mit Vorgesetzten und Kollegen trägt dazu bei, dass sonst übliche Sicherheitsmaßnahmen unterlassen oder vergessen werden. Bei E-Mails oder Anrufen vergewissern sich wenige, ob es sich tatsächlich um die vorgebliche Person handelt. Der sonst übliche „Flurfunk“, bei dem ungewöhnliche Vorgänge oder auffällige E-Mails diskutiert werden könnten, findet zu Hause nicht statt, so dass manche wichtigen Informationen die Mitarbeiter nicht erreichen.
Cyberangriffe werden immer komplexer, können von den Sicherheitsprogrammen oft nicht identifiziert werden, und in vielen Fällen fließen Daten unbemerkt ab. Die technische Sicherheit alleine reicht häufig nicht, selbst wenn alle Mitarbeiter zu Hause sichere Verbindungen nutzen und keine unzulässigen Anwendungen oder eigene Hardware verwenden. Die „Rüstungsspirale“ dreht sich im Bereich Cybersicherheit immer schneller, und je besser die Abwehrtechniken der Antivirenprogramme werden, umso mehr verlagern die Angreifer ihren Fokus auf den Menschen.
Awareness-Schulungen mindern Risiken erheblich
Spam-E-Mails waren einst daran zu erkennen, dass sie anonym und massenhaft versandt wurden und die Empfänger in den meisten Fällen zum Besuch von dubiosen Verkaufsseiten animieren wollten. Heute werden diese Mails von Sicherheitsprogrammen zuverlässig weggefiltert. (Spear-)Phishing und Smishing, Business E-Mail Compromise und CEO Fraud setzen jedoch gezielt am menschlichen Kontakt an, und so kann die Sicherheitstechnik den Erfolg des Angriffs nur begrenzt verhindern. Vielmehr kommt es darauf an, jedem Einzelnen bewusst zu machen, welche Gefahren in der Kommunikation über E-Mail und Social Media bestehen und worauf man achten sollte. Regelmäßige Awareness-Schulungen sollten daher gerade im Homeoffice Pflicht für alle Unternehmen sein. Eine aktuelle Studie des Digitalverbands Bitkom hat ermittelt, dass ein wachsender Anteil der Cyberangriffe unabsichtlich durch (ehemalige) Mitarbeiter von Unternehmen ausgelöst wird. Auch die organisierte Kriminalität hat in diesem Bereich erheblich zugenommen.
„Die Wucht, mit der Ransomware-Angriffe unsere Wirtschaft erschüttern, ist besorgniserregend und trifft Unternehmen aller Branchen und Größen“, so Bitkom-Präsident Achim Berg. Ein Rückgang ist bisher nicht in Sicht. Notwendig sind daher verstärkte Maßnahmen gegen Cyberkriminalität und ein effektiver Austausch zu den Aufgaben und Themen der IT-Sicherheit zwischen der Wirtschaft und staatlichen Stellen.


Datensicherheit im Homeoffice

25.09.2020

Gerade im Homeoffice ist Informationssicherheit eine besonders wichtige Voraussetzung für die Arbeit. Awareness und Schulungen der Mitarbeiter sind daher unverzichtbar für jedes Unternehmen.

Während Teile der Wirtschaft weltweit lahmliegen und nur schwer wieder in Gang kommen, haben Cyber­angriffe nicht an Bedeutung verloren. Da in vielen Betrieben Kurzarbeit herrscht und die Aktivitäten etwas auf Sparflamme laufen, laufen einige Attacken ins Leere. Doch die Angreifer stimmen ihre Aktivitäten speziell auf die CoViD19-Krise ab. Sie machen sich zunutze, dass die Regeln für Datensicherheit und Datenschutz im Homeoffice weniger beachtet oder weniger strikt vermittelt und durchgesetzt werden. Besonders beim Arbeiten von zu Hause aus ist es daher wichtig, das Bewusstsein für die Gefahren durch Cyberattacken zu schärfen und auf die speziellen Methoden aufmerksam zu machen.

Tools für den Corona-Angriff

Malware-Attacken können heute auch von weniger versierten Angreifern gestartet werden. In den entsprechenden Foren lassen sich mittlerweile „Malware-Kits“ kaufen und herunterladen, die für eigene Zwecke angepasst werden können. Mit diesen vorgefertigten Tools können Attacken zum Beispiel relativ einfach auf das Thema Corona zugeschnitten werden. Selbst ohne viel Hintergrundwissen zum Programmieren basteln sich Betrüger so den passenden Code zusammen.

Phishing-E-Mails werden zurzeit vorgeblich von offiziellen Stellen mit Links zu Updates, Informationsseiten oder Verhaltensregeln versandt. So werden etwa Kunden von Sparkassen aufgefordert, gefälschte Internetseiten zu besuchen, um vermeintlich ihre Kontaktdaten zu aktualisieren. Die in den Eingabemasken eingegebenen Daten werden dann von Betrügern genutzt, um sie zu verkaufen oder um die Identität des gutgläubigen Nutzers zu stehlen. Mit geklauten Personendaten wiederum können Waren im Internet bestellt oder sogar Abbuchungen vom Konto getätigt werden.

Auch Hoaxes können Schaden anrichten

Auch Corona-Kettenbriefe werden über Soziale Medien wie Facebook, WhatsApp oder Telegram verschickt. Manche dienen dazu, um Adressen zu sammeln, denn die Empfänger sollen den Brief an möglichst viele ihrer Bekannten weiterleiten oder auf ihrem Account posten. Andere sind einfach Falschmeldungen (Hoaxes), die die Adressaten in Angst versetzen oder die Bevölkerung beunruhigen sollen. In Indien haben solche Kettenbriefe sogar zu Lynch-Morden geführt. Dort wurden Videos in falsche Zusammenhänge gebracht und mit erfundenen Hinweisen auf Straftäter gepostet.

Für Unternehmen besonders gefährlich ist eine spezielle Form von Phishing-Attacken, die auf einzelne Unternehmensmitarbeiter zielt. Hier werden Social-Engineering-Methoden benutzt, um einzelne Angestellte persönlich anzusprechen, um so an interne Unternehmensdaten oder Passwörter zu gelangen. Dabei werden von den Betrügern E-Mails oder auch Telefonanrufe verwendet, manchmal sogar unter Vorspiegelung der Identität von Vorgesetzten, um die Mitarbeiter dazu zu bringen, Geld auf fremde Konten zu überweisen (sog. Spear-Phishing).

Vorsicht bei Links auf unbekannte Domains

Spam-Mails mit Links auf Domains, die Wörter wie „Covid19“ oder „Corona“ enthalten, werden ebenfalls häufig versandt. Wird darauf geklickt, dann werden, nur durch den Besuch der infizierten Website, die Anmeldedaten des Nutzers ausspioniert. Dabei greift ein Schadprogramm auf die Registry-Einstellungen des Besuchers zu und sendet die Daten an den Hacker. Kliniken und Organisationen des Gesundheitswesens sind immer wieder von Ransomware-Attacken betroffen, bei denen Dateien oder Anwendungen auf den Rechnern gesperrt werden und zur Freigabe dann Lösegeld verlangt wird. Doch auch Spam-Mails und Domains mit Links auf falsche Covid-19-Apps sind im Umlauf. Statt der Corona-App lauert dort ein Trojaner, der die eigenen Daten verschlüsselt und für die Entschlüsselung ein Lösegeld fordert.

Auch interaktive Karten zur Verbreitung des Coronavirus sind als Köder beliebt. In Spam-Mails oder per Messenger wird die Datei „Corona-virus-Map.com.exe“ versandt. Tatsächlich handelt es sich um eine Kopie der echten Karte der Johns-Hopkins-Universität, die hier dazu benutzt wird, um im Hintergrund Malware zu installieren. Allerdings wird das Original nicht von der Universität zum Download bereitgestellt.

Risiko eigener Laptop

Gerade jetzt, wo viele Mitarbeiter im Home-Office arbeiten und weniger im Einflussbereich der internen IT-Abteilung sind, ist es wichtig, Maßnahmen für die Informationssicherheit der genutzten Systeme zu treffen. Grundsätzlich ist der Zugang zum Firmennetz über VPN am sichersten, allerdings gibt es auch hier gefährdete Bereiche. Falls der Firmenaccount eines Mitarbeiters gehackt wird, kann mit den erbeuteten Zugangsdaten auf das Netzwerk des Unternehmens zugegriffen werden. Anzeichen dafür sind zum Beispiel unterschiedliche Standortdaten des betreffenden Mitarbeiters innerhalb eines Tages. Eine Überprüfung ist daher sinnvoll.

In vielen Unternehmen werden Besprechungen großenteils online oder über Telefonkonferenzen abgehalten. Dabei sollte jedoch sichergestellt werden, dass keine Installation nicht autorisierter Anwendungen geschieht, die Sicherheitsprobleme verursachen könnten. Dies führt häufig zu Anwendungsproblemen, die schwer erkennbar und lokalisierbar sind. Wenn Mitarbeiter eigene private Endgeräte verwenden dürfen, ist jedoch die Gefahr groß, dass auch nicht autorisierte Software installiert wird. In Hinsicht auf Informationssicherheit und Datenschutzbelange ist es auf jeden Fall besser, den Mitarbeitern firmeneigene Geräte zur Verfügung zu stellen.

Awareness-Schulungen helfen

Wenn dies nicht möglich ist, ist vor dem Start ins Home-Office zumindest eine Online-Schulung zu den Prinzipien sicheren Arbeitens am eigenen Schreibtisch, unter Berücksichtigung der CoViD19-Aspekte sinnvoll. Unbedingt sollten aber notwendige Maßnahmen zum Schutz der Daten und Richtlinien zum Umgang mit Passwörtern unter den neuen Arbeitsbedingungen kommuniziert werden.

Außerdem wichtig:

  • die Installation von Anwendungen auf Firmengeräten sollte generell nur zentral möglich sein
  • die Benutzung von nicht-autorisierten Anwendungen auf Unternehmensgeräten mit geeigneten Maßnahmen sollte verhindert werden (Endpunkt-Kontrolle)
  • Aktivitäten sollten nach dem Login über VPN kontrolliert werden
  • der Datenverkehr zu seltenen oder erst kürzlich registrierten Domains sollte überprüft werden (Phishing-Gefahr)

Mit diesen Maßnahmen können die Risiken der coronabedingten Arbeitsweise im Homeoffice bereits erheblich reduziert werden.

Informationen zu diesen Risiken stellt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Verfügung.

Auch schon im Club?

16.03.2021

Clubhouse klingt hip und sieht cool aus. Dadurch, dass man sich nicht einfach anmelden kann, sondern eine Einladung benötigt, um teilnehmen zu können, wirkt die App zusätzlich sehr exklusiv. Während der Pandemie sind viele Prominente beigetreten, die diese Aura der Exklusivität noch steigern. Doch sind die eigenen Daten dort auch sicher? Kann man sie ausreichend schützen?

Bei Clubhouse handelt es sich um eine iPhone-App, die Audiokonferenzen ermöglicht. Derzeit läuft sie nur auf iPhones, für Smartphonebesitzer ist die App daher noch nicht nutzbar. Von den anderen Teilnehmern einer Konferenz sieht man lediglich ein Profilbild, nicht aber ein Video. Damit hat eine solche Konferenz Ähnlichkeit mit einem Live-Podcast oder einer privaten Radiosendung. Geworben wird damit, dass es mit Clubhouse so schnell und einfach geht, Social Media-Content zu verbreiten. Komplizierte Videotechnik ist nicht vonnöten, nur das iPhone und die eigene Stimme wird gebraucht. Auch die Verbreitung der Inhalte ist kein Problem. Wer eine Einladung erhält, hat möglicherweise den Eindruck, dass dort nur ein sehr begrenzter Kreis Zugang zum jeweiligen Meeting hat.

Allerdings hat ein Gast keine Kontrolle darüber, welche und wie viele Menschen außer ihm noch teilnehmen. Wer einen „Raum“, also ein Meeting startet, bestimmt über die Sichtbarkeit des Raumes, legt fest, ob er öffentlich oder privat ist und wer teilnehmen oder reden darf. Dass es keineswegs unbedingt im kleinen Kreis bleibt, was man dort von sich gibt, musste im Januar 2021 der Thüringer Ministerpräsident Bodo Ramelow erfahren. Seine Äußerungen über Handyspiele während Ministerpräsidentenkonferenzen und seine Bezeichnung der Bundeskanzlerin als „Merkelchen“ sorgten umgehend für Irritation in der Politiklandschaft.

Kein Zugriff mehr auf Adressbuch

Davon abgesehen hat auch der Ersteller eines Meetings nicht die Hoheit über seine Daten. Einladungen konnte bis vor kurzem nur derjenige versenden, der Clubhouse den Zugriff auf sein Adressbuch erlaubte. Damit sammelte die Anwendung ohne das Wissen der Einzelnen auch Kontaktdaten von Personen ein, die die App gar nicht nutzten. Offenbar hat Clubhouse nun die Regeln für das Senden von Invites leicht abgeändert. Wer Einladungen verschickt, muss keinen Zugriff auf alle seine Kontakte mehr erlauben.

Die App erfasst jedoch weitere Informationen, die vor dem Prinzip der Datensparsamkeit nicht notwendig wären und ohne konkreten Grund nicht gespeichert werden dürften, wie etwa:

  • den genauen Zeitraum der Nutzung,
  • welche Chaträume wie lange besucht wurden,
  • welches iPhone benutzt wurde,
  • den Mobil­funkanbieter des Nutzers,
  • den aktuellen Aufenthaltsort des Nutzers.

Davon werden einige zur Daten­analyse in die USA gesendet, was keinesfalls DSGVO-konform ist. Wegen des Fehlens eines Impressums und mehrerer weiterer Datenschutzverstöße wurden die Betreiber der App bereits abgemahnt. Auch gebe es AGB und Datenschutzhinweise nur auf Englisch, nicht aber auf Deutsch. Falls Clubhouse sich nicht zu den Vorwürfen äußern sollte, kann von den deutschen Behörden ein Bußgeld verhängt werden.

 
 
 
 
E-Mail
Anruf
Infos