Schadsoftware

Schadsoftware kommt nicht durch die Luft auf Ihren Rechner

Die Digitalisierung löst in Unternehmen auch Angst aus: Denn über fünf Einfalltore können Cyberkriminelle in ihre Systeme eindringen. Dabei gibt es einfache Regeln, mit denen man sich konsequent schützen kann. Die TU Darmstadt hat dazu ein kostenfreies Schulungsprogramm mit vier Modulen entwickelt.

Ein kleines hessisches Unternehmen kauft regelmäßig Produkte bei einem Handelspartner in Asien. Der Mitarbeiter, der die Geschäfte finanziell abwickelt, erhält eine Mail von dem gewohnten Absender in Asien. Darin steht, die Bankverbindung habe sich geändert. Der nächste Rechnungsbetrag – 150.000 Euro –  sei bitte auf das neue Konto zu überweisen. Der Mitarbeiter in Hessen tut dies.

Fehler! Er ist Opfer eines so genannten Social Engineering-Angriffs geworden. „Hätte er den erweiterten Mail-Kopf geöffnet, hätte er gesehen, dass die wahre Absenderadresse nicht die gewohnte war, sondern eine andere. Außerdem hätte er auch bei dem Handelspartner in Asien anrufen können“, sagt Michael Rühl vom Polizeipräsidium Südhessen. Ihm ist vor zwei Jahren in seiner Zeit als Ermittler genau dieser Fall begegnet. Inzwischen leitet er die polizeiliche Beratungsstelle „Cybercrime“ und klärt Unternehmen und Privatleute über die Tricks der Betrüger im Netz auf. Das schwächste Glied sei immer noch der Mensch, der einzelne Mitarbeiter, sagt Rühl. „Schadsoftware kommt nicht durch die Luft auf Ihren Rechner. Wichtig ist, dass jeder einzelne Mitarbeiter geschult ist und Bescheid weiß. Und nicht nur der Chef.“ Grundsätzlich gebe es immer zwei Vorsorgevarianten, die man am besten miteinander kombiniert, sagt Oliver Berg, der bei der Sparkasse Darmstadt die Abteilung „Mediale Vertriebswege“ leitet: erstens die technische und zweitens die Aufklärung der Mitarbeiter. Drei Mal im Jahr werden in der Bank alle Mitarbeiter darin geschult: „Wie erkenne ich eine Gefahrensituation?“ In jedem Fall sollten die fünf größten Einfallstore für Cyberkriminelle bekannt sein:

Tor 1: Infizierte USB-Sticks oder CDs

Schadsoftware kann über infizierte USB-Sticks oder CDs auf einen Firmenrechner und somit ins System des ganzen Unternehmens gelangen. Damit können zum Beispiel Daten verschlüsselt oder von außen ausgelesen werden. Wie kann man verhindern, dass Mitarbeiter fremde USB-Sticks oder CDs verwenden? „Bei uns sind alle USB-Zugänge gesperrt oder gar nicht mehr vorhanden, genauso wie CD-Laufwerke. Will ein Mitarbeiter einen fremden USB-Stick verwenden, muss dieser vorher durch die Prüfung unserer Systemadministratoren“, sagt Berg. Hier setzt die Sparkasse konsequent auf die technische Verhinderung leichtsinnigen Verhaltens.

Tor 2: Betrügerische E-Mails (Phishing)

„Erst denken, dann klicken“, warnt Aufklärer Rühl von der Polizei. Immer, wenn der Absender einer Mail eine Aktion vom Lesenden fordert, müsse man automatisch denken „Stop! Macht dieser Klick Sinn?“ Oft wird Schadsoftware per Mailanhang als Bewerbung oder Rechnung getarnt. Auch Links können zu Virusseiten führen. Hier muss man genau schauen: Entspricht der Link dem gängigen Muster? www.unternehmen.de oder.com?

Beispiel hierzu: https://www.secuso.informatik.tu-darmstadt.de/fileadmin/user_upload/Group_SECUSO/Research/Results/NoPhish/NoPhish_Flyer_de.pdf

Die Sparkasse nutzt auch hier zusätzlich technischen Schutz: Alle Mails mit Anhang werden besonders geprüft. Auf Tippfehler oder andere Auffälligkeiten dürfe man sich bei betrügerischen E-Mails nicht mehr verlassen, sagt Oliver Berg. „Die kriminellen Mails werden immer besser.“ Dazu gehört auch, dass die Absender auf den ersten Blick vertraut aussehen können.

Tor 3: DDos-Attacken und Ransomware (Erpressungstrojaner)

Diese Angriffe haben das Ziel, den Nutzern den Zugriff auf ein Computersystem unmöglich zu machen oder Firmenwebseiten unerreichbar zu machen. „Davon betroffen sind viele kleine und mittlere Unternehmen, auch viele Onlineshops“, sagt Michael Rühl von der Polizei. Nach der Attacke kommt eine Zahlungsaufforderung. Wird diese beglichen, werden die Seiten meist wieder freigegeben. „Viele Unternehmen bezahlen diese oft erschwinglichen Beträge, um den Geschäftsausfall und den Reputationsverlust einzudämmen.“ Gegen solche Angriffe kann nur eine entsprechende softwaretechnische Aufrüstung helfen.

Tor 4: Fingierte Anrufe

Ein Anrufer gibt sich als Mitarbeiter von Microsoft oder einer anderen bekannten seriösen Firma aus. Unter einem Vorwand soll dem Anrufer ein Fernzugang auf den Computer gestattet werden. Zumeist gaukeln die Anrufer eine Bereinigung Ihres PCs vor und fordern im Anschluss eine Bezahlung der vermeintlich erbrachten Dienstleistung. Hierzu wird nach Kreditkartendaten oder TAN-Nummern für’s Onlinebanking gefragt.

Tor 5: Kollegen

Oliver Berg von der Sparkasse gibt einen weiteren Aspekt zu bedenken: „Achte auf die Kollegen!“ Möglich ist, dass Mitarbeiter nicht nur unbedarft in eine Falle klicken, sondern dies absichtlich tun. Sei es aus Profitgier oder weil sie von außen unter Druck gesetzt werden. „Zum Beispiel, wenn ein angeblicher Kollege am Telefon ein internes Passwort von mir haben will“: Auch hier ist Wachsamkeit geboten.

Unkomplizierte Schulung

Die Forschungsgruppe SECUSO der Technischen Universität Darmstadt bietet eine frei verfügbare und kostenfreie Schulung zur Erkennung betrügerischer Nachrichten an. Diese besteht aus vier Modulen und einem Quiz. Die Schulungseinheiten wurden innerhalb des vom Bundesministerium für Wirtschaft und Energie im Rahmen der Initiative IT-Sicherheit in der Wirtschaft geförderten Projekts KMU Aware entwickelt.

Aufklärungsvideo zum Thema: