Übersicht
Was bei Cyberangriffen passieren kann
Das Coronavirus hat dazu geführt, dass viele Mitarbeiter von zu Hause aus arbeiten. Das Ausmaß und die Tatsache, dass diese neue Art des Arbeitens wahrscheinlich noch einige Zeit andauern wird, stellt Viele vor Herausforderungen. Eine davon ist die erhöhte Bedrohung durch Internetkriminalität.
Mitarbeiter kommunizieren auf neue Weise, z. B. über Videokonferenzen, oder müssen Dateien aus der Ferne austauschen. Manche verwenden auch persönliche Geräte und tragbare Medien, deren Sicherheit nicht so sicher sind wie in der Unternehmensumgebung. Es ist daher wichtig, sich zu überlegen, wie man sich und Kunden vor den Risiken schützen kann, die von Cyberkriminellen ausgehen.
Wer mit sensiblen Kundendaten arbeitet, sollte nicht warten, bis sich Datendiebe in die eigenen Systeme einschleichen. Unzählige Beispiele aus Unternehmen und Behörden zeigen, wie Cyberkriminelle vorgehen und was für schwerwiegende Folgen ein Angriff haben kann.
Sechs Tipps, um Ihr Beratungsgeschäft vor Datendieben zu schützen
Hackern und Datendieben vorzubeugen ist eher eine Frage der Disziplin als der technischen Kenntnisse. Mit diesen Tipps machen Sie Ihre eigenen Daten und die Ihrer Kunden sicherer.
TIPP 1:
Cyber-Kriminelle nutzen die Coronavirus-Pandemie - es gab einen Anstieg von Phishing-Betrügereien, die den Ausbruch der Krankheit als Aufhänger nutzen. Sie nutzen Phishing-E-Mails, um persönliche Daten zu stehlen, Zugang zu Unternehmenssystemen zu erhalten und bösartige Software herunterzuladen. Prüfen Sie daher den Absender einer E-Mail und handeln Sie nie auf schriftliche Anweisung allein, wenn es um sensible Daten geht. So sind Sie auch gegen Spear-Phishing-Angriffe gewappnet: Kriminelle sammeln Informationen über ihre Opfer, zum Beispiel in sozialen Medien, und geben sich etwa als Bekannte aus. So sind ihre Phishing-Versuche deutlich plausibler.
TIPP 2:
Vorsicht gilt auch beim Umgang mit Links und Anhängen in E-Mails. Über diese können Hacker Malware in Ihre Systeme einschleusen, die es ihnen ermöglicht, Daten zu stehlen.
TIPP 3:
Wer Software von Drittanbietern nutzt – wie etwa Cloud-Dienste, Videokonferenz-Tools oder ein Tool zur digitalen Zahlungsabwicklung – sollte auf bekannte und angesehene Anbieter setzen und Software regelmäßig aktualisieren, um Sicherheitslücken zu vermeiden. Als Hacker im September 2018 die Zahlungsinformationen von 380.000 Kunden von British Airways entwendeten, nutzten sie womöglich eine solche Drittsoftware als Einfallstor.1
Tipp 4:
Passwörter sollte man nur einmal nutzen, damit ein einziges gestohlenes Passwort nicht gleich zum Login bei mehreren Diensten taugt. Dutzende komplexe Passwörter kann sich aber kein Mensch merken? Ein Passwort-Manager kann dabei helfen, Zugangsdaten sicher zu verwalten.
TIPP 5:
Mit Multi-Faktor-Authorisierung lässt sich verhindern, dass Datendiebe auf Konten zugreifen, auch wenn sie ein Passwort kennen. Nutzer müssen dazu nach dem regulären Login per Passwort zum Beispiel noch einen zusätzlichen Code eingeben, der an ihr Handy geschickt wird, bevor ein Konto entsperrt wird.
TIPP 6:
Wenn Mitarbeiter ihre eigenen Geräte für Arbeitszwecke nutzen dürfen, ist es wichtig, Richtlinien und Vorgaben für die Nutzung dieser Geräte zu erlassen. Dies kann beinhalten, dass die Nutzung auf bestimmte Aufgaben beschränkt wird und Ihr Unternehmen eine gewisse Kontrolle über das Gerät eines Mitarbeiters haben muss.
Wer zudem in Systemen arbeitet, die sensible Kundendaten enthalten, sollte klare Regeln zur Cybersicherheit aufstellen und dafür sorgen, dass sie jeder kennt. Denn auch eine Festung ist nur sicher, solange niemand eine Seitentür offen lässt.
"Um Mitarbeitern, die von zu Hause aus arbeiten, das sichere Senden und Empfangen von E-Mails, den Austausch von Dateien und den Zugriff auf die IT-Systeme zu ermöglichen, sollten Sie sicherstellen, dass ein Virtual Private Network (VPN) eingerichtet ist. Ein VPN verschlüsselt die Daten, die zwischen dem entfernten Benutzer und Ihren Systemen ausgetauscht werden.
Wenn Sie bereits ein VPN eingerichtet haben, stellen Sie sicher, dass es vollständig gepatcht ist und regelmäßig Updates erhält. Eventuell müssen Sie zusätzliche Lizenzen und Kapazitäten einrichten, wenn in Ihrem Unternehmen normalerweise nur eine begrenzte Anzahl von Mitarbeitern von zu Hause aus arbeiten. Außerdem ist es sehr empfehlenswert, dass alle Unternehmensdaten auf dem Firmennetzwerk und nicht auf dem mobilen Gerät des Mitarbeiters gespeichert werden. Die Möglichkeit, Daten herauszukopieren oder Dateien zu drucken, sollte ebenfalls sorgfältig kontrolliert werden."
Wenn Sie bereits ein VPN eingerichtet haben, stellen Sie sicher, dass es vollständig gepatcht ist und regelmäßig Updates erhält. Eventuell müssen Sie zusätzliche Lizenzen und Kapazitäten einrichten, wenn in Ihrem Unternehmen normalerweise nur eine begrenzte Anzahl von Mitarbeitern von zu Hause aus arbeiten. Außerdem ist es sehr empfehlenswert, dass alle Unternehmensdaten auf dem Firmennetzwerk und nicht auf dem mobilen Gerät des Mitarbeiters gespeichert werden. Die Möglichkeit, Daten herauszukopieren oder Dateien zu drucken, sollte ebenfalls sorgfältig kontrolliert werden."
Tobias Hill, Vertriebsdirektor
Was mit gestohlenen Daten passiert
Bei Hochwasser laufen Keller voll, bei Chemieunfällen leidet die Gesundheit von Menschen und Umwelt – doch was genau passiert mit gestohlenen Daten? Häufig werden wertvolle persönliche Daten wie Bankverbindungen, Passwörter und Adressen im Dark Web, also in schwer zugänglichen Bereichen des Internets, zum Kauf angeboten oder verbreitet.
Was dort landet, wird auch genutzt, hat die amerikanische Verbraucherschutzbehörde FTC festgestellt. Sie stellte rund 100 falsche Datensätze mit Namen, Mail-Adressen, Zahlungsverbindungen und anderen Informationen im Dark Web ein und beobachtete, was passierte. Innerhalb von zwei Wochen versuchten Kriminelle über 1000 Mal, sich Zugang zu den betroffenen Nutzerkonten zu verschaffen oder Zahlungen anzufragen.2 Ein Albtraum für jeden, der die Verantwortung für Kundendaten trägt.
Der falsche Klick, der 81 Millionen Dollar kostete
Wie Datendiebe Zugang zu sensiblen Daten erlangen können, zeigt etwa der spektakuläre Cyberangriff auf die Bangladesh Bank im Jahr 2015. Nordkoreanische Hacker schickten E-Mails mit vermeintlichen Bewerbungen an Mitarbeiter der Bank, die Links zu Malware enthielten. Mit dem Klick auf diese Links wurde die Malware installiert. Kurz nach dem sogenannten Spear-Phishing-Angriff konnten sich die Hacker frei in den Systemen der Bank bewegen und mithilfe ihrer Malware Daten übertragen.3 Die nordkoreanischen Hacker nutzten ihre Position in der Bangladesh Bank, um Überweisungen in Höhe von einer Milliarde Dollar anzustoßen. 81 Millionen Dollar wurden tatsächlich überwiesen, bevor der Angriff auffiel und die Transaktionen gestoppt wurden.
1 https://www.bbc.com/news/technology-45446529
2 https://www.ftc.gov/system/files/documents/public_events/987523/ftc-leakeddataresearch-slides.pdf
3 https://nsarchive.gwu.edu/news/cyber-vault/2019-02-20/tainted-trove
Wie Sie im öffentlichen WLAN Daten schützen
Offene WLAN-Netze gelten als besonders unsicher. Sollte man das ICE-WLAN auf der Reise zum Kunden lieber gar nicht benutzen, um sensible Daten zu schützen? Wie kommen Angreifer überhaupt an Daten? Und welche Alternativen gibt es unterwegs?
Daten schützenWie Datenschutz für Vermittler zur Chance wird
Mit der DSGVO hat die EU den Datenschutz in den Fokus von Finanzvermittlern gerückt. Wer das Thema nur als bürokratische Belastung sieht, verkennt sein Potenzial. Ein sicheres und effizientes Datenmanagement gehört zum guten Kundenservice und bietet Chancen fürs Geschäft.
Datenschutz