Datenlecks gibt es immer wieder, erst kürzlich wurden in „Collection #1“ über 770 Millionen E-Mailadressen und Passwörtern geleakt. Inzwischen folgte schon „Collection 2-5“ mit 2,2 Milliarden E-Mailadressen und Passwörtern. Das ist eine schier unglaubliche Zahl, und es empfiehlt sich zu überprüfen, ob man selbst betroffen ist. Der kostenlose Dienst HIBP („Have I been pwned?“ – Wurde ich erwischt?) zeigt Ihnen, ob Ihre Daten gestohlen wurden und ihre Passwörter nun frei zugänglich sind. Ist dies der Fall, sollten Sie schleunigst ihr Passwort ändern und ggf. auch einen Passwort-Manager benutzen. Das gilt auch und besonders für Betriebe, die häufig keine großen Ressourcen für IT-Sicherheit aufwenden.
Was passiert, wenn man betroffen ist?
Betroffen sein heißt bei einem Datenleck, dass Hacker Zugriff auf Ihre Daten haben. Was dann damit geschieht – oder auch ob etwas geschieht – hängt dann von den Personen ab, die diese Daten kriminell für sich nutzen. Meistens sind diese „nur“ auf Geld aus, aber prinzipiell ist von Erpressung bis Identitätsdiebstahl alles denkbar, so etwa auch, dass Ihr Rechner in Netzwerk zum Schürfen von Bitcoin eingebunden wird. Wenn Ihnen etwas verdächtig vorkommt, sollten Sie einen Experten z. B. aus der IT-Abteilung oder Ihren IT-Dienstleister benachrichtigen und im Ernstfall einen Anwalt befragen oder auch zur Polizei gehen. Ein weiterer Tipp: Verwenden Sie nicht mehrmals das gleiche Passwort für unterschiedliche Dienste! Dazu gleich auch mehr.
Welche Angriffsflächen gibt es?
Angreifbar ist prinzipiell jeder, ob privat oder als Betrieb. Allerdings kann man mit einigen Sicherheitsmaßnahmen einen sehr effektiven Schutz aufbauen! Grundsätzlich gilt aber: Wenn Sie einen bestimmten Dienst oder eine Software, der sie nicht ganz vertrauen, nicht unbedingt benötigen, verzichten Sie am besten darauf.
Smarte Geräte
In Verbindung mit Home Office können sogar smarte Geräte eine Bedrohung darstellen. Durch die immer größer werdenden Möglichkeiten für Home Office kann es passieren, dass Mitarbeiter ihre smarten Geräte – und da kann ein Drucker im gleichen Netzwerk wie der Arbeitslaptop schon ausreichen – für die Arbeit nutzen oder sich nicht bewusst sind, das diese eine Schnittstelle mit dem Arbeitsrechner haben. Auch private USB-Sticks können schon ein Risiko darstellen, obwohl oder gerade weil deren Nutzung stark verbreitet ist. Selbst moderne IoT-Geräte haben bisweilen bekannte Schwachstellen, z. B. aufgrund veralteter Software.[1]
Alte und zu einfache Passwörter
Diese sind eine Gefahr, besonders wenn Sie sie für mehrere Dienste gleichzeitig verwenden. Hat jemand Ihre E-Mailadresse, kann er mithilfe von Software die typischen und gerne benutzten Passwörter durchprobieren („Brute Force Methode“, mehr dazu hier) oder mit Passwörtern aus einem vorhandenen Datenleck abgleichen. Durch einen Passwort-Manager können Sie dieses Problem vergleichsweise einfach lösen und sich effektiv schützen. Mehr zu sicheren Passwörtern erfahren Sie hier: https://ebusiness-kompetenzzentrum.de/sichere_passwoerter/
Phishing-Mails
Dieses Wort bezeichnet gefälschte E-Mails, die zu einer ebenfalls gefälschten Seite führen können. Diese ist wie die bekannte Seite aufgebaut ist, jedoch dann auch schädliche Dienste ausführt. Üblicherweise wird für diese E-Mail ein Betreff mit Bezug zu Sicherheit (Passwort erneuern, IT-Abteilung etc.) oder unverdächtigen Themen (Ihre Bestellung bei XY) verwendet. Über einen Link oder ein Bild in der Mail gelangt man zu der „echt“ aussehenden Seite. Diese kann den Browser beeinflussen, eingegebene Passwörter speichern und zweckentfremden etc. Durch eine alternative, aber kaum unterscheidbare Schreibweise ist es teilweise sehr schwierig, das Fake-Angebot zu identifizieren. Ein großes „i“ kann schnell mit einem kleinen „L“ ausgetauscht werden, ein O für eine Null oder auch ein Buchstabe unseres Alphabets gegen einen gleichen oder ähnlichen aus einem anderen Alphabet. So gibt es z. B. im Kyrillischen einen Buchstaben, der wie unser kleines „a“ aussieht.
Fehlerhafte Automatisierung
Viele Handwerksbetriebe automatisieren inzwischen nach und nach ihre Prozesse. Dabei werden Verknüpfungen und Schnittstellen geschaffen, die auch entsprechend gesichert werden müssen. Dies ist vor allem für größere Unternehmen ein Problem, bei denen es sich für Kriminelle lohnt, automatisierte Prozesse anzugreifen und zu verändern.
Aber auch z. B. bei Smart Home-Anwendungen herrscht hier eine Gefahr: Schnittstellen zwischen Mensch und Maschine, die z. B. zur Steuerung des Smart Home benutzt werden, sind häufig nicht ausreichend gesichert – weder von Softwareseite noch physisch vor Ort. Hier müssen moderne Handwerksunternehmen vorsichtig sein und ihre Kunden darauf hinweisen, wie diese Systeme und Schnittstellen gesichert werden können.
Die Cloud: Angreifbare Zukunftstechnologie
Inzwischen setzen viele Unternehmen auf die Cloud – auch im Handwerk. Das ist bei den vielen Vorteilen der Technologie auch verständlich, allerdings gibt es auch hier Sicherheitsrisiken. Eines davon kommt schon ganz am Anfang: Fehlerhafte Konfigurationen bei der Migration der Daten. Das heißt, wenn Sie als Unternehmen auf die Cloud-Lösung umstellen und dort selbst oder durch einen Fehler des Partners falsche Einstellungen vornehmen, sind Ihre Daten gefährdet. Deshalb sollten Sie genau abstimmen, welche Daten wo gelagert werden (in bestimmten „Buckets“ z. B.) und wer dafür welche Berechtigungen hat.
Eine Mehrfaktor-Authentifizierung schützt recht zuverlässig davor, dass sich jemand mit gestohlenen Nutzerdaten Zugriff zur Cloud verschaffen kann. Trotzdem sollten die Daten im Sinne der IT-Compliance abgespeichert und ein regelmäßiges Backup erstellt werden. Denn: Haben Sie keinen Plan B und Sie bekommen Probleme mit Ihrer Cloud, kann das sehr kritisch werden!
Was die DS-GVO hier verändert hat
Durch die DS-GVO und die sie flankierenden technischen Regeln wie z.B. die ISO 27001 ff. gibt es Standards, durch die man bei Einhaltung einen guten Schutz für sich und sein Unternehmen hat. Allerdings wird die DS-GVO noch nicht von allen Unternehmen umgesetzt, auch Handwerksbetriebe tun sich dabei noch schwer.
Obwohl die DS-GVO auf Sicherheit und Transparenz setzt, kann sie bei der Fehleranalyse ein Problem sein. Dadurch, dass Daten nichtmehr direkt einer Person zugeordnet werden können (Pseudonymisierung) wird es schwierig, Ursachen für Dantelecks aufzudecken. Auf der einen Seite gibt es zu der Pseudonymisierung das „Recht auf Vergessenwerden“, auf der anderen Seite wäre eine Nachverfolgung von Daten zum effektiven Datenschutz wichtig.
Bezüglich der Forderungen, die Cyberkriminelle stellen, wenn sie im Besitz von wichtigen Informationen sind, wird angenommen, dass diese sich nun an den Strafen der DS-GVO orientieren werden. Der Grundgedanke ist, dass dadurch Betroffene eher zahlen damit die Verfehlung unentdeckt bleiben kann, anstatt Anzeige zu erstellen und womöglich wegen eines Verstoßes einen leicht höheren Betrag zahlen müssen.
Best Practice: Vorbeugen mit IT-Compliance
Das effektivste Mittel gegen solche Gefahren ist die Einrichtung einer IT-Infrastruktur bzw. eines IT-Managements, das die IT-Compliance Voraussetzungen der DS-GVO und der ISO 27001 erfüllt. Das bedeutet einerseits, dass man nach der Einrichtung nur noch wenig Aufwand mit Datenablagen etc. hat und andererseits, dass man dadurch wertvolle Ressourcen spart – nicht zuletzt auch eine Menge Arbeitszeit. Darüber hinaus ist man gegen die meisten Angriffe abgesichert. Es gehört jedoch zu dieser Absicherung dazu, die Mitarbeiter in den Prozess einzubinden und mit kurzen Schulungen für die Risiken der Datensicherheit zu sensibilisieren. Die Grundlagen und wichtige Tipps dazu erhalten Sie kostenlos in unserem IT-Compliance-Check.
Unsere TOP 3 Tipps sind daher:
- Verwenden Sie sichere Passwörter und zur Verwaltung mehrerer Accounts einen Passwortmanager
- Aktivieren Sie die Mehrfaktor-Authentifizierung wo immer möglich.
- Erstellen Sie einen Plan, der Sie absichert, falls etwas schief geht. Eine funktionierende IT-Compliance hilft dabei!
Interessiert? Dann melden Sie sich gerne zu einem unserer kommenden IT-Compliance Workshops an! E-Mail dazu einfach an: M.Weller@ebusiness-kompetenzzentrum.de
[1] https://www.computerwoche.de/a/diese-risiken-beschaeftigen-it-sicherheitsexperten-2019,3546325