Was bei Cyberangriffen wirklich passieren kann

Nach einem Hochwasser werden Deiche gebaut, nach einem Chemieunfall strengere Gesetze verabschiedet – Katastrophen müssen oft erst passieren, bevor Schutzmaßnahmen folgen. Wer mit sensiblen Kundendaten arbeitet, muss jedoch nicht warten, bis sich Datendiebe in die eigenen Systeme einschleichen. Unzählige Beispiele aus Unternehmen und Behörden zeigen, wie Cyberkriminelle vorgehen, was die Folgen eines Angriffs sind und wie man sich schützen kann.

Was mit gestohlenen Daten passiert

Bei Hochwasser laufen Keller voll, bei Chemieunfällen leidet die Gesundheit von Menschen und Umwelt – doch was genau passiert mit gestohlenen Daten? Häufig werden wertvolle persönliche Daten wie Bankverbindungen, Passwörter und Adressen im Dark Web, also in schwer zugänglichen Bereichen des Internets, zum Kauf angeboten oder verbreitet.

Was dort landet, wird auch genutzt, hat die amerikanische Verbraucherschutzbehörde FTC festgestellt. Sie stellte rund 100 falsche Datensätze mit Namen, Mail-Adressen, Zahlungsverbindungen und anderen Informationen im Dark Web ein und beobachtete, was passierte. Innerhalb von zwei Wochen versuchten Kriminelle über 1000 Mal, sich Zugang zu den betroffenen Nutzerkonten zu verschaffen oder Zahlungen anzufragen.[1] Ein Albtraum für jeden, der die Verantwortung für Kundendaten trägt.

Der falsche Klick, der 81 Millionen Dollar kostete

Wie Datendiebe Zugang zu sensiblen Daten erlangen können, zeigt etwa der spektakuläre Cyberangriff auf die Bangladesh Bank im Jahr 2015. Nordkoreanische Hacker schickten E-Mails mit vermeintlichen Bewerbungen an Mitarbeiter der Bank, die Links zu Malware enthielten. Mit dem Klick auf diese Links wurde die Malware installiert. Kurz nach dem sogenannten Spear-Phishing-Angriff konnten sich die Hacker frei in den Systemen der Bank bewegen und mithilfe ihrer Malware Daten übertragen.[2]

Beim Phishing fordern Kriminelle ihre Opfer per E-Mail auf, wertvolle Daten wie ihre Bankverbindung preiszugeben oder auf Links zu klicken, hinter denen sich Malware versteckt. Diese Nachrichten sind in der Regel leicht als Phishing-Mails zu erkennen. Zu ihnen zählen zum Beispiel die Hilferufe afrikanischer Prinzen, die großen Reichtum versprechen, wenn man ihnen vorübergehend aus einer finanziellen Klemme hilft.

Spear-Phishing – die Technik, die Hacker gegen die Bangladesh Bank anwendeten – ist deutlich raffinierter. Kriminelle sammeln Informationen über ihre Opfer, zum Beispiel in sozialen Medien, und geben sich etwa als Bekannte aus. So sind ihre Phishing-Versuche deutlich plausibler.

Die nordkoreanischen Hacker nutzten ihre Position in der Bangladesh Bank, um Überweisungen in Höhe von einer Milliarde Dollar anzustoßen. 81 Millionen Dollar wurden tatsächlich überwiesen, bevor der Angriff auffiel und die Transaktionen gestoppt wurden.

Sechs Tipps, um Ihr Beratungsgeschäft vor Datendieben zu schützen

Hackern und Datendieben vorzubeugen ist eher eine Frage der Disziplin als der technischen Kenntnisse. Mit diesen Tipps machen Sie Ihre eigenen Daten und die Ihrer Kunden sicherer:

  • Prüfen Sie den Absender einer E-Mail und handeln Sie nie auf schriftliche Anweisung allein, wenn es um sensible Daten geht. So sind Sie auch gegen Spear-Phishing-Angriffe gewappnet, bei denen Absender Informationen haben, die eigentlich nur ein echter Kontakt kennen kann.
  • Vorsicht gilt auch beim Umgang mit Links und Anhängen in E-Mails. Über diese können Hacker Malware in Ihre Systeme einschleusen, die es ihnen ermöglicht, Daten zu stehlen.
  • Wer Software von Drittanbietern nutzt – wie etwa Cloud-Dienste, Videokonferenz-Tools oder ein Tool zur digitalen Zahlungsabwicklung – sollte auf bekannte und angesehene Anbieter setzen und Software regelmäßig aktualisieren, um Sicherheitslücken zu vermeiden. Als Hacker im September 2018 die Zahlungsinformationen von 380.000 Kunden von British Airways entwendeten, nutzten sie womöglich eine solche Drittsoftware als Einfallstor.[3]
  • Passwörter sollte man nur einmal nutzen, damit ein einziges gestohlenes Passwort nicht gleich zum Login bei mehreren Diensten taugt. Dutzende komplexe Passwörter kann sich aber kein Mensch merken? Ein Passwort-Manager kann dabei helfen, Zugangsdaten sicher zu verwalten.
  • Mit Multi-Faktor-Authentisierung lässt sich verhindern, dass Datendiebe auf Konten zugreifen, auch wenn sie ein Passwort kennen. Nutzer müssen dazu nach dem regulären Login per Passwort zum Beispiel noch einen zusätzlichen Code eingeben, der an ihr Handy geschickt wird, bevor ein Konto entsperrt wird.
  • Und zu guter Letzt: Wer zusammen mit mehreren Kollegen in Systemen arbeitet, die sensible Kundendaten enthalten, sollte klare Regeln zur Cybersicherheit aufstellen und dafür sorgen, dass sie jeder kennt. Denn auch eine Festung ist nur sicher, solange niemand eine Seitentür offen lässt.

Unser Experte

Der Informationssicherheitsbeauftragter Imre Szabo arbeitet seit 2017 bei der FIL Fondsbank GmbH. Er hat über 12 Jahre Erfahrung in Informationssicherheit und er verfügt unter anderem über CISSP, CISM und CISA Zertifizierungen.

Quellen:

[1] https://www.ftc.gov/system/files/documents/public_events/987523/ftc-leakeddataresearch-slides.pdf

[2] https://nsarchive.gwu.edu/news/cyber-vault/2019-02-20/tainted-trove

[3] https://www.bbc.com/news/technology-45446529

Cybersicherheit für jedermann

Hilfe und Beratung für Ihre Sicherheit zu Hause, bei der Arbeit, im Internet und unterwegs.

Lesen Sie die Broschüre von Fidelity.