Inhalt

Beispielbild Cyber-Risiko

Dass das Internet fortlaufend neue (Cyber-)Risiken birgt sollte eigentlich niemanden mehr verwundern. Regelmäßig finden sich auch in den analogen Printmedien Schlagzeilen wie folgende von der F.A.Z. aus diesem Monat: 

Ransomware-Angriff in Irland

Und nach großen Cyber-Angriffen wie Anfang des Jahres durch Kompromittierung einer Software von solarwinds geistern für gewöhnlich Begriffe wie DDoS, Phishing, Ransomware & Co. durch die Medien ohne dass diese genauer erklärt werden.

Dieser Blog ist für alle, die sich zumindest einen groben Überblick über mögliche Gefahren im Internet verschaffen wollen.

Doch erst einmal ein paar Fakten um das immense Schadenspotenzial von Cyber-Angriffen in Relation setzen zu können:

  • Laut Statista werden durch Cyber-Angriffe jährlich Schäden in Höhe von 60 Mrd. $ verursacht
  • Davon entfielen 2019 alleine 88 Mio. € auf Deutschland – Tendenz steigend.
  • 2020 sind die Kosten laut dem aktuellen Hiscox Cyber Readiness Report 2020 noch einmal extrem gestiegen – von durchschnittlich 9.000 € je Schadensfall auf 51.200 €

Cyber-Angriffe sind also keine „Streiche“ sondern ein ernstzunehmendes operatives Risiko für (fast) jedes Unternehmen und für die meisten Privathaushalte. Speziell im Privaten werden die Risiken nicht ernst genug genommen, was einem teuer zu stehen kommen kann.

Dieser Blog soll Dir helfen, mögliche Risikofaktoren präventiv aus dem Weg zu räumen. Die Themen sind dabei in 4 Kategorien + Fazit gegliedert:

Cyber-Risiken durch unzureichende Verschlüsselung

Verschlüsselungen sind der erste Schritt um sich vor unbefugten Zugängen oder Datendiebstahl zu schützen – daher fangen wir mit der Kategorie an. Auch wenn es absolut instinktiv sein sollte, seine Daten zu schützen, sieht die Realität anders aus:

2020 war in Deutschland das am häufigsten genutzte Passwort „123456“ – dicht gefolgt von ähnlich „sicheren“ Passwörtern wie „qwertz“ oder „passwort“.

Passwörter

Man kann es nicht genug betonen: unterschiedliche Passwörter für verschiedene Seiten/Apps zu verwenden ist essentiell. Und mit Funktionen wie Apples „Schlüsselbund“ oder Googles Passwortmanager kannst Du die Passwörter geräteübergreifend und verschlüsselt speichern.

Um wirklich zufällige Passwörter zu generieren kannst Du entweder die vorgeschlagenen Passwörter von Google & Co. verwenden oder  bspw. online-Tools wie https://www.datenschutz.org/kryptisches-passwort/ verwenden.

Alternativ können auch Sätze als Eselsbrücken fungieren. So sieht das Passwort „DgKba3/&h60?“ recht willkürlich aus, steht aber bspw. für „Die gestrige Klausur bestand aus drei Teilen und hatte sechzig Fragen“.

2-Faktor-Authentifizierung

Eine noch bessere Möglichkeit um die eigenen Daten zu schützen, ist eine mehrstufige Authentifizierung. Ein typisches Beispiel hierfür sind Pin & TAN beim Online-Banking. Dabei wird eine Kombination aus zwei oder mehr verschiedenen Komponenten genutzt – Nur wenn beide korrekt sind, kann die Anwendung genutzt werden.

Zwar klingt das in der Theorie optimal, jedoch ist auch eine 2-Faktor-Authentifizierung nicht vor Fehlern geschützt.

Die initialen Login-Daten müssen postalisch oder per Mail mitgeteilt werden, wodurch das Risiko besteht, dass Daten abgefangen werden können. Zudem kann der Nutzer durch Phishing o.ä. dazu gebracht werden, seine Passwörter & Co. preiszugeben.

Doch mehr zu den Risiken durch Mail-Verkehr & Co. erfährst Du im folgenden Kapitel.

Cyber-Risiken im Mail-Verkehr

Einer der wichtigsten Risikofaktoren ist in diesem Blog namentlich schon aufgetaucht: Phishing.

Phishing ist ein Kunstwort, das aus Passwort harvesting (Passwort ernten/ergattern) und Fishing (Angeln) zusammengesetzt ist. Dabei werden bestehende Webseiten kopiert um dem Nutzer Seriosität vorzugaukeln. Diese Webseiten werden dann per Mail o.ä. an den Nutzer geschickt mit der Aufforderung sich umgehend einzuloggen, da sonst das Benutzerkonto gesperrt wird.

Aus Panik oder Gutgläubigkeit klickt der Nutzer auf den beigefügten Link und gibt dann seine Daten ein, welche jedoch nicht wie gedacht zur Validierung verwendet werden, sondern an unbefugte Dritte weitergeleitet werden, die dann Deine Daten missbräuchlich verwenden. Phishing ist daher auch ein maßgebliches Angriffsziel für Social Engineering auf welches wir weiter unten eingehen werden.

Besonders ärgerlich wird es vor allem, wenn es sich um Bankdaten oder PayPal-Konten handelt, denn so kann ein Phishing-Angriff sehr schnell sehr teuer werden.

Wie Du Dich davor schützen kannst:

Nutze einen Spamfilter! So werden manche Mails schon vorab aussortiert. Darüber hinaus ist es immer empfehlenswert ein gewisses Misstrauen gegenüber jeglichen Aufforderungen zum Einloggen zu haben.

Öffne keine Links von Mails, deren Absender Du nicht kennst. Wenn Du Dir bei einer Mail nicht sicher bist, ob es eine legitime Anfrage ist, schau dir die Mailadresse genauer an. Legitime Mails haben den Firmennamen in der Mail-Adresse (info@momentum-zwickau.de oder so). Bei externen Angreifern ist das jedoch in der Regel nicht der Fall.

Für alle, die ein rudimentäres Verständnis von Programmierung haben lohnt sich auch ein Blick in den Quelltext der Mail: Wo werde ich hingeleitet, wer ist der Absender usw…

Beispiel einer Phishing-Mail

Wie hier in diesem Beispiel zu sehen ist, sieht die Mail grundsätzlich recht vertrauenswürdig aus (abgesehen von der Tatsache, dass der Autor des Artikels kein Konto bei der BW Bank unterhält). Der Link in der Mail, welcher augenscheinlich zur BW Bank führt, leitet einen jedoch auf eine dritte Seite weiter.

Das erkennt man jedoch nur, indem man über den Link hovert (bei vielen Browsern wird dabei die Zieladresse des Links angezeigt) oder eben auf den Quelltext der Mail schaut (bei Google Chrome über STRG + Umschalttaste + I (=inspect)) schaut, der einem zeigt, welche URL durch das Klicken tatsächlich angesteuert wird.

versteckter Li9nk zu einer anderen Seite

Wie Du sehen kannst, ist es mitunter nicht sofort ersichtlich, ob es sich um eine Phishing-Mail handelt. Zu guter Letzt sind natürlich auch aus diesem Grund verschiedene Passwörter für unterschiedliche Webseiten/Applikationen immer empfehlenswert.

Ransomware ist ebenfalls ein großes Problem. Diese Art von Programmen werden auch via Mail verbreitet und sollen das System des Nutzers so lange lahmlegen, bis eine gewisse Lösegeldsumme (Ransom) bezahlt wird. Ein sehr prominentes Beispiel hierfür war der Wannacry-Angriff im Jahr 2017 bei dem weltweit Windows-Rechner – unter anderem in Krankenhäusern – blockiert wurden. Ransomware-Angriffe können aber genauso gut auch Privatpersonen treffen.

Generell solltest Du daher Vorsicht walten lassen, wenn Dich jemand auffordert eine MS Office-Datei (Word, Excel usw.) zu öffnen, wenn Du den Absender nicht kennst. In diesen Dateien kann man VBA-Code integrieren, welcher sich ggf. beim Start öffnet und bösartigen Code installiert. Seriöse Dateien werden daher in der Regel als PDF gesendet.

Schützen kannst Du Dich zudem, indem Du regelmäßig BackUps erstellst – so gehen nicht zu viele Daten verloren, wenn Du das Lösegeld nicht bezahlst. Auch das regelmäßige Aktualisieren von Anwendungen und Betriebssystemen kann mögliche Angriffspunkte minimieren. Microsoft hat bspw. nach dem WannaCry-Angriff ein entsprechendes Patch veröffentlicht um solche Angriffe in Zukunft zu verhindern/erschweren.

Auch präventive Ransomware-Cleaner und Email-Filter können Dir einigen Ärger und im Zweifelsfall viel Geld sparen.

Wenn Du Unternehmer:in bist, bietet es sich auch an, Admin-Rechte für das betriebliche Computersystem so spärlich wie möglich auszugeben. Dadurch wird das Risiko minimiert, dass ein Ransomware-Angriff zu tief in das System eindringen kann.

Cyber-Risiken durch Veraltete Software

Ein weiterer immenser Risikofaktor sind veraltete Programme. Denn entdeckte Sicherheitslücken werden via Software-Updates ausgebessert. Das funktioniert jedoch nur, wenn der Nutzer diese Updates auch zulässt.

Unter dieser Kategorie erklären wir ein paar der relevantesten Sicherheitsrisiken für Deine Webseite, welche überwiegend durch regelmäßiges Aktualisieren der Software & Plugins minimiert werden können.

Cross-Site Scripting

Webseiten bestehen im Wesentlichen aus drei Komponenten: HTML für das Grundgerüst, CSS für das Design des Grundgerüsts und JavaScript für Funktionalitäten und um HTML & CSS zu verändern.

Cross-Site Scripting – oder auch kurz XSS genannt – meint das bösartige Einfügen von JavaScript in den HTML-Code um sich Zugang zu geschützten Daten wie Session-Daten (Cookie-Daten, die dem Webseitenbetreiber helfen, die Webseite zu optimieren) oder im schlimmsten Fall Passwörtern zu verschaffen.

Dieser JavaScript-Code wird in Felder eingegeben, die für die Interaktion zwischen Nutzer & Webseite gedacht sich (Login-Felder, Kontaktformulare usw.).

So erschwerst Du XSS-Angriffe:

Du kannst bspw. Nutzereingaben auf bestimmte, für JavaScript verwendete Sonderzeichen wie: < > # & ; ( ) prüfen und diese herausfiltern. Das schützt Dich jedoch nicht zu 100%, denn es gibt für diese Sonderzeichen „Work-Arounds“, welche Du dann ebenfalls herausfiltern müsstest. Daher bietet es sich – genauso wie für SQL-Injections im nächsten Abschnitt – an, vorgefertigte Bibliotheken für diese Filterungen zu verwenden.

SQL-Injections

Dieses Problem hat gewisse Ähnlichkeiten mit XSS, denn auch hier wird externer Code – in diesem Fall nicht JavaScript sondern SQL – eingefügt um Datenbanken anzuzapfen.

SQL ist eine weitverbreitete Programmiersprache für Datenbankabfragen. Und sobald Du Dich auch einer Webseite anmeldest, werden intern Datenbanken abgefragt um zu prüfen ob Deine Login-Daten stimmen.

Da Dein Input dann in eine teils vorformulierte Abfrage kopiert wird und SQL logische Operatoren wie AND & OR zulässt, können dadurch möglicherweise Sicherheitsvorkehrungen umgangen werden.

Sagen wir bspw., dass Du Username und Passwort eingeben musst. Intern werden die beiden eingegebenen Werte (input1 & input2) dann in ein SQL-Statement wie folgendes kopiert

Login = „SELECT id FROM user WHERE username = ‘“ + input1 + ”’ AND password = ‘“ + input2 + “’”

Wenn nun jemand einen Nutzernamen kennt und die Login-Abfrage nicht vor SQL-Injections geschützt ist, könnte statt dem korrekten Passwort (input2) sowas eingegeben werden wie „irgendwas‘ OR 1=1“, wodurch die SQL-Abfrage keinen Fehler auswerfen würde, denn 1 ist immer 1 und die Abfrage enthielt die Bedingung dass entweder das Passwort korrekt ist oder (OR) 1 = 1 sei.

Nun würde die ID des Nutzers angezeigt werden.

Das besonders problematische an SQL-Injections ist, dass durch solche Angriffe gleich direkt auf die zugrundeliegenden Datenbanken zugriffen werden kann, ohne sich um die Sicherheitswälle der Webseite zu kümmern.

Was Du dagegen tun kannst:

In erster Linie musst Du dafür sorgen, dass der Nutzer keine Werte einfügen kann, die das SQL-Statement um weitere Konditionen erweitern können. Daher solltest Du bspw. mysqli statt SQL verwenden, denn mit der Funktion mysqli_real_escape_string() können die Sonderzeichen wie „ ‘ “ maskiert werden, das heißt sie werden nicht als „ ‘ “ gewertet, welche für ein korrektes SQL-Statement gebraucht werden.

Außerdem ist es wichtig, so wenig Nutzerkonten mit umfangreichen Rechten wie möglich einzurichten. So wird das Risiko minimiert, dass Unbefugte Zugang zu kritischen Infrastrukturen bekommen.

Die bisherigen Kapitel haben womöglich den Anschein erweckt, Angriffe könnten hauptsächlich von außerhalb kommen. Doch auch unser „analoges“ Miteinander birgt Cyber-Risiken die wir im folgenden Kapitel vorstellen werden.

Cyber-Risiken durch Social Engineering

Social Engineering meint das gezielte Ausnutzen der Naivität von anderen Menschen. Das ist hochgradig relevant, denn ein Großteil der Menschen hat nur ein sehr begrenztes Verständnis von IT und versteht deshalb nicht, welchen Schaden auch schon Kleinigkeiten ausrichten können. Außerdem gehen viele implizit davon aus, dass andere (auch fremde) ebenfalls mit der Technik überfordert sind.

Das größte Cyber-Risiko stellt immer noch der Mensch selber dar.

Das bietet IT-affinen Angreifern einige Möglichkeiten diese menschliche Schwachstellen auszunutzen.

Shoulder Surfing

Shoulder Surfing meint, dass jemand Unbefugtes den eigenen Bildschirm mitlesen kann. Wenn Du dabei „nur“ Deine privaten Facebook-Nachrichten offen hast, ist der Schaden vielleicht zu vernachlässigen.

Anders sieht es jedoch aus, wenn es um vertrauliche Unterlagen von der Arbeit oder Dein Online-Banking geht. Dabei muss sich ein Angreifer nicht unbedingt „merken“ was Du gerade liest: er kann es bspw. auch einfach filmen und sich später in Ruhe ansehen.

Wie Du Shoulder Surfing vermeidest:

Du solltest immer schauen, ob jemand in Deiner unmittelbaren Nähe ist, bevor Du in der Öffentlichkeit oder im ÖPNV am Laptop oder Handy wichtige Dokumente öffnest. Gehe im Zweifelsfall lieber ein paar Meter weiter weg oder warte bis Du zuhause bist.

Das gilt insbesondere wenn Du Dich dafür mit Deinen persönlichen Logins anmelden musst. Obendrein kann auch hier die 2-Faktor-Authentifizierung helfen.

Sperre Deinen Computer auch wenn Du nur kurz weg bist. Den Rechner wieder zu entsperren nachdem Du zurück bist dauert nur kurz und kann Dir viel Ärger ersparen.

„Enkeltrick“

Noch perfider als Shoulder Surfing ist die gezielte Manipulation von Personen um direkten Zugang zu erhalten.

Angebliche Kollegen versuchen über die Mitleidsschiene („Mein Chef wird mich sonst feuern…“) oder über Drohungen („wissen Sie eigentlich wer ich bin?!…“) firmeninterne Hindernisse wie Eintrittskarten, Passwörter oder ähnliches zu umgehen.

Da kann es neben direktem Zugang zum Rechner auch um Ausdrucke/Weitergabe bestimmter Daten gehen. Ein Angreifer könnte beispielsweise vorlügen, dass er die Unterlagen eigentlich hätte erhalten sollen und gleich zu einer wichtigen Konferenz muss und deshalb der offizielle Weg umgangen werden müsse.

Andere Beispiele sind angebliche Handwerker, die Zugang zu den Servern oder sonstiger kritischer physischen Infrastruktur brauchen.

Solche Betrugsversuche haben oftmals gemeinsam, dass es irgendeine Art von externem Druck (Zeit, Vorgesetzte usw.) gibt. Zieht das nicht, wird versucht selber Druck aufzubauen, indem der Angreifer droht, Dich für Deine mangelnde Kooperation bei einem Vorgesetzten anzuschwärzen oder sonstige negative Konsequenzen folgen zu lassen.

Es ist natürlich nicht verwunderlich wenn in solchen Situation viele wider ihres besseren Gewissens nachgeben. Doch wir können nur appellieren, sich trotz des vermeintlichen Zeitdrucks zumindest telefonisch bestätigen zu lassen, dass die Geschichte stimmt. Wenn das Gesuch legitim ist, wird Dich niemand im Nachhinein für Deine Vorsicht bestrafen – ganz im Gegenteil.

Außerdem kann es in einem größeren Betrieb natürlich immer vorkommen, dass man sein Gegenüber nicht kennt, weswegen auch Drohungen à la „wissen Sie eigentlich wer ich bin?!“ nur in den seltensten Fällen wirklich Folgen haben werden.

Frage deshalb immer höflich aber trotzdem bestimmt nach einer offiziellen Bestätigung bevor Du die Daten weitergibst. Anderenfalls kann Dich das im schlimmsten Fall sogar den Job kosten!

Fazit

Abschließend kann man nur sagen, dass sich Vorsicht auf jeden Fall auszahlen wird. Egal ob im Mail-Verkehr oder im persönlichen Austausch ist blinde Naivität nicht ratsam.

Daher empfiehlt es sich immer im Zweifelsfall über einen separaten Kanal beim Empfänger nachzufragen. Wenn man eine potentielle Phishing-Mail erhalten hat sollte man beim Absender anrufen, bei „Enkeltricks“ sollte man sich ebenfalls nach der Legitimität erkundigen.

Für Cyber-Risiken, die nicht aus „menschlichem Versagen“ resultieren ist es unbedingt notwendig regelmäßig die Software zu aktualisieren um ein möglichst kleines Ziel abzugeben. Um Ansteckungsrisiken im Fall eines erfolgreichen Cyber-Angriffs weiter zu minimieren solltest Du verschiedene Passwörter für Deine Accounts nutzen und auch diese regelmäßig wechseln.

Darüber hinaus hilft einem der gesunde Menschenverstand meistens weiter.

Fallen Dir noch weitere Risiken ein, die wir mit in diesem Artikel integrieren sollten? Schreibe es uns gerne per Mail oder als Kommentar.

Lerne mōmentum auch in den Sozialen Medien kennen

Schreibe einen Kommentar

Diesen Beitrag teilen

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp

Weitere Posts

8 Plug-Ins für bessere WordPress-Webseiten

WordPress ist das mit Abstand am meisten genutzte Content Management System  – sowohl in Deutschland als auch weltweit. Aus dieser Popularität hat sich eine große

Screenshot einer SEO-Auswertung

Was ist eigentlich EAT?

Wer sich hin und wieder mit dem Thema Suchmaschinenoptimierung auseinandersetzt wird früher oder später über die Begriffe EAT und YMYL stolpern. Doch was ist damit

Screenshot des WordPress CMS

Welches CMS macht für Dich Sinn?

Wie bereits in einigen Blogartikeln auf unserer Website erklärt, ist es heutzutage ein relevanter Nachteil für sein Unternehmen oder Dienstleistung keine Internetpräsenz zu besitzen. Heute