User Help

Das Internet: unendliche Weiten – aber auch sehr gefährlich! Das Internet bietet schier unendliche Möglichkeiten: Man kann Kontakte pflegen und neue Bekanntschaften schliessen, Einkäufe tätigen und Reisen buchen, Informationen finden und Bankgeschäfte erledigen. Wer nicht aufpasst und alles glaubt, was im Internet behauptet wird, kann allerdings schnell zum Opfer werden – finanziell und persönlich. Mit gesundem Misstrauen und ein paar technischen Hilfsmitteln lassen sich viele böse Überraschungen vermeiden.

 

«Einmal im Netz, immer im Netz!» Laden Sie so wenig persönliche Bilder und Daten ins Internet wie möglich. Sie haben keine Kontrolle mehr darüber!

Nutzen Sie die Sicherheitseinstellungen in Ihren sozialen Netzwerken (wie z. B. Facebook).

Misstrauen Sie allen Posts und E-Mails von Absendern, die Sie nicht persönlich kennen; seriöse Firmen fragen Sie z. B. nie per E-Mail nach Ihren persönlichen Daten oder Passwörtern.

Überprüfen Sie Anbieter von Waren und Dienstleistungen im Netz auf ihre Glaubwürdigkeit und Erreichbarkeit.

Überprüfen Sie regelmässig die Aktualität Ihres Virenschutzprogramms.

Nutzen Sie sichere Passwörter und geben Sie sie niemals weiter.

Verhalten Sie sich online stets freundlich und respektvoll, so wie offline auch.

 

 

Schwachstelle Mensch

Cyberkriminelle setzen zunehmend auf Angriffe, bei denen nicht Schwachstellen in der Software ausgenutzt werden, sondern die Leichtgläubigkeit von Personen. Via Social Engineering können sich Bedrohungen wie die so genannte Ransomware rasant verbreiten.

 

Firewall und Antiviren-Software – jeder Computernutzer weiss, dass er seinen Rechner schützen muss. Auch die meisten Unternehmen investieren in die Sicherheitsinfrastruktur – und vergessen dabei das grösste Risiko: die eigenen Mitarbeiter. Die Mehrzahl böswilliger E-Mail-Angriffe arbeitet nicht mehr mit Schadcode, sondern zielt auf die Gutgläubigkeit von Menschen. Die Zahlen sind alarmierend: Der Anteil von kompromittierenden Geschäftsmails lag 2015 bei nur einem Prozent aller Finanzbetrug-Mails – weit hinter Banking-Trojanern. Ein Jahr später waren es schon 42 Prozent. Auch die betrügerischen Mails haben sich in dieser Zeit gewandelt. Versuchten die Angreifer früher mit den Mails automatisierte Schadsoftware zu platzieren, waren im Dezember 2016 nahezu alle Mails mit infizierten Anhängen so konstruiert, dass sie auf unbedachte Aktionen der Empfänger spekulieren.

Ransomware und Phishing-Seiten

Mit ihren grossangelegten Aktionen verfolgen Angreifer unterschiedliche Ziele. Fällt ein Empfänger auf die vermeintlich seriöse Mail herein, kann sich ein Schadprogramm installieren, das alle Daten auf dem Computer blockiert und ein Lösegeld fordert. Die Verbreitung dieser Ransomware hat explosionsartig zugenommen. Oft werden die Opfer auch mit fadenscheinigen Gründen dazu aufgefordert, Anmeldedaten oder vertrauliche Informationen preis zu geben. Über 90 Prozent aller Schadmails führen auf Phishing-Seiten, wo die Betroffenen Anmeldedaten eingeben sollen. Hin und wieder gelingt es den Cyberkriminellen sogar, dass ihre Opfer stattliche Summen überweisen.

Manchmal steckt ein anderer Absender hinter einer Mail, als man glaubt. (Quelle: Proofpoint)

Phishing-Mails zu erkennen, ist nicht so schwer, auch wenn sie gut gemacht sind. Wenn die Mail dazu auffordert, auf einen Link zu klicken, etwa um einen Millionen-gewinn zu ergattern, oder persönliche Daten zu überprüfen oder einzugeben, sollte die Mail sofort auf den Datenmüll. Schwieriger fällt die Entscheidung beim Spear Phishing. Hier spionieren die Angreifer ihre Opfer gezielt aus, recherchieren zum Beispiel Hobbys, Tätigkeiten und Freunde in sozialen Netzwerken. Die Mails werden dann so massgeschneidert, dass der Empfänger davon ausgehen kann, dass die Nachricht von einem Bekannten, etwa einem Arbeitskollegen kommt. Auch hier ist eine gute Portion Misstrauen gefragt: Am besten ist es, über einen anderen Kom-munikationskanal Kontakt mit dem vermeintlichen Absender aufzunehmen.

Spiel mit psychologischen Tricks

Der Erfolg von Phishing-Mails beruht auf der Neugier und Leichtgläubigkeit der Empfänger. Die Angreifer spielen geschickt mit den Wünschen und Ängsten ihrer Opfer. Dazu gehört zum Beispiel der Wunsch, sich vor Führungskräften oder Kollegen auszuzeichnen und sich stets hilfsbereit zu zeigen. Oder die Angst, Kunden schlecht zu behandeln oder Arbeitsabläufe zu behindern. Hinzu kommen Automatismen, etwa das Vertrauen in bekannte Personen, das Vertrauen in Autoritäten. Tief verwurzelt sind Angst, Respekt, Scham und mitunter Gier sowie Eitelkeit. Hacker spielen geschickt mit diesen psychologischen Schwächen und verstärken diese noch, indem sie Verschwiegenheit oder Dringlichkeit vortäuschen. In ihre Falle tappen häufig Personen, die unsicher sind oder oft mit unternehmensfremden Personen zu tun haben etwa im Vertrieb oder Service, aber auch Assistentinnen von Top-Managern sind gefährdet.

Die Betrüger wissen mittlerweile sogar genau, wann sie ihre Mails losschicken, damit der Erfolg am grössten ist. So klicken ahnungslose Empfänger gerne dienstags bis donnerstags und nach der Mittagspause auf solche Mails, vielleicht weil dann die Konzentration geringer ist. Der erste Klick erfolgt in der Hälfte der Fälle innerhalb einer Stunde nach Eintreffen der Mail. Damit die Überrumpelungstaktik funktioniert, schmücken sich die Mails mit bekannten Marken und irreführenden Namen. Beliebt ist das so genannte Angler-Phishing, bei dem der Angreifer ein Doppelgänger Konto für ein soziales Netzwerk einer bekannten Marke anlegt und sein Opfer auf echt wirkende Seiten lockt. Mit Phishing-Mails haben die Sender erstaunlich oft Erfolg: Etwa jede zwanzigste dieser Mails wird angeklickt.

Der wohl bekannteste Hacker der Welt, Kevin Mitnick, der jahrelang hinter Gittern schmorte und heute gefragter Sicherheitsberater ist, hat das in seinem Buch „Die Kunst der Täuschung – Risikofaktor Mensch“ beschrieben. Social Engineering – die soziale Manipulation von Menschen – sei die bei weitem effektivste Methode, um an ein Passwort zu gelangen, und schlage rein technische Ansätze in Sachen Geschwindigkeit um Längen.