VdS-Schadenverhuetung Bildungszentrum
Gesammeltes Wissen

60 Sekunden für mehr Informationssicherheit

1984 wurden in Deutschland die ersten E-Mails empfangen – knapp 40 Jahre später sind sie aus dem Geschäftsleben nicht mehr wegzudenken. Doch leider sind diese elektronischen Briefe nicht besonders sicher und werden immer wieder für diverse Betrugsmaschen und die Verbreitung von Viren und Malware genutzt. Ein paar einfache Tipps können Ihnen dabei helfen, die größten Gefahren zu vermeiden.

Viele Spam-Mails lassen sich sofort als solche identifizieren: Seltsame Betreffzeilen, irrwitzige Versprechen (z. B. das angebliche 5-MillionenDollar-Erbe) sowie absurde Rechtschreibung und Grammatik machen es einfach, die Nachrichten direkt in den Müll zu befördern. Doch es gibt auch gefälschte E-Mails, denen man ihr übles Ansinnen nicht sofort ansieht. Seien Sie immer misstrauisch, besonders, wenn es um Geld geht oder Anhänge im Spiel sind. Selbst wenn der Absender angeblich der Chef ist oder ein Familienmitglied. Anstatt einfach auf Links zu klicken, rufen Sie die genannten Websites lieber selbst im Browser auf. Oder checken Sie Telefonnummern, bevor Sie den Absender der Nachricht anrufen.

Überprüfen Sie die Einstellungen Ihres E-Mail-Clients (also Programme wie „Outlook“, „Mail“, „Thunderbird“ o. Ä.). Dort lässt sich immer das automatische Nachladen von externen Inhalten verbieten, und das sollten Sie auch unbedingt tun. Denn zum einen werden diese Inhalte häufig zur Nachverfolgung der E-Mail verwendet, zum anderen sind sie auch immer wieder an Sicherheitslücken beteiligt. Eine weitere Funktionalität, die Sie abschalten können, ist die Darstellung von HTML. Das führt zwar oft zu einem etwas seltsamen Aussehen der Mails, bietet aber mehr Sicherheit. Und falls die HTML-Ansicht doch gewünscht wird, lässt sie sich bei den meisten Mailprogrammen einfach Fall für Fall aktivieren, oft mit einem Klick.

Überdenken Sie auch Ihr eigenes Verhalten beim Versand von Mails: Ist eine unverschlüsselte E-Mail der richtige Kanal für meine Informationen? (Die Vertraulichkeit einer Mail entspricht ungefähr der einer Postkarte!) Muss ich ein Word-Dokument (womöglich sogar mit Makros) versenden oder tut es auch ein PDF? Muss meine Antwort an alle Empfänger in der Adresszeile gehen oder kann ich einige davon weglassen? Und vielleicht muss auch nicht der gesamte Inhalt der vorherigen Mails in der Antwort enthalten sein. Weniger ist auch hier oft mehr, denn so sinken die Chancen, dass Informationen in alle Welt verstreut werden und eventuell in falsche Hände geraten.

[Urs Walther, Redaktion s+s report]

Deutschland galt lange Zeit als das Land des Bargelds. Kartenzahlungen waren allenfalls bei größeren Geldbeträgen üblich. Erst im Laufe der Corona-Pandemie wurde bargeldloses Bezahlen üblicher, insbesondere auch kontaktlose Bezahlvorgänge. Zu diesen zählt man ebenso die Verwendung des Smartphones oder der Smartwatch als Zahlungsmittel, das sogenannte „Mobile Payment“. Technische Grundlage ist die NFC-Funktion Ihres Geräts (NFC = Near Field Communication, zu deutsch: Nahbereichskommunikation).

Neben Vorteilen gibt es wie immer auch Risiken beim Einsatz einer neuen Technologie. Folgende Tipps sollen Ihnen helfen, diese Gefahren zu minimieren:

  • Falls Sie für die Bezahlfunktion zusätzliche Apps benötigen, installieren Sie nur solche aus vertrauenswürdigen Quellen, also dem offiziellen App-Store Ihres Betriebssystems.
  • Verwenden Sie jeweils nur die aktuelle Version der betreffenden App und halten Sie auch Ihr Betriebssystem immer auf dem neuesten Stand (Sicherheitsupdates!).
  • Richten Sie wenn möglich eine automatische Sperre der App ein, die bei wiederholter Falscheingabe des Anmeldepassworts oder einer PIN/TAN greift.
  • Lassen Sie bei Verlust Ihres Mobile Device sofort die SIM-Karte(n) und alle im Gerät hinterlegten Zugänge zu Bankkonten/Bankkarten sperren.
  • Aktivieren Sie NFC, Bluetooth und WLAN nur, wenn Sie diese Funktionen benötigen. Das erschwert es Angreifern, Verbindungen mit Ihrem mobilen Gerät herzustellen. Meist bietet das Betriebssystem Schnelleinstellungen für das Aus-/Einschalten dieser Funktionen an.
  • Sperren Sie den Bildschirm Ihres Gerätes bei Nichtbenutzung mit PIN, Passwort, Fingerabdruck oder Gesichtserkennung.

Und zu guter Letzt, egal, ob Sie Mobile Payment benutzen oder nicht: Überprüfen Sie regelmäßig alle Kontobewegungen und informieren Sie Ihre Bank, falls Sie Unregelmäßigkeiten feststellen.

[Urs Walther, Redaktion s+s report]

Hand aufs Herz: Wie viele Social-Media-Accounts besitzen Sie? (Wir zählen hierzu auch Profile bei beruflichen Netzwerken wie Xing oder LinkedIn.) Vermutlich nutzt jeder Leser dieser Kolumne mindestens ein oder zwei dieser Plattformen, ob beruflich oder privat. Doch wenn es um die Sicherheit ihrer Informationen auf diesen Portalen geht, sind viele Nutzer oft erschreckend nachlässig, Gefahren werden unterschätzt.

Als Grundregel gilt: Jeder Account im Internet muss gründlich abgesichert werden – auch die von Social-Media-Portalen. Dazu gehört zuallererst die Verwendung komplexer und unterschiedlicher Passwörter für die Anmeldung. Falls Sie Angst haben, die Übersicht zu verlieren, kann ein Passwortmanager verwendet werden, der über ein sicheres Master-Passwort verfügen muss, das Sie nirgendwo anders verwenden sollten und mit niemandem teilen dürfen.

Aber auch bei der Nutzung von Social Media in allen Facetten ist Vorsicht geboten. Folgende Tipps senken die Chancen, Opfer der verschiedenen Arten von Betrugsmaschen zu werden:

  • Seien Sie vorsichtig bei der Installation von Add-ons oder Plug-ins. Viele soziale Netzwerke erlauben es, Anwendungen von Drittanbietern zu installieren, etwa Spiele und „Persönlichkeits-Tests“. Je nach Netzwerk ist dann von Apps, Add-ons oder Plug-ins die Rede. Überlegen Sie sich immer zweimal, ob Sie diese Zusätze wirklich brauchen. Oft greifen die Entwickler dieser Erweiterungen „nur“ Ihre persönlichen Daten und Kontakte ab, im ungünstigsten Fall können sie aber auch die Kontrolle über Ihr Profil übernehmen.
  • Schützen Sie Ihre Privatsphäre und geben Sie nicht zu viel von sich preis. Heute werden soziale Netzwerke überwiegend über Apps auf Smartphones und Tablets genutzt. Bei der Installation der entsprechenden Apps wird der Nutzer meist um das Erteilen diverser Berechtigungen gebeten, zum Beispiel den Zugriff auf Adressbuch, Fotos, Videos und Standortangaben. Da Sie bestimmt auch sensible Daten auf Ihrem Mobilgerät haben, sollten Sie hier besonders gut überlegen, was Sie mit den Betreibern der Plattformen, aber auch mit anderen Nutzern teilen wollen.
  • Überprüfen Sie regelmäßig, welche sozialen Netzwerke Sie überhaupt noch nutzen. Löschen Sie die, die Sie nicht mehr benötigen. Besonders bei nicht oder kaum genutzten Accounts ist die Gefahr groß, dass Sie einen unbefugten Zugriff gar nicht oder erst viel zu spät bemerken.

Zusammenfassend sei Ihnen der Grundsatz „weniger ist mehr“ für das Verhalten auf Social-Media-Plattformen sehr ans Herz gelegt: weniger Teilen/Installieren/Freigeben = mehr Sicherheit.

[Urs Walther, Redaktion s+s report]

Was „Phishing“ ist, wissen inzwischen die meisten Computernutzer, schließlich landen entsprechende E-Mails fast täglich in unseren Posteingängen oder Spam-Ordnern. Diese oft täuschend echt aussehenden Nachrichten, vermeintlich von bekannten Firmen oder Organisationen stammend, sollen uns dazu verleiten, Links anzuklicken und auf den darüber erreichten Websites Zugangsdaten, Passwörter oder Kreditkartendaten preiszugeben.

Eine neue Methode des Angriffs ist das „Quishing“: Phishing via QR-Codes. Im Prinzip bleibt alles beim Alten, eine professionell gestaltete E-Mail eines vermeintlich vertrauenswürdigen Absenders weist auf Handlungsbedarf hin und bittet die Empfänger, weitere Schritte zu tätigen. Nur, dass hier der erste Schritt über das Abscannen eines QR-Codes erfolgt.

Das Gefährliche an dieser neuen Masche: Da ein QR-Code zunächst einmal nur eine Bild-Datei ist, können die meisten Spamfilter und Virenscanner ihn nicht ohne Weiteres als Gefahr entlarven. Hinzu kommt, dass beim Abscannen mit dem Smartphone die im QR-Code hinterlegte Adresse meist nur stark verkürzt dargestellt wird, bevor der Nutzer entscheiden kann, ob er sie öffnen will oder nicht. Wird der Link geöffnet, erfolgt entweder direkt ein Versuch, Schadsoftware auf dem Gerät zu installieren, oder es kommen die üblichen weiteren Schritte zur freiwilligen Eingabe privater Informationen durch den Nutzer auf einer fingierten Website. Vor wenigen Wochen beispielsweise lockten derartige QR-Codes auf angebliche Login-Seiten für den Cloud-Dienst „Microsoft 365“. Für Unternehmen zusätzlich unschön ist, dass beim Zugriff über ein Smartphone oft die Sicherheitslösungen des Firmennetzwerks nicht greifen können.

Wie schützt man sich nun am besten vor derartigen Übergriffen? Wie bei allen Phishing-Angriffen bieten Mehr-Faktor Authentifizierungen einen gewissen Schutz davor, dass ein geklautes Passwort tatsächlich missbraucht werden kann. Aber der beste Schutz sind weiterhin die Sensibilisierung der Mitarbeiter und eine gesunde Skepsis. Nach dem Scannen und vor der Eingabe von persönlichen Daten gilt wie immer: Prüfen Sie die URL. Bei unseren QR-Codes im s+s report sind Sie natürlich auf der sicheren Seite. Aber wie heißt es doch: Vertrauen ist gut, Kontrolle ist besser.

[Urs Walther, Redaktion s+s report]

USB kennt jeder Computernutzer. Aber haben Sie schon einmal von BadUSB gehört? Nein, das ist keine wasserdichte Schnittstelle für Badezimmer-Gadgets, sondern eine perfide Masche, um Malware in Unternehmen einzuschleusen.

Einer breiteren Öffentlichkeit bekannt wurde BadUSB durch eine Warnung des FBI im Januar dieses Jahres, in der eine Angriffswelle aus der zweiten Jahreshälfte 2021 öffentlich gemacht wurde, die zahlreiche US-Unternehmen in unterschiedlichen Branchen traf, unter anderem im Verteidigungs-, Transport- und Versicherungssektor.

Wie läuft so ein Angriff ab? Zunächst einmal werden USB-Sticks hergestellt, die mit einer gut versteckten Malware bestückt sind. Diese Sticks werden dann massenhaft an Unternehmen verschickt, gut getarnt, versteht sich. So gibt sich der Versender zum Beispiel als Behörde aus, komplett mit geklautem Briefkopf und fingiertem Anschreiben. Oder als bekannte Firma wie z. B. Amazon, die mit vermeintlichen Angeboten oder Gewinnchancen dazu verführt, den Stick in den Computer zu stecken. Steckt der BadUSB erst einmal im „guten“ USB-Eingang, geht die Malware sofort ans Werk und installiert – meist vom Nutzer unbemerkt – feindselige Software, etwa Schnüffelprogramme, Erpresserprogramme (Ransomware) oder sogenannte Backdoors, über die später aus dem Internet auf den Computer oder gar das gesamte angeschlossene Netzwerk zugegriffen werden kann.

Und wie kann ich mich gegen einen solchen Angriff schützen? Die einfachste Möglichkeit ist natürlich, niemals USB-Sticks unbekannter Herkunft in den Computer zu stecken – so, wie man schon als Kind keine Bonbons von Fremden in den Mund stecken sollte. Aber das ist nicht immer zu verhindern, insbesondere, wenn die Angestellten oder Kollegen noch nicht über diese Angriffsmasche informiert sind. Also sollten alle Mitarbeiter im Unternehmen geschult werden, Hardware unbekannter Herkunft sofort der IT-Sicherheit zu übergeben, ohne sie vorher auszuprobieren. Das gilt insbesondere auch für Mitarbeiter im Home Office und sollte selbstverständlich auch für privat genutzte Computer gelten. Zusätzlichen Schutz können sogenannte Endpoint Protection Tools bieten oder die Verwendung von USB-Port-Blockern (physisch oder softwarebasiert) für kritische Systeme, die kein USB-Zubehör benötigen.

[Urs Walther, Redaktion s+s report]

Stellen Sie sich vor, jemand betrügt andere Menschen und verwendet dabei Ihr Gesicht oder Ihren Namen. Das klingt zunächst einmal schräg, kommt aber immer häufiger vor. Kriminelle sammeln Fotos, Videos und andere Daten von diversen Plattformen im Internet und basteln daraus eine falsche Identität, die für unlautere Tätigkeiten eingesetzt wird. Oder die Übeltäter verwenden Ihre echte Identität, um damit ihr Unwesen zu treiben. Das kann vom relativ harmlosen „Catfishing“ auf Dating-Plattformen über die Verwendung Ihres Namens oder Ihrer Bilder in unerwünschten Zusammenhängen (z. B. in Diskussionsforen) bis hin zu echten Verbrechen reichen, meist finanziellem Betrug.

So ein Identitätsdiebstahl ist auch deshalb unangenehm, weil man unter Umständen gar nicht, erst spät oder nur durch Zufall überhaupt davon erfährt und das Einschreiten dagegen oft sehr komplex und langwierig ist. Viele soziale Netzwerke reagieren nur träge auf Anfragen zu Identitätsdiebstahl, dem Opfer wird die Beweisführung auferlegt, Löschungen von falschen Profilen dauern mitunter sehr lange. Wenn Straftaten mit der eigenen Identität im Ausland begangen wurden, ist ein effektives Vorgehen meist ein Ding der Unmöglichkeit. Und selbst im Inland ist es nicht immer leicht, den Nachweis zu führen, dass man etwas „nicht gewesen ist“, wenn alle Anzeichen dafür sprechen. Durch einen Identitätsdiebstahl kann es auch zu einer Beschädigung des guten Rufes kommen, die nur schwer wieder aus der Welt zu schaffen ist.

Neben den üblichen IT-Schutzmaßnahmen wie der Absicherung des eigenen Computers vor Viren und anderer Malware, die Inhalte Ihrer Festplatte auslesen könnte, können folgende Tipps Ihnen dabei helfen, sich wenigstens ansatzweise vor Identitätsdiebstahl zu schützen:

  • Überlegen Sie immer zweimal, welche Bilder, Videos und sonstigen Informationen Sie von sich und Ihrer Familie online stellen. Bilder und Videos können zusätzlich mit eingebauten Wasserzeichen markiert werden.
  • Veröffentlichen Sie keine sensiblen Daten wie Geburtsdatum/-ort, Privatadresse und Telefonnummer. Seien Sie besonders zurückhaltend mit Klarnamen sowie Angaben zu Beruf und Familie.
  • Schützen Sie Ihre Social-Media-Accounts (dazu zählen auch berufliche Netzwerke wie Xing oder LinkedIn) mit starken Passwörtern und schränken Sie die Sichtbarkeit von Inhalten ein auf enge Freunde oder Familienmitglieder.
  • Überprüfen Sie regelmäßig, ob eigene Accounts in öffentlich gewordenen Leaks enthalten sind, und ändern Sie dann umgehend die Passwörter, falls dem so ist.
  • Nutzen Sie zur Übertragung sensibler Daten möglichst verschlüsselte Übertragungswege.

Wenn Sie den Verdacht haben, dass jemand Ihren Namen und/oder Ihre Bilder im Internet in betrügerischer Art und Weise verwendet, sollten Sie umgehend die Polizei einschalten. Hilfreich ist dabei, ab dem ersten Verdachtsmoment bereits möglichst viele Beweise zu sammeln und zu sichern (z. B. Screenshots und Internetadressen von Seiten, auf denen Ihre Identität missbraucht wurde).

[Autor: Urs Walther, Redaktion s+s report]

Gehören Sie auch zu den Menschen, die am Handgelenk eine Smartwatch oder einen Fitnesstracker tragen? Diese kleinen, nützlichen Geräte zählt man zur Kategorie der „Wearables“, die alle Arten von Mini-Computern umfasst, die am Körper getragen werden. Vor wenigen Jahren noch als sinnlose Spielerei abgetan, gehören sie heute für viele von uns zum Alltag.

Doch haben Sie sich schon Gedanken über die Sicherheit der Wearables gemacht? Oftmals hört man von Nutzern Aussagen wie: „Was soll denn da schon passieren? Von so einer Uhr kann doch keine Gefahr ausgehen!“ Doch weit gefehlt, die Wearables können auf verschiedenen Ebenen ihre Nutzer gefährden:

  • Einige Wearables (insbesondere Smart Watches) erlauben die Installation zusätzlicher Apps. Darüber kann Malware eingeschleust werden, die dann den Nutzer ausspioniert.
  • Die Geräte zeichnen eine immense Menge an persönlichen Daten auf (z. B. Bewegungsprofile, Gesundheitsdaten, Tagesrhythmus), die keinesfalls in die falschen Hände kommen sollten.
  • Beim Austausch mit anderen Geräten (z. B. via Bluetooth mit dem Smartphone oder dem Computer) können unzureichend verschlüsselte Übertragungen abgefangen werden. Über unbedacht vergebene Zugriffsberechtigungen kann sogar ein Einfallstor auf das andere Gerät geöffnet werden.
  • In-App-Käufe können zu versteckten Kostenfallen werden.

Einige einfache Verhaltensmaßnahmen können Ihre Sicherheit bei der Nutzung von Wearables erheblich erhöhen:

  • Falls das Gerät mit einer PIN oder einem Passwort geschützt werden kann, sollten Sie diese Möglichkeit nutzen. Voreingestellte PIN-Codes und Passwörter unbedingt abändern.
  • Falls es keinen solchen Schutz gibt, sollte das Gerät geschützt aufbewahrt werden, wenn es nicht getragen wird.
  • Zugehörige Benutzerkonten mit sicheren Passwörtern und, falls möglich, Zwei-Faktor-Authentisierung schützen.
  • Schnittstellen der Wearables nur aktivieren, wenn sie notwendig sind und gerade verwendet werden.
  • Koppelung mit anderen Geräten nur über sichere, verschlüsselte Verbindungen. Die Erstkoppelung möglichst nur in sicherer Umgebung durchführen, z. B. zu Hause.

[Autor: Urs Walther, Redaktion s+s report]

 

Wer kennt das nicht: Man arbeitet am Computer und muss mal eben kurz weg. Ein Kaffee im Bordbistro oder ein Snack am Tagungsbüffet, ein kurzer Plausch mit der Kollegin in der anderen Abteilung oder der Gang zur Toilette – es sind immer nur ein paar Minuten Abwesenheit. Hand aufs Herz: Sperren Sie jedes Mal das Display Ihres Laptops oder Ihres Tablets?

Was auf den ersten Blick banal erscheint, kann ernste Konsequenzen haben bezüglich Datenschutz und Informationssicherheit. Denn wenn ein Gerät in die falschen Hände gelangt, ist die Displaysperre eine wichtige erste Hürde, bevor Daten ausgelesen oder manipuliert werden können. Ohne das Passwort oder den Entsperrcode kommen die Angreifer zunächst nicht weiter. An einem ungesperrten Gerät reichen einem geübten Übeltäter bereits wenige Sekunden, um wichtige Daten zu stehlen oder womöglich sogar Spionage-Software zu installieren.

Bei Firmengeräten (egal, ob Laptop, PC am Arbeitsplatz oder Smart Device) sollte eine automatische Sperre bei Inaktivität mit zwingender Abfrage des Passworts unbedingt per Unternehmensrichtlinien vorgegeben und von der IT-Abteilung voreingestellt werden. Aber auch bei privaten Geräten sollten Sie keinesfalls darauf verzichten, denn auch private Daten können für Schnüffler äußerst interessant sein.

Bei Computern ist die Sperre zumeist durch die Eingabe des Passworts wieder aufzuheben, einige Geräte bieten auch einen Sensor für Fingerabdruck oder Ähnliches. Bei Smartphones und Tablets gibt es, je nach Gerät und Betriebssystem, meist diverse Möglichkeiten: ein mit dem Finger gezeichnetes Muster, ein mehrstelliger Zahlencode (PIN), Passwort (nur bei Android-Geräten), Fingerabdruck oder Gesichtserkennung. Zunächst einmal ist egal, welche Lösung Sie nutzen. Hauptsache, Sie nutzen sie!

Das Sicherheits-Level kann noch weiter erhöht werden, indem eine mehrfache Fehleingabe bei der Entriegelung das Gerät komplett sperrt. Manche Geräte lassen sogar zu, dass ab einer größeren Anzahl an Fehlversuchen alle gespeicherten Daten automatisch gelöscht werden. Das gibt besonders bei einem Diebstahl ein beruhigendes Gefühl.

[Autor: Urs Walther, Redaktion s+s report]

 

Sie glauben, sicher im Internet unterwegs zu sein? Na, hoffentlich sind Sie nicht einem der folgenden vier populären Irrtümern auf den Leim gegangen.

1. Ich habe ja eine Firewall, dadurch ist mein PC gesichert.
Gut, dass Sie eine Firewall einsetzen. Das ist eine notwendige Grundvoraussetzung. Aber damit ist es nicht getan. Vieles ist Einstellungssache und regelmäßig fragen Programme, ob sie dies oder das dürfen. Mit der Zeit entstehen viele Löcher. Haben Sie die noch im Blick? Und ist die Firewall auf dem aktuellen Stand? Nicht zu vergessen: Auch die Firewall-Software selbst kann mitunter Sicherheitslücken aufweisen.

2. Durch meine Anti-Virus-Software spare ich mir die lästigen Updates.
Auch die Anti-Virus-Software ist eine Grundvoraussetzung für einen sicheren PC, aber reicht alleine ebenso wenig aus. Alle, ja alle Programme müssen regelmäßig auf den neuesten Stand gebracht werden. Prüfen Sie das von Zeit zu Zeit, auch wenn Sie automatische Updates aktiviert haben. Das gilt natürlich auch für die Firewall und den Virenscanner selbst.

3. Ich habe ein sehr sicheres Passwort, sodass ich es überall verwenden kann.
Schon wieder gilt: Ein gutes, sehr sicheres Passwort ist eine Grundvoraussetzung. Aber es ist keine gute Idee, das gleiche Passwort bei mehreren/allen Diensten zu verwenden. Sollte es – und das kann man nicht ausschließen – einmal gestohlen werden oder gibt es bei einem der Dienste ein Sicherheitsleck, können sich die neuen „Besitzer“ des Passworts überall einloggen. Daher sollten Sie stets unterschiedliche Passwörter verwenden. Nutzen Sie zur Verwaltung einen Passwort-Safe.

4. Ich bin uninteressant für Cyber-Kriminelle, deswegen sind solche Schutzmaßnahmen total überzogen.
Sie glauben gar nicht, was sich im Internet alles zu Geld machen lässt. Dazu gehören Zugangsdaten, Bankverbindungen, Adressen, Geburtstage, Kreditkartendaten usw. Je vollständiger ein Datensatz ist, umso mehr bringt er ein. Zudem wollen manche Täter die Daten gar nicht haben. Sie verschlüsseln sie stattdessen und verlangen dann für die Entschlüsselung Ihrer Urlaubsfotos, Briefe und Unterlagen ein Lösegeld.

[Autor: Sebastian Brose, VdS Schadenverhütung GmbH]

 

Und in gewisser Weise hat sie damit Recht behalten: Für jedes nur erdenkliche Anwendungsgebiet gibt es heute Apps und Software im World Wide Web zu finden, und gerade kostenlose Angebote sind bei vielen Nutzern beliebt. Aus Sicht eines Angreifers liegt es daher auf der Hand, seine Schadsoftware ebenfalls über das World Wide Web zu vertreiben und kostenlos anzubieten, damit möglichst viele unbedarfte Nutzer darauf zugreifen.

Stellen wir uns einmal kurz vor, wir hätten etwas entworfen, entwickelt oder eine interessante Idee gehabt die anderen Leuten hilft oder einfach nur Spaß macht. Würden wir diese Idee dann frei, kostenlos und für jedermann zugänglich veröffentlichen? Wahrscheinlich nicht. Vielleicht noch für die Familie oder enge Freunde, um ihnen eine Freude zu machen, aber doch nicht ohne Gegenleistung für alle Menschen dieser Erde, oder? Wieso sollten dann Apps und Software, in die mindestens eine Person Zeit und Mühe gesteckt hat, frei zur Verfügung stehen und jeder sie kostenlos nutzen können?

Man kann kostenlos im Internet verfügbare Programme/Apps grob in vier Kategorien unterteilen:

  1. Apps, die von Firmen gratis zur Verfügung gestellt werden, da sie dazu dienen, Services des Anbieters zu nutzen, für die der Kunde ohnehin zahlt. Beispiele: Apps von Dienstleistern wie der Bahn, DHL, eBay, Amazon etc.
  2. Apps mit In-App-Käufen, bei denen der Einstieg umsonst ist, aber früher oder später bezahlt werden muss, wenn man alle Features nutzen will oder damit die Programme überhaupt sinnvoll funktionieren. Die meisten Spiele-Apps fürs Smartphone oder Tablet funktionieren auf diese Weise (z. B. Candy Crush, Pokémon GO).
  3. Apps mit Datenverkauf. Hier bezahlen die Benutzer quasi mit ihren Daten. Wenn man den Nutzungsbedingungen dieser Apps zustimmt, tritt man die Rechte an bestimmten Inhalten (Fotos, Videos, persönliche Daten, Verbindungen zu anderen Nutzern) an die Betreiberfirma ab, die sie dann für ihre Zwecke nutzen kann. Beispiel: Facebook, Instagram, Snapchat, TikTok, WhatsApp u. v. m.
  4. Apps mit Schadwirkung. Der Preis für ihre Nutzung sind ständige Werbeeinblendungen (womöglich mit Anklicken der Werbung ohne Zutun des Nutzers) oder – noch schlimmer – der heimliche Aufruf von schädlichen Websites. Die Folgen für den Nutzer dieser Art Apps gehen von nervenden Bannern über den Verlust von Rechen- und Batterieleistung bis hin zu Schadsoftware, die ohne Nachfrage installiert wird. Beispiele aus der Vergangenheit: Agent Smith, Daily Fitness – Yoga Poses.

Man sollte also ein waches Auge auf die Auswahl seiner Apps haben und nur Software aus bekannten Quellen nutzen (etwa die offiziellen App-Stores von Google, Apple oder Microsoft). Dies schließt zwar die Möglichkeit nicht aus, trotzdem an Schadsoftware zu geraten, minimiert die Gefahr aber erheblich!

[Autorin: Katja Eicher, VdS Schadenverhütung GmbH]

 

Vielen dürfte dieser Werbeslogan sicherlich noch ein Begriff sein. Aber auch wer ihn noch nicht kennt oder sich nicht mehr daran erinnern kann, kann ihn prima für sich nutzen, nämlich als Eselsbrücke für die Datensicherung. Ein Thema, dass leider gerne mal in Vergessenheit gerät.

Wer kennt das nicht: klick, klick, klick – „Ja ich möchte die Daten aus dem Papierkorb löschen. (Man muss ja zwischendurch mal aufräumen.)“ – 30 Minuten später: „Oh nein, wo ist denn meine Präsentation für morgen?!?“

Gut, dass wir auf der Arbeit unsere IT-Abteilung haben, die uns auch in solchen Fällen schnell helfen kann. Ein Anruf, eine Wiederherstellung und schon kann ich am nächsten Tag meine Präsentation zeigen, ohne alles neu schreiben zu müssen. Schön, wenn sich jemand im Hintergrund um die Datensicherung kümmert und die Daten auch dort gespeichert waren, wo sie gesichert werden, und nicht auf irgendeinem Stick, der da gerade mal so rumlag.

Aber wie sieht es denn zu Hause aus? Ich habe leider keine IT-Abteilung, die sich um meine Daten kümmert, sodass ich auch in ein paar Wochen, Monaten oder Jahren in den Erinnerungsfotos von meiner Hochzeit oder vom 40. Geburtstag meines Bruders stöbern kann, um mich daran zu erfreuen. Das muss ich leider selber machen.

Als Faustregel sollten wir immer drei Kopien unserer wichtigen Daten haben. (Zumindest der Daten, die wir noch lange behalten wollen und deren Verlust schmerzen würde!) Zwei dieser Kopien sollten wir extern (also außerhalb des Computers/Smartphones) vorhalten und eine dieser externen Kopien sollte sich zudem an einem Ort außerhalb der Privatwohnung befinden.

Hier schließt sich der Kreis zur oben genannten Eselsbrücke für die Datensicherung im Privaten:

3 = drei Kopien: eine auf dem Computer/Smartphone + zwei auf externen Datenträgern

2 = zwei Kopien: eine auf externe Festplatte oder USB-Stick + eine Sicherung an einem anderen Ort

1 = eine Kopie: entweder in der Cloud oder auf einer zweiten externen Festplatte, die im Bankschließfach, bei den Eltern oder den Kindern hinterlegt wird

meins! = Meine Daten sind sicher!

[Autorin: Katja Eicher, VdS Schadenverhütung GmbH]

 

Dicke Fische sind im Internet Benutzernamen und Passwörter. Wer sie ergattert hat, kann im Namen anderer ungehemmt shoppen, Botschaften verbreiten oder anderen Unfug treiben. Der Versuch, mittels gefälschter E-Mails die Zugangsdaten abzugreifen, wird Phishing genannt. Dieses Kunstwort setzt sich zusammen aus den englischen Wörtern „password“ und „fishing“.

Die Datenfischer fälschen E-Mails bekannter Unternehmen wie Internetshops, Logistiker, Telekommunikationsunternehmen oder Banken. Darin fordern Sie den Nutzer auf, eine Website aufzurufen und dort irgendetwas zu bestätigen. Dabei muss der Nutzer sich authentifizieren, indem er seine geheimen Zugangsdaten eingibt. Der Trick dabei: Statt auf die echte Website eines bekannten Unternehmens leiten die Täter auf gefälschte Seiten um, die oft täuschend ähnlich aussehen. Der so überlistete Nutzer schreibt seine Zugangsdaten dort quasi auf einen Zettel und wirft sie den Tätern in den Briefkasten.

Um das zu verhindern, beachten Sie folgende einfache Tipps:

  1. Erst denken, dann klicken.
  2. Haben Sie überhaupt mit dem fraglichen Unternehmen zu tun? Im Zweifel löschen Sie die Mail.
  3. Beachten Sie ganz genau die URL in der Browserzeile, falls Sie auf den Link geklickt haben.
  4. Rufen Sie die Website des Unternehmens besser „zu Fuß“ auf, wenn Sie Ihr Kundenkonto prüfen wollen.
  5. Vorsicht bei vermeintlicher Eile: Lassen Sie sich nicht unter Zeitdruck setzen! Seien Sie skeptisch, wenn etwas angeblich unbedingt sofort erledigt werden müsse.

[Autorin: Sebastian Brose, VdS Schadenverhütung GmbH]

 

Wenn ein lieber Mensch von uns geht, sind wir nicht nur mit unserer Trauer konfrontiert, sondern müssen, wenn es um nahe Verwandte geht, auch noch viel Bürokratie erledigen. Gut, wenn der Verstorbene schon zu Lebzeiten einiges organisiert hat und man selbst nicht alles entscheiden oder suchen muss. Ein Testament kann bei Vielem eine große Hilfe sein. Doch je mehr Menschen im digitalen Zeitalter Dienste und Services online nutzen, desto schwieriger wird die Nachlassverwaltung.

Viele kennen das ja von sich selbst: „Oh, das ist aber ein gutes Angebot, da schließe ich mal ein (Probe-)Abo bei Dienst XY ab.“ – Sollte uns dann etwas zustoßen, werden die Hinterbliebenen wohl nur in den seltensten Fällen die Kundennummern und Passwörter für die gebuchten Dienste kennen. Wer von uns könnte auf einen Schlag alle Verträge, Abos und andere Verpflichtungen aufzählen, die er derzeit laufen hat? Wahrscheinlich niemand. Wie sollen das denn nur unsere Hinterbliebenen schaffen?

Je mehr wir digitale Angebote nutzen, zu denen es in 90 Prozent der Fälle nur Mail-Verkehr gibt und kein Papierstück, desto wichtiger wird es, Kundennummern oder Zugangsdaten an einem sicheren Ort für anvertraute Personen zu deponieren, damit diese im schlimmsten Fall schnell Zugriff darauf haben und diese ganze Bürokratie etwas geordneter angehen können. Denn es fühlt sich schon ein wenig falsch an, in privaten Mails und Unterlagen eines lieben verstorbenen Menschen herumzuwühlen, bis man einen eventuell geschlossenen Vertrag findet, von dem man nichts weiß.

Es kostet nicht viel Zeit, die Daten für jedes neue Angebot, für das man sich angemeldet hat, schriftlich festzuhalten (ein einfaches Word-Dokument genügt). Diese Infos werden in ausgedruckter Form an einem zentralen Ort gesammelt, zum Beispiel bei den Steuerunterlagen. Wenig Aufwand für uns, aber eine riesige Hilfe für Hinterbliebene, die sowieso schon genug Schmerz verkraften müssen. – Oder möchten Sie selbst ständig bei Facebook oder Xing von Ihren Verstorbenen angelächelt werden, weil niemand deren Profile abmelden oder löschen kann?

[Autorin: Katja Eicher, VdS Schadenverhütung GmbH]

Nicht allzu selten sehen wir diesen Spruch oder ähnliche Mitteilungen auf unserem Monitor genau in dem Moment, in dem wir Feierabend machen wollen, in einem Meeting sitzen und eine Präsentation halten müssen oder einfach schnell etwas nachgucken wollen. Aber nicht nur auf der Arbeit werden wir mit diesen nervigen Updates konfrontiert. Das Ganze geht privat auf unseren Smartphones weiter: „Wir haben Änderungen eingepflegt. Bitte laden Sie sich die neueste App aus dem App-Store, damit Sie unseren Service wie gewohnt nutzen können.“ Oder die berüchtigte Meldung: „Optimiere WhatsApp“, genau in dem Moment, in dem wir unseren Bekannten schreiben wollten, wo wir uns treffen …

Nervig, aber mehr als notwendig! Auch für Ihre eigenen Daten! Täglich werden unzählige neue Schwachstellen in Systemen, Software oder eben in den Apps entdeckt. Damit Kriminelle diese Einfallstore nicht ausnutzen können, bringen die Hersteller regelmäßig Updates oder Sicherheitspatches heraus. Je nach Dringlichkeit der Sicherheitslücke werden diese Updates entweder dem Nutzer zur freiwilligen Nutzung zur Verfügung gestellt oder ungefragt zwangsweise eingespielt.

Schützen Sie Ihre Daten und die Daten Ihres Unternehmens und führen Sie regelmäßig Updates durch! Kleiner Tipp: Reservieren Sie für sich einmal in der Woche ein Zeitfenster für Updates. Schauen Sie in dieser Zeit nach, ob Updates für Ihren PC oder Ihr Smartphone vorhanden sind, und installieren Sie diese sofort, dann werden Sie auch nicht zu den ungünstigsten Zeiten von den kleinen nervigen Benachrichtigungen auf Ihrem Bildschirm gestört. Für das Smartphone klappt das beispielsweis super am Sonntagabend auf der Couch, während der Tatort läuft. Da braucht man das Ding sowieso nicht.

[Autorin: Katja Kern, VdS Schadenverhütung GmbH]

Durch die europäische Datenschutzgrundverordnung (DSGVO) werden die Unternehmen verpflichtet, ein Datenschutzmanagement zu etablieren, welches den Schutz der personenbezogenen Daten in Unternehmen sicherstellen soll.

Mit dem Sammelbegriff Datenschutzmanagement werden alle Prozesse bezeichnet, die notwendig sind, um die Umsetzung der gesetzlichen Anforderungen des Datenschutzes bei der Planung, Einrichtung, dem Betrieb und nach der Deaktivierung von Verfahren zur Informationsverarbeitung sicherzustellen.

Folgende Aktivitäten sollten hierbei beachtet bzw. umgesetzt werden:

  • Zuweisung von Verantwortlichkeiten (Topmanagement usw.)
  • Bestellung und Meldung des Datenschutzbeauftragten
  • Zusammenstellen eines Datenschutz-Teams
  • Erstellen einer zentralen Datenschutz-Leitlinie
  • Erstellen der Datenschutz-Richtlinien wie z. B.:
    • Umgang mit personenbezogenen Daten
    • Zutritts-, Zugangs- und Zugriffsrichtlinien
    • Abwesenheitsregelungen (Zugang zum Datenbestand des Abwesenden)
    • Richtlinie für die Nutzung von Home Office
    • Integration privater IT-Systeme (Bring Your Own Device/BYOD)
  • Schulung/Sensibilisierung der Mitarbeiter
  • Erstellen eines Verarbeitungsverzeichnisses
  • Prozess zur Bearbeitung von Datenpannen
  • Datenmanagement (Aufbewahrungs-/Löschfristen)
  • Erstellen und Umsetzen von technischen und organisatorischen Maßnahmen
    • Passwortrichtlinien
    • Datenschutzfolien für Bildschirme
    • Verschlüsselung von Festplatten
    • usw.

Bei der Umsetzung dieser Aktivitäten für den Einsatz eines DSGVO-konformen Datenschutzmanagements können Ihnen die VdS-Richtlinien zur Umsetzung der DSGVO (VdS 10010) behilflich sein.

Um sich ein aktuelles Bild des Datenschutzniveaus in Ihrem Unternehmen zu machen, empfehle ich Ihnen den VdS-Quick-Check unter www.vds-quick-check.de.

[Autor: Thomas Schmidt, Telefonbau Arthur Schwabe GmbH & Co. KG]

Immer häufiger werden Cyber-Angriffe unter Verwendung von E-Mails durchgeführt. Entweder enthalten diese Nachrichten bereits selbst Schadsoftware (versteckt in einer unbedenklich erscheinenden Datei) oder sie sollen die Empfänger dazu verleiten, einen „bösartigen“ Link zu nutzen, um so Schadsoftware herunterzuladen und auszuführen. Neben den technischen Möglichkeiten des Mail-Filterns ist ein geschärftes Sicherheitsbewusstsein der Nutzer ein wichtiger Baustein zum Schutz von Unternehmen.

Hier finden Sie einige Tipps, um gefälschte E-Mails zu erkennen:

  1. Achten Sie auf die Anrede in der Mail, häufig finden Sie hier schon Ansätze (z. B. „sehr geehrtes Damen und Herr“). Die Anreden sind oft unpersönlich und/oder fehlerhaft.

  2. Achten Sie generell auf Rechtschreibung und Grammatik. Oftmals sind diese gefälschten Mails in einem schlechten Deutsch geschrieben.

  3. Achten Sie genau auf den Absender der Mail: Erwarten Sie von diesem Absender eine E-Mail mit diesem Inhalt? Stimmt die Adresse exakt?

  4. erfen Sie einen Blick auf die Signatur: Passt diese zum Absender der Mail und seinem Unternehmen?

  5. Sehen Sie sich die Betreffzeile an. Oftmals werden Formulierungen genutzt, die den Empfänger verunsichern oder verängstigen sollen, z. B. „Ihr Konto ist abgelaufen“ oder „Ihr Passwort ist unsicher und wurde geändert“.

  6. Ist der Sachverhalt der E-Mail nachvollziehbar? Oder erwarten Sie von Ihrem Kollegen überhaupt keine Rechnung?

  7. Sofern Sie aufgefordert werden, persönliche Daten wie z. B. PINs, Passwörter oder Ähnliches einzugeben, sollten Sie dies auf keinen Fall machen, denn „echte“ Unternehmen fragen diese Daten nicht per Mail ab.

Sofern Sie bei einem oder mehreren der oben genannten Punkte stutzig werden, handelt es sich mit hoher Wahrscheinlichkeit um eine gefälschte Mail. Informieren Sie hierüber Ihren Sicherheitsbeauftragten und öffnen Sie niemals Anhänge solcher Mails. Sprechen oder schreiben Sie ggf. den vermeintlichen Absender an – aber keinesfalls via „Antworten“-Funktion!

[Autor: Thomas Schmidt, Telefonbau Arthur Schwabe GmbH & Co. KG]

Mobile Computer (meist Notebooks genannt) sind bei vielen Mitarbeitern nicht mehr aus dem Arbeitsalltag wegzudenken. Um das Risiko eines Datenverlustes zu verringern, sind nachfolgende Regeln eine sinnvolle Vorgabe für Ihre Sicherheits-Policy.

A) Absicherung des Gerätes gegen unbefugten Zugriff

  1. Sperrung des Geräts mithilfe einer PIN oder eines Kennworts.
  2. Automatische Sperrung des Geräts bei Inaktivität.
  3. Der eingebaute Datenträger (Festplatte/SSD) des Geräts sollte verschlüsselt sein, falls sensible Daten darauf gespeichert werden.
  4. Das Gerät ist stets sicher zu verwahren und sollte nicht an Dritte weitergegeben werden, insbesondere nicht im entsperrten Zustand.
  5. Bei Verwendung von öffentlichen, ungesicherten Netzen (z. B. WLAN-Hotspots) muss eine sichere, verschlüsselte Verbindung genutzt werden (z. B. VPN).
  6. Die Nutzung und der Anschluss von Datenträgern und Geräten aus unbekannter Herkunft sind erst nach erfolgter Überprüfung auf Schadsoftware gestattet.

B) Umgang mit Betriebssystem und Software

  1. Regelmäßiges Aktualisieren des Betriebssystems und aller installierten Programme.
  2. Installation von Software nur aus vertrauenswürdigen Quellen (z. B. Hersteller-Website) und nur nach Rückfrage bei oder Informationsaustausch mit der eigenen IT-Abteilung.
  3. Deinstallation von Software, die nicht (mehr) benötigt wird, erfolgt ausschließlich durch die Mitarbeiter der eigenen IT-Abteilung.

[Autor: Thomas Schmidt, Telefonbau Arthur Schwabe GmbH & Co. KG]

Bis vor Kurzem war das Telemediengesetz (TMG) die rechtliche Grundlage für das Betreiben von Websites in Deutschland. Dieses Gesetz wurde nun durch das endgültige Inkfrafttreten der EU-Datenschutzgrundverordnung (DSGVO) verdrängt. Zusätzlich zum TMG mussten Datenschutzbeauftragte bislang die ePrivacy-Richtlinie beachten. Sie gilt auch in Zukunft – aber in einer neuen Fassung, was einige Änderungen beim Datenschutz für Websites nach sich zieht.

Diese grundsätzliche Rechtslage hat sich auch durch die DSGVO nicht geändert, denn deren Erwägungsgrund 30 stellt klar, dass IP-Adressen als „Online-Kennungen“ und damit als personenbezogene Daten zu betrachten sind. Da selbst bei einem reinen Lesezugriff auf eine Homepage automatisch die IP-Adresse des Besuchers übermittelt wird, fällt allein deswegen das Bereitstellen einer Website in den Geltungsbereich der DSGVO.

Was müssen Sie als Betreiber einer Website beachten?

  1. Sorgen Sie dafür, dass Ihre Website verschlüsselt ist.
  2. Überarbeiten Sie Ihre Datenschutzerklärung.
  3. Überprüfen Sie alle Formulare auf Ihrer Website (SSL-Protokoll).
  4. Überprüfen Sie alle Social-Media-Plugins und ggf. eingebettete Videos oder Bildmaterial.
  5. Checken Sie Ihr Statistik-Tool.
  6. Informieren Sie über auf der Website verwendete Cookies.
  7. Bringen Sie Ihren Newsletter auf den neuesten Stand (Kopplungsverbot beachten!).
  8. Prüfen Sie, ob mit Ihrem Webhoster ein Vertrag zur Auftragsverarbeitung geschlossen werden muss.

[Autor: Thomas Schmidt, Telefonbau Arthur Schwabe GmbH & Co. KG]

Mit wachsender Durchdringung der Geschäftsprozesse durch die Informationstechnik (IT) erhöht sich auch die Abhängigkeit der Unternehmen bezüglich der Verfügbarkeit und Integrität der ITSysteme, Anwendungen sowie der Daten und Informationen. Daraus ergibt sich die Notwendigkeit, diese vor unzulässiger und unsachgemäßer Nutzung sowie Missbrauch, Verlust, Preisgabe, Zerstörung und Manipulation zu schützen.

Hier nun ein kleines Regelwerk zur Einhaltung oben genannter Notwendigkeiten, das selbstverständlich ausformuliert in einer entsprechenden Unternehmensrichtlinie dokumentiert werden muss.

Die „10 goldenen Regeln“ des Datenschutzes und der Informationssicherheit:

  1. Machen Sie sich mit Ihren Ansprechpartnern im Umfeld des Datenschutzes und der Informationssicherheit vertraut.
  2. Sicherheitsrelevante Vorfälle sind direkt an den zuständigen Verantwortlichen zu melden.
  3. Halten Sie Ihre persönlichen PINs und Passwörter immer streng geheim. Ändern Sie diese sofort, wenn Sie den Verdacht haben, dass Ihr Passwort bekannt geworden ist.
  4. Teilen Sie mit niemandem vertrauliche Informationen – es sei denn, dass Sie sicher sind, dass der Empfänger hierzu auch berechtigt ist.
  5. Öffnen Sie niemals E-Mails von unbekannten Absendern.
  6. Machen Sie sich mit der Klassifizierung aller Informationen, mit denen Sie arbeiten, vertraut und sichern Sie Ihre Daten entsprechend.
  7. Sorgen Sie stets für einen sicheren Umgang mit vertraulichen und geheimen Informationen.
  8. Schließen Sie vertrauliche und geheime Informationen immer ein, wenn Sie den Arbeitsplatz verlassen.
  9. Sperren Sie immer Ihren PC, wenn Sie Ihren Arbeitsplatz verlassen und schließen Sie ggf. Ihr Büro ab.
  10. Halten Sie geeignete Sicherheitsstandards ein, wenn Sie sich über den Remote-Zugang einwählen.

[Autor: Thomas Schmidt, Telefonbau Arthur Schwabe GmbH & Co. KG]

Jeder kennt den Rat: Nutzen Sie sichere Passwörter und verwenden Sie für jede Anwendung ein anderes Passwort. Der Rat kommt nicht von ungefähr: Die Top-3-Passwörter im Jahr 2017 waren: „hallo“, „passwort“ und „hallo123“. Doch was tun? Viele Unternehmen schaffen Passwortregeln (Mindestlänge, Groß-/Kleinschreibung, Ziffern, Sonderzeichen etc.), um Trivialpasswörter zu unterbinden – mit dem Ergebnis, dass Post-its am Monitor und unter der Tastatur kleben. Sicherheit sieht anders aus. Mit dem Aufstellen der Regeln ist es eben nicht getan.

Es müssen auch Tipps her, die den ganzen Passwort-Wahnsinn beherrschbar machen. Zwei davon erhalten Sie heute hier:

  1. Nutzen Sie keine Wörter, sondern Sätze wie Liedzeilen oder Zitate, bei denen Sie die Anfangsbuchstaben unter Beachtung der Groß-/Kleinschreibung aneinanderreihen. Beispiel gefällig? Hier hat sich ein Hit versteckt: AddN,b1nTe! (Tipp: Helene Fischer).
  2. Nutzen Sie Passwort-Manager. Das sind kleine Programme, die Sie als App auf Ihrem PC oder Smartphone überall dabei haben und die Ihre Passwörter, geschützt wie in einem Tresor, enthalten. Sie müssen sich nur ein einziges Passwort merken: das für Ihren Tresor. Aber bitte erstellen Sie eines unter Beachtung von Tipp 1.

[Autor: Sebastian Brose, VdS Schadenverhütung GmbH]

    fax_icon
    +49 (0) 221 7766 - 109
    nach oben
    Top