Von Viren bis Social Engineering

Hackerangriffe nehmen zu, auch weil Daten im Home-Office oft weniger geschützt sind. Lesen Sie in diesem ersten Teil Statistiken mit Analysen, welche Bedrohungen es gibt und wie Cyberkriminelle sich Zugang zu wertvollen Firmendaten verschaffen.

Hackerangriffe steigen durch Pandemie …

Cybercrime ist im Aufwind, analysiert der Cybercrime Report 2020 des Bundeskriminalamts, dazu haben auch geänderte Lebens- und Arbeitsbedingungen sowie Verhaltensweisen aufgrund der Covid19 Pandemie beigetragen: „Cybercrime im engeren Sinne verzeichnete mit 12.914 Fällen einen enormen Anstieg von 69,4 Prozent … Die Straftaten richten sich gegen Netzwerke oder gegen Geräte, Dienste oder Daten in diesen Netzwerken (z.B. Datenbeschädigung, Hacking oder DDoS-Angriffe).“

Eine weltweite Sicht auf die Entwicklung der Cyberkriminalität bietet der Global Threat Report des Anbieters für Cybersicherheitslösungen CrowdStrike. So wurde das aktuelle Thema Covid-19 bei Phishing-Kampagnen und Spam-Mails eingesetzt, indem Hacker sich als Gesundheitsorganisationen wie die WHO ausgaben, mit Angeboten für persönliche Schutzausrüstung oder mit Informationen über staatliche Unterstützungsmaßnahmen. Ziel war, dass die Mailempfänger auf Links klicken oder kompromittierte Anhänge öffnen. Besonders zugenommen haben maßgeschneiderte Angriffe auf Arbeitskräfte, die zu Hause arbeiten. Immer häufiger geht es auch darum, Wissen zu stehlen, wie Patente oder Forschungsunterlagen.

… und durch Home-Office

„Obwohl Home Office und Remote Working Unternehmen und ihre Mitarbeiter schon mehr als ein Jahr begleiten, herrscht in Bezug auf Cyber Security noch einiges an Aufholbedarf“ konstatiert der Deloitte Cybersecurity Report, demnach gibt es folgende Problemfelder:

  • Aufholbedarf: Bei 36 % der Mitarbeiter wurden Virenschutz und Software-Updates nicht geprüft.
  • Mangelnde Awareness: Ein Fünftel glaubt an geringere Cyber-Risiken in den eigenen vier Wänden.
  • Unsichere Praktiken: 69 % verwenden zumindest manchmal WhatsApp und Co. für beruflichen Austausch.
  • Defizite bei Mitarbeitersensibilisierung: 29 % der Angestellten geben an, von ihrem Arbeitgeber nie über Informationssicherheit oder Datenschutz im Home-Office aufgeklärt worden zu sein.

Glossar Cybercrime

Das Wissen über mögliche Bedrohungen ist ein wichtiger, erster Schritt, um gegen Cyberattacken besser vorbereitet zu sein. Das sind die wesentlichsten Angriffsmethoden im Überblick:

Computerviren sind Schadprogramme, auch „Malware“ genannt. Sie verbreiten sich über E-Mail, wenn darin auf einen Link geklickt oder ein Anhang geöffnet wird. Wer einen fremden USB-Stick an den Computer steckt, kann sich ebenfalls Viren einfangen. Auf dem infizierten Gerät werden Daten oder Programme gelöscht, überschrieben oder verändert.

Phishing hat das Ziel, sensible Daten wie Konto-Informationen oder Passwörter zu stehlen. Cyberkriminelle versenden gefälschte Mails von Banken, Telekomanbietern, Paketlieferdiensten, etc. und verlinken zu gefälschten Webseiten. Mit gestohlenen Passwörtern bekommen Hacker Zugriff zu Datenbanken, E-Mail-Konten oder ganzen Firmennetzwerken.

Ransomware ist eine Schadsoftware, mit der Nutzer erpresst werden. Bekannt ist z.B. der Bundestrojaner wo der Bildschirm gesperrt wird und ein Hinweis erscheint, dass Lösegeld zu zahlen ist, um den Computer wieder nutzen oder Dateien öffnen zu können.

Krypto Trojaner sind die bösartigere Variante von Ransomware, sie verschlüsseln wichtige Dateien wie Word- oder Excel-Dokumente, Mails oder Bilder. Wenn der PC auf ein Netzlaufwerk zugreift, kann auch dieses von den Kriminellen versperrt werden. Selbst wenn Lösegeld gezahlt wird, sind die Unternehmensdaten in der Regel verloren; es ist daher besser, sich an Behörden oder Experten für IT-Sicherheit zu wenden.

DDoS Angriffe (Distributed Denial of Service) zielen z.B. auf Webshops; dabei wird eine Vielzahl von Anfragen gestellt, um den Betrieb der Webseite oder eines Servers zu stören, bzw. völlig lahmzulegen.

Wer mehr wissen will: Ein Glossar mit kompakten Erklärungen von gängigen Begriffen rund um IT-Sicherheit bietet der heimische Anbieter Ikarus Security Software.

Wenn Hacker anrufen

Bei Phishing-Methoden wird in der Regel an Links oder gefälschte Webseiten gedacht, wo die getäuschten Opfer vertrauliche Daten eingeben. Weniger Bewusstsein gibt es für Social Engineering: Dabei wird die menschliche Hilfsbereitschaft ausgenutzt, um an vertrauliche Informationen heranzukommen. Social Engineers geben sich zum Beispiel als IT-Technikerin oder Servicemitarbeiter aus, sie rufen unterschiedliche Personen im Unternehmen an und erfragen anfangs harmlose Informationen wie Namen von Führungskräften oder interne Abläufe. Haben sie damit ein Insider-Wissen aufgebaut, so spielen sie beim nächsten Anruf einen hektischen Programmierer, der dringend ein Passwort benötigt, weil Frau Müller, die Chefin der Buchhaltung, auf eine neue Auswertungsfunktion für die Geschäftsleitungssitzung wartet. Der Appell an die Hilfsbereitschaft im Stress funktioniert oft und so geben überrumpelte Mitarbeiterinnen und Mitarbeiter ein Passwort preis. Oft rufen Social Engineers Personen an, die jeden Tag viele externe Anrufe bekommen, jedoch ist prinzipiell niemand vor ihnen gefeit. Erfolgreich sind solche Anrufe auch im Home-Office, denn da gibt es keine Kollegin oder keinen Kollegen, um schnell Rücksprache halten und sich absichern zu können.

Für mehr IT-Sicherheit sorgen

Identitätsdiebstahl etwa durch Phishing-Angriffe ist weiter auf dem Vormarsch, vermeldet in seinem jährlichen Bericht das BSI (Bundesamt für Sicherheit in der Informationstechnik) in Deutschland. Die Behörde verweist speziell daraufhin, dass besonders mittelständische Unternehmen für schwerwiegende Cyberattacken anfällig sind, weil es ihnen an Kompetenz und Bewusstsein für IT-Risiken fehle.

„Prävention ist wichtige Säule im Kampf gegen Cybercrime“ empfiehlt das Bundeskriminalamt als Ergebnis des Cybercrime Reports in Österreich. Wie Unternehmen sich gegen diese Gefahren besser wappnen können, lesen Sie im nächsten Blog.

Beitrag teilen Facebook Twitter LinkedIn XING

Weitere Artikel

4. Dezember 2018 So setzen Sie den Familienbonus Plus in der Personalverrechnung um

Der Nationalrat hat im Sommer den Familienbonus Plus beschlossen, der ab 2019 zur Anwendung kommt. Wir haben Ihnen alle Infos für die korrekte Verrechnung zusammengestellt: Wie kann man den Familienbonus Plus in Anspruch nehmen, wie berechnet sich der Betrag und wie ist das mit Kindern, die im Ausland wohnen. Sie erfahren ebenso, was Sie in der Personalverrechnung an Unterlagen benötigen und erfassen müssen.

Beitrag lesen
12. April 2019 SAML – So Arbeiten Mitarbeiter Leichter

Jederzeit an jedem Ort auf jede webbasierte Unternehmensanwendung mit PC, Notebook, Tablet oder Smartphone zugreifen – diese Möglichkeit wird von vielen Mitarbeiten heute erwartet und ist auch effizient. So soll einfaches Arbeiten sein.

Beitrag lesen
19. Mai 2020 SaaS

Die Art und Weise, wie heute Software genutzt wird, hat sich grundlegend geändert – das Stichwort dazu heißt SaaS – Software as a Service. Erfahren Sie mehr über Funktionsweise, Anwendungs-Szenarien und Vorteile, auch im Hinblick auf Home-Office.

Beitrag lesen