Lernlabor Cybersicherheit
Sicherheitssysteme wie Firewalls oder Anti-Viren-Scanner sind vergleichbar mit riesigen Fangnetzen: Sie halten Schädlinge und andere verdächtige Datenpakete und Nachrichten davon ab, ihre Empfängerinnen und Empfänger zu erreichen. Mit guter Tarnung hebeln Angreifer diese Schutzmechanismen jedoch immer wieder aus. Als Anwenderin oder Anwender steht man deshalb in der Pflicht, sich nicht auf das Fangnetz allein zu verlassen, sondern auffällige E-Mails selbstständig zu erkennen und unschädlich zu machen. Denn wo Systeme und Algorithmen eventuell an ihre Grenzen stoßen, kann der Mensch von seinem gesunden Verstand profitieren. So gibt es trotz der guten Tarnung der Angreifer einige einfache Möglichkeiten, wie Sie Betrugsversuchen via E-Mail und Messenger-Diensten entgehen können. Sehen wir uns dafür gängige Angriffsmethoden an.
Schädlinge hinter Links und in Anhängen
Ein bereits lange bekannter, jedoch immer wieder erfolgreicher Angriffsweg ist das so genannte Phishing. Die Wortschöpfung aus Passwort und Fishing weist bereits auf den Zweck dieses Tricks hin: Mittels fingierter E-Mails sollen die Opfer dazu verleitet werden, auf präparierten Webseiten Passwörter und andere sensible Informationen preiszugeben. In der Regel suggerieren die E-Mails, von seriösen Absendern wie bekannten Online-Händlern, -Diensten oder Banken zu stammen. Im Text heißt es beispielsweise, eine dringende Datenaktualisierung der Nutzerinnen und Nutzer sei erforderlich. Andernfalls, so die Warnung, würden Benutzer- oder Girokonten umgehend gesperrt. Dabei lassen Absendername und Aufmachung auf den ersten Blick kaum Zweifel an der Echtheit aufkommen. Wer dem in der E-Mail enthaltenen Link folgt, landet auf einer Website, die dem Original des Händlers oder der Bank täuschend ähnlich sieht. Diese Fälschungen werden auch als Spoofing bezeichnet. Wer dort Nutzerdaten wie Konto- und Kreditkarteninformationen oder sogar Passwörter eingibt, öffnet dem Missbrauch und Datendiebstahl Tür und Tor. Manchmal werden auch E-Mail-Adressen von Bekannten gekapert und gefälschte E-Mails mit Links zu vermeintlich interessanten Webseiten an das Adressbuch des Bestohlenen gesandt. Doch anstelle spannender Inhalte erwarten den Besucher Schadprogramme, die unerkannt auf sein Gerät gelangen können.
Ein weiteres Risiko stellen manipulierte E-Mail-Anhänge dar, die durch Öffnen Schadsoftware verschiedener Art wie Spionage- oder Erpresserprogramme auf den Rechner des Empfängers und darüber sogar in ganze Firmennetzwerke schleusen können. Um sicherzustellen, dass der Anhang tatsächlich geöffnet wird, tarnen sich die Täter auch dabei mit seriösen Absendernamen – oftmals von bekannten Personen. Dieses Wissen stammt nicht selten von Social Engineering-Angriffen. Angebliche Inhalte dieser Anhänge können vorgetäuschte Mahnungen oder auch Rechnungen sein, womit das Pflichtbewusstsein der Empfänger missbraucht wird.
Als praktikable Trainingseinheit für das E-Mail-Keschern hat das BSI den 3-Sekunden-Sicherheitscheck entwickelt, der das Risiko minimiert, in die Falle zu tappen. Die drei Checkpunkte Absender, Betreff und Anhang geben wichtige Anhaltspunkte für die Entscheidung, ob die E-Mail vertrauenswürdig ist oder besser direkt gelöscht werden sollte. Wer sich nach dem Check immer noch unsicher ist, greift zum Hörer und ruft den vermeintlichen Absender einfach an oder leitet die E-Mail mit einem entsprechenden Hinweis an den IT-Admin beziehungsweise IT-Sicherheitsverantwortlichen der eigenen Firma weiter.
Vorsicht auch bei Messengerdiensten
Ähnlich gelagerte Betrugsversuche haben sich inzwischen auch auf Messengerdienste wie Skype oder den Facebook-Messenger ausgedehnt: Hierbei geht es ebenfalls um vermeintliche Datenverifizierungen, aber auch Links zu Videos oder vermeintlichen Gutscheinen oder Gewinnspielen – häufig von Bekannten, die zum Anklicken verleiten sollen. Nachrichten dieser Art sollten einfach ignoriert und umgehend gelöscht werden.
Zu diesem und verwandten Themen wie dem Social Engineering bietet die Fraunhofer Academy das eintägige Seminar „Security Awareness – Bewusstsein schaffen, Sicherheit gewinnen“ an unterschiedlichen Standorten an. Die Teilnehmenden werden für die Gefahren durch Social Engineering Angriffe sensibilisiert und ihnen werden wirksame Schutzmaßnahmen gezeigt. Die Schulung richtet sich an Mitarbeiter und Mitarbeiterinnen aus allen Bereichen der Unternehmen und Behörden, die Social Engineering Angriffe erkennen und vorbeugen wollen.